virustotal.com
分析进入收件箱的所有文件(包括PDF),但是在这种情况下这是不可能的,因为文件会在需要时发送给他们。发布前要保密。而且我听说防病毒解决方案不是100%可靠的。#1 楼
我认为最安全的选择是使用Qubes OS及其内置的DisposableVMs功能和“转换为受信任的PDF”工具。什么是Qubes OS?
Qubes是一个完全基于虚拟机的操作系统。您可以认为它好像您的计算机中有不同的隔离“计算机”。这样一来,您就可以将数字生活划分到不同的领域,从而拥有一台“计算机”,您只在其中处理与工作相关的工作;另一台“计算机”处于离线状态,并在其中存储密码数据库和PGP密钥,以及另一台专门用于不受信任的浏览的“计算机” ...可能性是无数的,唯一的限制是您的RAM和基本上可以同时加载多少台“计算机”。为了确保所有这些“计算机”彼此正确隔离,并且它们不会破坏您的主机(域0称为“ dom0”)从而控制您的所有计算机,Qubes使用Xen系统管理程序,[1 ]是许多主要托管服务提供商所依赖的同一软件,用于将网站和服务彼此隔离,例如Amazon EC2,IBM,Linode ...
另一个很酷的事情是,您的每台“计算机”都有一种特殊的颜色,可以在窗户的边框中反映出来。因此,您可以为不受信任的“计算机”选择红色,为工作“计算机”选择蓝色(请参见下面的示例图片)。因此,在实践中,查看您正在使用的域变得非常容易。因此,现在让我们说一些讨厌的恶意软件进入了您不受信任的虚拟机,那么它就无法破坏并感染可能包含敏感信息的其他虚拟机,除非它具有可以利用Xen中的漏洞破解dom0的漏洞(非常罕见),这大大提高了安全性的标准(在控制一切之前,只需要在您的计算机上部署恶意软件即可),它将保护您免受大多数攻击者的攻击,除了资源最丰富,最复杂的攻击者。
什么是DisposableVM?
另一个答案提到可以使用刻录机笔记本电脑。一次性虚拟机有点相同,除了不受物理限制:您可以无限地拥有许多一次性VM。只需单击一下,即可创建一个虚拟机。太酷了吧? Qubes带有Thunderbird扩展名,可让您在DisposableVM中打开文件附件,因此可以非常满足您的需求。[2]
)
您所说的“转换为受信任的PDF”是什么?
假设您找到了一个有趣的文档,并且假设您有一个专门用于存储和打开文档的脱机虚拟机。当然,您可以将该文档直接发送到该VM,但是该文档仍然有可能是恶意的,并且可能尝试删除所有文件(这种行为在短期内不会引起注意) DisposableVM)。但您也可以将其转换为“受信任的PDF”。您将文件发送到其他VM,然后打开文件管理器,导航到文件目录,右键单击并选择“转换为受信任的PDF”,然后将文件发送回VM,在其中收集文档。但是它到底是做什么的呢? “转换为受信任的PDF”工具将创建一个新的DisposableVM,将文件放在此处,然后通过解析器(在DisposableVM中运行)对其进行转换,该解析器基本上会获取每个像素的RGB值,而不会留下任何其他内容。这有点像在隔离的环境中打开PDF,然后如果需要的话可以“截屏”。如果回想一下,当我将10Mb PDF测试为400Mb PDF时,该文件显然变得更大了。您可以在此由安全研究人员和Qubes OS创造者Joanna Rutkowska撰写的博客中获得更多详细信息。[1]:Qubes OS团队正在努力使其能够支持其他虚拟机管理程序(例如KVM),以便您不仅可以选择在虚拟机上运行的不同系统,而且可以选择运行这些虚拟机的虚拟机管理程序。 2] :您还另外需要配置一个选项,以便单击“在DispVM中打开”时生成的DisposableVM将脱机,以使它们无法获取您的IP地址。为此,请执行以下操作:“默认情况下,如果在未连接到Tor网关的VM内(通过
Open in DispVM
或Run in DispVM
创建)DisposableVM,则新的DisposableVM可能会通过clearnet路由其流量。这是因为DisposableVM继承自“,可以通过以下方式为每个VM配置dispvm_netvm
设置:” dispvm_netvm
。“您需要将其设置为dom0 → Qubes VM Manager → VM Settings → Advanced → NetVM for DispVM
,以便它不连接到任何网络VM且不会访问Internet。[3] :编辑:该答案提到了Subgraph OS,希望当为Qubes创建Subgraph模板VM时,您可以将其与Qubes一起使用,从而使利用更加困难,并且由于集成了沙箱,它还需要另一个沙箱逃逸利用以及Xen入侵您的整个计算机。评论
请注意,默认情况下,虚拟机仍可以访问互联网;恶意PDF的用途之一是公开阅读器的IP地址。
– Tgr
17年2月17日在4:52
@确认我确认。 “默认情况下,如果在未连接到Tor网关的VM内创建DisposableVM(通过在DispVM中打开或在DispVM中运行),则新的DisposableVM可能会通过clearnet路由其流量。这是因为DisposableVM继承了其NetVM可以通过以下方式为每个VM配置dispvm_netvm设置:dom0→Qubes VM Manager→VM设置→高级→DispVM的NetVM。如果一个人在whonix-ws上配置了他们的电子邮件VM并通过Tor路由所有流量,则默认情况下这不是问题。
–user139336
17-2-17在19:06
@Tgr但是同样,这是安全性StackExchange而不是Quets StackExchange,所以我想让我的回答更着重于安全性方面:)
–user139336
17年2月17日在19:07
例如。对于在专制政权中收集信息的调查记者而言,该政权能够通过向他们邮寄特制的PDF来追踪其实际位置,这是一个非常重要的安全漏洞。我想Tor虽然可以保护您。
– Tgr
17年2月17日在20:04
@Tgr是的,就像我说的,可以设置dispvm_netvm属性,以使DisposableVM在没有网络的情况下脱机。这应该比使用Tor更好。
–user139336
17年2月17日在20:51
#2 楼
最安全的可能是燃烧器设备。拿起便宜的笔记本电脑和移动互联网加密狗,用它下载文档,然后将所有内容手动复制到您的主计算机中(如果您特别担心,重新输入文字将是最安全的)。由于它不在您的网络上,因此即使它被感染也不应该引起问题,并且如果您发送了任何特别有害的恶意软件,则可以将其擦除或将其装箱。如果您需要文件中的实际内容(例如嵌入式图像),一种选择是在刻录机设备上安装PDF打印驱动程序,并使用它打印传入的PDF文件-这将生成PDF输出,但是从理论上讲,只是视觉组件。打印机不需要脚本元素,因此可以放心地删除它们。请记住,当您提供PDF时,某些PDF打印机驱动程序会发现它们,并将其传递给未经修改的对象-在依赖它之前进行测试!获得干净的PDF后,将其通过电子邮件发送回自己,并在打开前在主机上使用病毒扫描程序进行检查。请注意,这并不能完全消除恶意软件传播的可能性,但应将机会降到最低。
评论
即使没有发现任何邪恶,我也会定期对燃烧器设备进行核对。如果您受到针对性攻击,则无论如何您可能都不会注意到它。它还使用户陷入心态,不应将任何个人物品存储在此处。
–eis
17-2-14在11:14
转换成图像格式然后发送给自己呢?这似乎比重新输入要实用得多。
–希望对您有所帮助
17-2-14在12:59
取决于您需要转移的内容-对于一些引号,键入非常容易。对于页面,是的,OCR是必经之路
–马修
17年2月14日在13:15
您可以使用ghostscript(例如)而不是pdf打印机来写入图像文件。不同于任意的打印机驱动程序,gs会按照提示进行操作。
–克里斯H
17年2月14日在13:15
@Matthew我创建了gs无法处理的pdf,但是使用图形接近病理情况。 Adobe也对该文件感到窒息。
–克里斯H
17年2月14日在13:41
#3 楼
因此,我尝试在“合理之地”中坚持这些关切。对于每个安全问题,都需要平衡安全性。安全。例如,您可以购买一台笔记本电脑,阅读从电子邮件提供商的网络邮件一侧加载的一个PDF,在“主计算机”上重新键入所需的任何内容,然后从新笔记本电脑重新开始破坏笔记本电脑。那将是非常安全的。也很昂贵,而且痛苦巨大。回到“合理”的方法。
首先,使用Linux和最新的PDF阅读器。这样做确实减少了您的曝光。针对Linux编写的病毒没有针对Windows编写的病毒。仅此一点就可以保护您很多。在Linux上运行的病毒实施起来更加复杂。再次减少您的曝光。
接下来使用支持快照的虚拟机。这个想法是,您在虚拟机主机(例如VirtualBox)中设置Linux操作系统,然后将其全部设置为“快照”状态。
然后,您可以在虚拟机中完成所有“风险”工作。使用隔离选项,我不知道任何可以“逃脱”虚拟机并进入主机的病毒(这并不意味着它们不存在,只是意味着它更罕见,并且对于攻击者而言更加复杂) )。
在一天结束或一天中的任何时间,如果您认为自己感染了病毒,则可以将计算机“还原”到以前的快照。快照后“发生”的所有更改和数据都将被撤消,包括任何工作,病毒等。
白天,只要您的虚拟机是独立存在的,您就可以打开PDF,使用ClamAV(或类似工具)对其进行扫描,复制和粘贴所需的内容或对PDF文件进行的所有操作。这意味着您不授予虚拟机访问主机的权限。您使用电子邮件之类的方式来传输文件。也许在主机和虚拟机之间使用FTP。什么,但不是直接集成。也不是保管箱。如果要传输文件,则只能在确定安全后再传输该文件。如果您使用的是Linux主机和Linux guest虚拟机,那么scp是一个不错的选择。
这为您提供了一个“相当安全”的一次性环境,可以检查出可疑的PDF,并具有“撤消”可能发生的损坏的能力,而无需真正改变工作流程。
虚拟机主机和来宾系统几乎可以是任何操作系统,包括Windows。请记住,如果您有Linux来宾和Windows主机,则Linux虚拟机可能甚至不会感染Windows计算机将感染的PDF中的病毒。无论使用哪种操作系统,都必须使用防病毒扫描程序进行扫描。
评论
我唯一关心的是,调查记者不仅要担心普通病毒(对于这种病毒,“比邻人的目标吸引力不大”),而且可能会主动成为目标。在这种情况下,如果攻击者知道他正在使用Linux,则会向他发送针对Linux漏洞的PDF。我认为不使用Acrobat仍然值得,但它的购买量不如您希望的那样。
–马丁·邦纳(Martin Bonner)支持莫妮卡(Monica)
17年2月15日在12:25
这就是为什么我说使用VM AND Linux和最新的Reader。每个解决方案仅是解决方案的一部分,而不是整个解决方案。
–牛羚
17年2月15日在12:45
我评论说:“这样做确实降低了您的曝光率”。我的观点是,对于试图安全浏览色情内容的普通用户而言,这可能是正确的。对于调查记者而言,情况就不一样了。
–马丁·邦纳(Martin Bonner)支持莫妮卡(Monica)
17年2月15日在12:57
#4 楼
使用CubeOS和一次性VM是一种好方法。其他一些选项(可以与CubeOS / DisVM结合使用):
撤消PDF
为此,您可以使用ghostscript:
gs -dNOPAUSE -dBATCH -sDEVICE=tiffg4 \
-dDownsampleMonoImages=false \
-dDownsampleGrayImages=false \
-dDownsampleColorImages=false \
-r200 \
-sOutputFile="$OUTFILE" -c .setpdfwrite -f "$FILE"
tiff2pdf -o "${OUTFILE%.*}.pdf" "$OUTFILE"
这对命令将把您的PDF呈现为图像,然后将该图像嵌入到PDF中。
检测可疑PDF
比利时InfoSec研究员Didier Stevens编写了出色的工具来检测恶意PDF文件。查找一个名为
pdfid.py
的文件。此工具分析PDF的内容以检测潜在的恶意文件。基本上,包含JavaScript或自动打开URL的PDF应该被视为可疑。
保护您的工具
无论选择哪种选项,您的工具都可以成为威胁代理的目标。经常修补它们,并在可抛弃/隔离的环境中运行它们。
评论
已经提到了QubesOS,尽管其他一些工具听起来很有趣。如答案中所述,使用ghostscript和Qubes中内置的“转换为受信任的PDF”工具之间有什么功能差异(如果有)? pdfid.py是否可以像普通的AV扫描一样工作?
–timuzhti
17年2月21日在9:34
#5 楼
将所有PDF转换为更多“被动”格式-可能是TIFF或后记-可以在本地计算机或某些linux box / VM上以受限帐户批量进行。带有恶意软件/恶意软件的文件格式很少。任何针对流行PDF查看器的攻击都可能无法与脚本转换工具(主要基于ghostscript引擎)一起使用;受限制的帐户将不会使成功利用漏洞造成很大的损失。在最新的linux机器上,普通用户帐户很难“破解”-但是请确保该机器没有不受管制的Internet访问,因为网络访问是最难控制。
如果泄露有效PDF的内容会带来可怕的后果,请确保在指定时间运行解释器的帐户一次只能访问一个PDF(例如将文件从另一个用户帐户复制到暂存位置,通过su / sudo(而不是sudo到root!)运行解释器,然后将结果文件拿走。冲洗,重复。 :将原始文件远离任何设置为在资源管理器,电子邮件客户端或类似前端中预览文件的PC(尤其是Windows)!
评论
后记不是被动的。
– Ben Voigt
17年2月14日在15:30
如果是直接从外部来源收到的附言文件-是的。由本地安装的转换器编写的,呈现pdf并将结果作为ps文件写入的内容极不可能保留活动的恶意内容。因此,就像我说的那样,更多的是被动的,而不是绝对的被动(我很清楚后记实际上是一种图灵完整的编程语言)。
–rackandboneman
17年2月14日在17:56
因为任意后记可以嵌入到PDF中,所以依靠PDF-> PS转换器仅输出“干净的”新创建后记似乎是不明智的,因为它可能包含输入中存在的一些后记代码。即使它通过“ Postscript Creator”虚拟打印机。
– Ben Voigt
17年2月14日在19:18
要通过@Ben扩展注释,如果您不赞成使用此方法,请确保在使用该转换器之前,先编写(或彻底检查)该转换器。您可能想选择SVG(但是请注意,某些SVG处理器具有JavaScript解释器,因此您的状况可能不会更好)。
– Toby Speight
17年2月15日在8:51
#6 楼
根据您的威胁模型,甚至“刻录机”或虚拟机方法也可能不够。如果攻击者希望识别您的位置,或者即使垃圾邮件发送者想要验证您的电子邮件地址是否处于活动状态,那么在打开PDF电话回家后,您也可以看到。狡猾的PDF甚至可能包含蠕虫来感染其他计算机,尽管我从未在野外看到过这种情况。 。#7 楼
我认为Qubes OS是一个不错的选择,但是您也应该研究Subgraph OS(注意:截至2017年2月2日,它仍处于Alpha版本,您可能应该等到更稳定的版本出来依靠它以增强安全性)。默认情况下,它附带带有经过Grsecurity / PaX加固的Linux内核,并且默认情况下,它具有围绕有风险的应用程序(如PDF阅读器(Evince))的沙箱。由于内核的强化,大多数针对PDF阅读器的攻击都将得到缓解。但是,如果它们成功了,那么攻击者仍将限于运行PDF的沙箱(Oz),沙箱可阻止Evince访问计算机上的敏感文件,例如例如您的加密密钥,电子邮件,个人文档等。Evince只需要访问它正在读取的PDF和其他文件即可正常运行。
沙箱还限制攻击者可以执行的操作类型,例如限制应用程序(在用户空间中运行)可以要求内核(在内核空间中运行)执行诸如读取和写入文件之类的系统调用的系统调用,使用称为seccomp的Linux功能通过网络等进行通信。因此,例如,沙箱还可以防止PDF阅读器(Evince)连接到Internet,从而保护您免受想要获取IP地址来发现您的位置的攻击者的侵害。
您可以在此处获得有关如何在Subgraph OS中打开PDF文件的完整文档。
#8 楼
我建议仅下载和打开pdf的“隔离”设备。就是未连接到网络的其余部分。然后打印(纸张不能传输恶意软件)。
之后,您可以对其进行扫描,然后在其中进行复印图像格式。在这种情况下,打印机也应隔离并仅连接到受污染的设备。扫描仪可以连接到网络的其余部分。
如果您想要更快的工作流程,可以将它们转换为图像,然后将它们发送给自己,如果您需要在其他地方查看它们,尽管您可以必须保证邮件没有以某种方式被感染。没有注入链接/图像/ javascript,文件格式也不可执行或pdf。
这意味着接收方只需要查看文本,而无需html或javascript。
评论
我仍然担心在下载->复制到USB过程中文件污染我的计算机的可能性...
–汤姆记者
17年2月14日在13:35
@Tomthejournalist:在这个答案中,“ USB”甚至出现在哪里?
–user21820
17年2月14日在13:39
当您假设打开PDF的设备是隔离的,导致PDF需要首先到达那里时,它隐式存在于此。或者是该过程的图像文件输出。
–希望对您有所帮助
17-2-14在13:40
@ user21820如何将文件移动到与网络其余部分隔离的设备?我想如果您真的愿意,可以使用软盘。
–曼上尉
17-2-14在15:54
@CaptainMan:它明确说“未连接到网络的其余部分”,而不是“未连接到互联网” ...
–user21820
17年2月15日在3:04
#9 楼
使用firejail
和xpdf
可能是一个较弱的(用户级别)答案,也许是cpulimit
: 。这些似乎可行,并且可能会禁用大多数功能:firejail [...options...] xpdf suspicious.pdf
如果担心可疑PDF也是CPU占用大量资源,请在第一行前面添加:
firejail --caps.drop=all --machine-id --net=none --nonewprivs \
--memory-deny-write-execute --overlay-tmpfs --seccomp \
xpdf suspicious.pdf
这将进一步限制
firejail
及其子进程使用一个CPU的10%。#10 楼
上面所有的答案似乎都是可行的,但是买一台真正便宜的笔记本电脑似乎很简单,它可以用作刻录机,卸下硬盘驱动器(因此很便宜),下载一个非永久性的os(Linux很棒!)在Thumbdrive(来自个人计算机)上,插入USB并配置启动顺序,访问电子邮件(从thumbdrive),下载pdf,禁用wifi连接(最好是物理方式),打开pdf,进行操作,终止所有不相关的进程(如果您需要重新连接)或重新启动,从而销毁所有可能已下载的病毒。我之所以要删除硬盘驱动器,是为了使病毒不会尝试将所有内容(包括其自身)保存到不受擦除影响的其他驱动器中。评论
好主意,特别是对于出于专业原因而日常需要此操作的人,值得购买廉价的硬件。我想添加两件事:1)“几乎无法物理禁用wifi”通常是不可能的。我建议使用电缆,这样您就无需连接到wifi网络(该设备再也不会包含其密码),甚至不必卸下wifi芯片(通常很容易)。 2)使用后我将覆盖记忆棒或SD卡,而不是终止进程或重启。
–吕克
17-2-26在15:13
@Luc有些计算机具有wifi开关,实际上会禁用芯片(不是向软件发出信号),但可能不是当今我们看到的较新的计算机。电缆会更安全;你是绝对正确的。如果它是非持久性系统,则可以保留任何病毒并可执行的idk。最后,如果您发现自己已被感染或认为出了什么问题,改写是可行的方法。您可能还考虑取下电池,并强迫计算机作为台式机运行(出问题了,您会断电)
– PMARINA
17-2-27在3:33
#11 楼
我建议您购买一台便宜的Android手机(如今大约是50美元)并用它来打开文档。将您的文件发送到云端,然后将其下载到您的Android手机中。这样一来,您的计算机就可以免受恶意PDF的破坏,保持极为安全的状态。评论
@OskarSkog恢复出厂设置无法抵御使用漏洞利用获得根的恶意软件。闪烁可能会更可靠,尽管我无法确切地说出它的可靠性。
–吕克
17-2-26在15:15
取出电池。这将限制恶意软件从手机传播的时间。
–奥斯卡·斯科格(Oskar Skog)
17年2月26日在20:18
为什么要下票?这是一个简单但有效的解决方案:PDF可能会影响的唯一事情是一部手机,除了这种特定用途外,它不能用于其他任何用途。
–奥斯卡·斯科格(Oskar Skog)
17-2-26在20:21
该手机的单独WiFi上的防火墙可用于限制恶意软件从手机传播。如果您无法进行设置,请在不使用手机时取出电池。切记切勿将手机用于其他任何用途。
–奥斯卡·斯科格(Oskar Skog)
17年2月26日在20:23
#12 楼
打开沙箱中的文件。如果被感染,则应将感染包含在内,并且可以重置此虚拟环境。
编辑:
沙箱是一个虚拟环境,您可以随意创建和删除它,就像虚拟桌面一样,您可以在其中进行任何操作,然后将其重置回初始阶段。只需重置即可。
例如Avast防病毒软件(收费版本)具有沙箱解决方案,可让您右键单击文件并将其在沙箱中打开。的解决方案,另一个例子是Sandboxie
编辑2:
删除了MD5建议,它不如Sandbox解决方案。
评论
我在文章中提到了病毒总数,以及为什么这种类型的工作不方便。您的第二个建议很有趣,请您添加更多详细信息?
–汤姆记者
17年2月14日在10:24
关于VT-当您将文件转换为哈希时,这是一种转换方式,VT不会接收您的文件。这不是恶意软件的防弹措施(因为并非VT知道所有散列),而是防漏的防弹措施。关于沙盒解决方案:沙盒是一个虚拟环境,您可以随意创建和删除它,例如虚拟桌面,您可以在其中进行任何操作,然后将其重置回初始阶段。已感染?只需重置即可。例如,Avast防病毒软件(付费版本)具有沙箱解决方案,可让您右键单击该文件并在沙箱中打开它。
– FatSecurity
17年2月14日在10:29
但是PDF将是唯一的,它很可能不会在病毒库中。感谢您对沙箱的说明,我将对此进行调查。
–汤姆记者
17-2-14在10:32
这就是为什么我说这不是防弹的原因,然后再说一遍-如果有人试图用恶意软件感染您,他们可能就不会为您创建唯一文件。更改文件名不会导致不同的MD5哈希,只会更改文件的内容。
– FatSecurity
17-2-14在10:35
@AntivirusExpert,但是pdf完全能够即时更改内容,以击败这种扫描(就像在.exe等恶意软件中已经使用了好几年甚至几十年一样)。我刚刚进行了测试,您可以使用与sed一样琐碎的内容替换标头数据;这将更改MD5sum。您必须假设恶意软件创建者可以并且愿意这样做。更不用说来源可能使它在此威胁模型中独特
–克里斯H
17-2-14在13:13
#13 楼
使用OpenBSD或FreeBSD,它们被设计为尽可能安全。他们也不需要太多的技术知识。使用docker容器处理PDF文件将非常安全。评论
FreeBSD上的PDF阅读器可能与Linux上的阅读器一样脆弱,它们很可能是从同一来源编译的。 OpenBSD对特定的攻击技术更强悍,但无法抵抗威胁。
–奥斯卡·斯科格(Oskar Skog)
17-2-26在12:11
“他们也不需要太多的技术知识。”取决于你是谁。我无法在FreeBSD上安装X,因此渲染PDF非常困难。而且我比普通的Joe拥有更多的技术知识。
–奥斯卡·斯科格(Oskar Skog)
17-2-26在12:13
#14 楼
只需使用Ubuntu Touch智能手机即可。与Android和Android不同,它不是很流行,因此寻找漏洞利用的人越来越少。因此,被恶意PDF利用的可能性较低。不只是Ubuntu Touch,您还可以使用任何不流行的移动操作系统。评论
欢迎使用信息安全SE。通过模糊不清地推荐这种安全性并不是万无一失的,尤其是因为OP看起来他可能会受到有针对性的攻击。 “不受欢迎”意味着除“野外极少的攻击”外还有许多其他事情。
–杰迪
17-2-26在14:35
评论
我曾经见过应用程序虚拟化(app-v / citrix等),但是现在浏览器内置了自己的阅读器,因此不会变得水密。鉴于所报告的恶意活动和鱼叉捕鱼的程度,您可以放心。当您确实设置了安全系统(Qubes OS听起来不错)时,那时候可能值得擦除并重建当前系统以排除它已受到破坏。
@BgrWorker Gmail呈现PDF服务器端;它没有以PDF格式下载。但这使机密性比将其发送给VirusTotal更糟。
我要表达我的敬意,即使您不是记者的非技术性工作的首要条件,也要花时间和精力解决麻烦,这是计算机安全问题。
@Tom如果您对Qubes OS感兴趣并且不想花费时间尝试安装它,那么可以考虑购买Qubes OS认证的Qubes-os.org/doc/certified-laptops Qubes OS认证笔记本电脑。