PDF: ¿Muerte a un formato o caza de brujas? [Virus Bulletin 2010]

Durante la última semana se ha hablado mucho del formato PDF y se ha estado aclamando su desaparición por distintos lugares de Internet. De hecho se menciona un supuesto sondeo realizado a profesionales de la seguridad informática. Pero ¿de dónde surge este macarthismo tecnológico? He aquí la respuesta...

Para ponernos en contexto, recordemos que durante los días 29 y 30 de septiembre y 1 de octubre se realizó el congreso mas destacado para la industria antivirus: Virus Bulletin Conference 2010. Este año celebró su vigésimo aniversario, con un evento que reunió a muchos de los mas importantes especialistas de anti-malware del mundo. Como ya hemos contado ESET estuvo presente en el evento, con mas de 20 profesionales de los cuales tres representaron específicamente a Latinoamérica.

Pero ¿qué tiene que ver esto con el formato PDF? Pues bien, en una de las charlas cuyo tema era el análisis heurístico aplicado a archivos PDF, el presentador luego de asegurarse de que no había nadie de la empresa Adobe en la sala, preguntó a la audiencia quiénes creían que el PDF debía ser reemplazado en favor de un formato mas seguro. Curiosamente la gran mayoría de los participantes levantaron la mano, aunque vale destacar que el mismo fue un comentario que rozó la broma, y que de hecho no está incluido en el paper original presentado para dar la charla. Ahora bien ¿es esto suficiente para afirmar una tendencia sobre el ocaso de un formato tan popular, como hicieron muchos medios de comunicación (incluso algunos de ellos afirmando un porcentaje claramente calculado a ojo en unos pocos segundos)? Claramente no. Si bien los especialistas en seguridad suelen desear mejoras en prácticamente todo, la ecuación sigue siendo contundente: seguridad y funcionalidad son y serán siempre inversamente proporcionales. Esto implica que a mayor funcionalidad (y comodidad) la seguridad tenderá a decrecer, y viceversa.

En lo que al formato PDF se refiere, este estándar abierto descrito en ISO 32000-1 fue madurando desde un simple formato derivado de Postscript en 1993, hasta sus versiones mas modernas (la última es de 2008) con capacidades de uso de multimedia y scripting embebido. Aquí yace su principal problema, ya que la complejidad suele ser enemiga de la seguridad. Esto no hace al formato en inseguro en si mismo, pero complica las cosas para garantizar seguridad.

Técnicamente la mayor complejidad del formato hace que sea más difícil de manipular para los desarrolladores de aplicaciones relacionadas, y más fácil de aprovechar para los usuarios maliciosos. El problema pareciera no tener solución trivial, ya que la tecnología demanda funcionalidades en tanto que la industria de la seguridad exige protección.

Lo más curioso de este escenario es que los archivos PDF están siendo objetivo de los atacantes desde hace unos pocos años, primero comenzando por explotar bugs en el software utilizado para leerlos, y luego abusando directamente de las características propias del formato. Es decir, un archivo PDF especialmente diseñado podría explotar una vulnerabilidad en el motor de interpretación (parser) de un programa para tomar control total del sistema, pero por otro lado, también podría utilizarse alguna característica permitida en el formato para embeber un código malicioso, como ser un JavaScript dañino, que tome alguna acción subrepticia desconocida por el usuario. En este blog ya hemos reportado numerosos casos de combinación entre malware y archivos PDF.

¿Ideas constructivas? En su charla, Paul Baccas propone algunas. En cuanto a su creador (Adobe) incorporar características de seguridad, como permitir solo el uso de scripts y archivos embebidos si están firmados, deshabilitar por defecto el scripting en el software de lectura, deshabilitar el JavaScript en los plug-ins de los navegadores, y por supuesto, implementar un modo más estricto de interpretación para el formato.

En resumen, no es necesario preocuparse demasiado por la continuidad del PDF, ya que aún se le augura una larga vida. Tal vez con el tiempo pueda ofrecer una mayor tranquilidad a los usuarios, a los desarrolladores, y a sus creadores, pero por el momento es recomendable comenzar a tomar conciencia de los riesgos de su uso, sin caer en la paranoia, y comprendiendo realmente el alcance de los peligros.

Federico Pacheco
Education & Research Manager