Je pense que l'option la plus sûre pour vous serait d'utiliser Qubes OS avec sa fonctionnalité intégrée de DisposableVM et sa " Outil Convertir en PDF de confiance ”.

Qu'est-ce que Qubes OS?

Qubes est un système d'exploitation où tout est basé sur des machines virtuelles. Vous pouvez y penser comme si vous aviez différents «ordinateurs» isolés à l’intérieur du vôtre. Ainsi, vous pouvez compartimenter votre vie numérique en différents domaines, de sorte que vous puissiez avoir un `` ordinateur '' où vous ne faites que des tâches liées au travail, un autre `` ordinateur '' qui est hors ligne et où vous stockez votre base de données de mots de passe et vos clés PGP, et un autre «ordinateur» qui est spécifiquement dédié à la navigation non fiable ... Les possibilités sont innombrables, et la seule limite est votre RAM et, en gros, combien d'ordinateurs différents peuvent être chargés à la fois. Pour vous assurer que tous ces 'ordinateurs' sont correctement isolés les uns des autres, et qu'ils ne peuvent pas se connecter à votre hôte (appelé ' dom0 ' pour le domaine 0) et contrôler ainsi l'ensemble de votre machine, Qubes utilise l ' hyperviseur Xen, ^[1] , qui est le même logiciel sur lequel s'appuient de nombreux grands fournisseurs d'hébergement pour isoler les sites Web et les services les uns des autres comme Amazon EC2, IBM, Linode ... Une autre chose intéressante est que chacun de vos «ordinateurs» a une couleur spéciale qui se reflète dans les bordures des fenêtres. Vous pouvez donc choisir le rouge pour l ’« ordinateur »non fiable et le bleu pour votre« ordinateur »de travail (voir par exemple l’image ci-dessous). Ainsi, en pratique, il devient vraiment facile de voir dans quel domaine vous travaillez. Alors disons maintenant qu'un malware malveillant pénètre dans votre machine virtuelle non approuvée, alors il ne peut pas casser et infecter d'autres machines virtuelles susceptibles de contenir des informations sensibles à moins qu'il ne possède un exploit qui peut utiliser une vulnérabilité dans Xen pour pénétrer dans dom0 (ce qui est très rare), quelque chose qui élève considérablement la barre de sécurité (avant qu'il ne soit nécessaire de déployer des logiciels malveillants sur votre machine avant de tout contrôler), et cela vous protégera de la plupart des attaquants sauf les plus riches et sophistiqués ceux.

Que sont les machines virtuelles jetables?

L'autre réponse mentionnait que vous pouvez utiliser un ordinateur portable graveur. Une machine virtuelle jetable est un peu la même sauf que vous n'êtes pas lié par des contraintes physiques: vous avez une infinité de machines virtuelles jetables à votre guise. Tout ce qu'il faut pour en créer un est un clic, et une fois que vous avez terminé, la machine virtuelle est détruite. Assez cool, hein? Qubes est livré avec une extension Thunderbird qui vous permet d'ouvrir les pièces jointes dans DisposableVMs, ce qui peut être très utile pour vos besoins. ^[2]

(Crédits: Micah Lee )

De quoi parliez-vous de « Convertir en PDF de confiance »?

Disons que vous avez trouvé un document intéressant, et disons que vous disposiez d'une machine virtuelle hors ligne spécialement dédiée au stockage et à l'ouverture de documents. Bien sûr, vous pouvez directement envoyer ce document à cette machine virtuelle, mais il se peut que ce document soit malveillant et tente par exemple de supprimer tous vos fichiers (un comportement que vous ne remarqueriez pas dans la courte durée JetableVM). Mais vous pouvez également le convertir en ce que l’on appelle un «PDF de confiance». Vous envoyez le fichier vers une autre VM, puis vous ouvrez le gestionnaire de fichiers, accédez au répertoire du fichier, cliquez avec le bouton droit de la souris et choisissez «Convertir en PDF approuvé», puis renvoyez le fichier à la VM où vous collectez vos documents . Mais que fait-il exactement? L'outil «Convertir en PDF de confiance» crée un nouveau DisposableVM, y place le fichier, puis le transforme via un analyseur (qui s'exécute dans DisposableVM) qui prend essentiellement la valeur RVB de chaque pixel et laisse tout le reste. C'est un peu comme ouvrir le PDF dans un environnement isolé, puis le «capturer» si vous voulez. Le fichier devient évidemment beaucoup plus gros, si je me souviens bien, il s'est transformé lorsque j'ai testé un PDF de 10 Mo en un fichier de 400 Mo. Vous pouvez obtenir beaucoup plus de détails à ce sujet dans cet article de blog de Joanna Rutkowska, chercheuse en sécurité et créatrice de Qubes OS.

^{[1]: L'équipe Qubes OS est travailler à rendre possible la prise en charge d'autres hyperviseurs (tels que KVM) afin que vous puissiez non seulement choisir différents systèmes à exécuter sur vos VM, mais également l'hyperviseur même qui exécute ces machines virtuelles.
[2]: Vous devez également configurer une option pour que DisposableVM - qui est généré une fois que vous cliquez sur «Ouvrir dans DispVM» - soit hors ligne, afin qu'ils ne puissent pas obtenir votre adresse IP. Pour ce faire: "Par défaut, si un DisposableVM est créé (par Open in DispVM ou Run in DispVM ) depuis une VM qui n'est pas connectée à la passerelle Tor, le nouveau DisposableVM peut acheminer son trafic sur clearnet. En effet, les DisposableVM héritent de leurs NetVM de la VM appelante (ou du paramètre dispvm_netvm de la VM appelante si différent). Le paramètre dispvm_netvm peut être configuré par VM par: dom0 → Qubes VM Manager → VM Settings → Advanced → NetVM for DispVM . " Vous devrez le définir sur aucun afin qu'il ne soit connecté à aucune VM du réseau et n'ait pas d'accès à Internet.
[3]: Modifier: Cette réponse mentionne Subgraph OS, avec un peu de chance, quand un template VM de Subgraph est créé pour Qubes, vous pouvez l'utiliser avec Qubes, ce qui rend les exploits beaucoup plus difficiles, et grâce au sandbox intégré, il nécessiterait un autre exploit d'échappement sandbox ainsi qu'un exploit Xen pour compromettre l'ensemble de votre machine.}

Le plus sûr serait probablement un graveur. Prenez un ordinateur portable bon marché et un dongle Internet mobile, utilisez-le pour télécharger les documents et copiez manuellement tout contenu sur votre ordinateur principal (la retaper serait littéralement plus sûr, si vous êtes particulièrement inquiet). Comme il ne se trouve pas sur votre réseau, il ne devrait pas être en mesure de causer des problèmes même s'il a été infecté, et vous pourrez l'effacer ou simplement le mettre dans le bac si vous recevez un malware particulièrement malveillant.

Si vous avez besoin du contenu réel des fichiers (par exemple, des images incorporées), une option serait d'installer un pilote d'impression PDF sur votre graveur et d'imprimer les fichiers PDF entrants en l'utilisant - cela générera une sortie PDF, mais, en théorie, juste les composants visuels. Les imprimantes n'ont généralement pas besoin d'éléments de script, elles peuvent donc être supprimées en toute sécurité. Gardez à l'esprit que certains pilotes d'imprimante PDF détectent lorsque vous fournissez un PDF et le transmettent simplement sans modification - testez-le avant de vous y fier! Une fois que vous avez un PDF propre, envoyez-le à vous-même et vérifiez avec un antivirus sur votre ordinateur principal avant de l'ouvrir. Notez que cela n'élimine pas complètement la possibilité que des logiciels malveillants passent, mais devrait minimiser les chances.

Donc, j'essaye de m'en tenir à ces préoccupations au "pays du raisonnable". Avec chaque problème de sécurité, il existe un équilibre entre les v.s. sûr. Par exemple, vous pouvez acheter un ordinateur portable, lire un fichier PDF chargé à partir de la messagerie Web de votre fournisseur de messagerie, retaper le contenu dont vous avez besoin sur un «ordinateur principal», puis détruire l'ordinateur portable en recommençant avec un nouvel ordinateur portable. Ce serait assez sûr. Aussi coûteux, et une douleur géante.

Revenons donc à une approche "raisonnable".

Premièrement, utilisez Linux et un lecteur PDF à jour. Ce faisant, vous avez vraiment réduit votre exposition. Il n'y a pas autant de virus écrits pour Linux que pour Windows. Cela seul vous protégera un peu. Les virus qui fonctionnent sous Linux sont plus compliqués à implémenter. Encore une fois, réduire votre exposition.

Ensuite, utilisez une machine virtuelle qui prend en charge la capture instantanée. L'idée est que vous configurez votre système d'exploitation Linux dans un hôte de machine virtuelle (comme VirtualBox), puis que vous configurez tout l'état, "Snapshot".

Vous pouvez alors faire tout votre travail "risqué" à l'intérieur de la machine virtuelle. En utilisant les options d'isolation, je ne connais aucun virus qui puisse «échapper» à la machine virtuelle et atteindre la machine hôte (cela ne veut pas dire qu'ils ne sont pas là, cela signifie simplement que c'est plus rare et plus compliqué pour l'attaquant ).

À la fin de la journée, ou à tout moment de la journée où vous pensez avoir attrapé un virus, alors vous "rétablissez" la machine à l'instantané précédent. Toutes les modifications et données qui "se sont produites" après votre instantané sont annulées, y compris tout travail, virus, etc.

Pendant la journée, vous pouvez ouvrir un PDF, le numériser avec ClamAV (ou autre), copier et coller ce dont vous avez besoin, ou tout ce que vous devez faire avec les fichiers PDF, à condition que votre machine virtuelle existe dans isolement. Cela signifie que vous ne donnez pas à la machine virtuelle l'accès à la machine hôte. Vous utilisez quelque chose comme le courrier électronique pour transférer les fichiers. Peut-être FTP entre l'hôte et la machine virtuelle. Quelque chose, mais pas une intégration directe. Pas de dropbox non plus. Quelque chose où si vous allez transférer le fichier, vous ne transférerez ce fichier qu'une fois que vous serez à peu près sûr qu'il est en sécurité. Si vous utilisez un hôte Linux et un invité Linux, scp est un excellent choix.

Cela vous donne un environnement jetable "assez sécurisé" pour vérifier vos PDF douteux, avec la possibilité de "réparer" les dommages qui peuvent survenir, sans avoir à vraiment changer grand-chose dans votre flux de travail.

Les hôtes et invités de machine virtuelle peuvent être presque tous les systèmes d'exploitation, y compris Windows. Gardez à l'esprit que si vous avez un invité Linux et un hôte Windows, la machine virtuelle Linux peut même ne pas être sensible à un virus présent dans le PDF auquel une machine Windows sera sensible. La numérisation avec un antivirus est importante, quel que soit le système d'exploitation utilisé.

Utiliser CubeOS et des VM jetables est une bonne approche.

Quelques autres options (qui peuvent être combinées avec celle de CubeOS / DisVM):

Désarmer le PDF

Vous pouvez utiliser ghostscript pour cela:

  gs -dNOPAUSE -dBATCH -sDEVICE = tiffg4 \ -dDownsampleMonoImages = false \ -dDownsampleGrayImages = false \ -dDownsampleColorImages = false \ -r200 \ -sOutputFile = "$ OUTFILE" -c .setpdfwrite -f "$ FILE" tiff2pdf -o "$ {OUTFILE%. *}. Pdf" "$ OUTFILE"  

Cette paire de commandes sera rendue votre PDF en tant qu'image, puis intégrez cette image dans un PDF.

Détecter les PDF suspects

Didier Stevens, un autre chercheur belge d'InfoSec, a écrit d'excellents outils pour détecter les fichiers PDF malveillants. Recherchez-en un appelé pdfid.py

Cet outil analyse le contenu du PDF pour détecter les fichiers potentiellement malveillants.

Fondamentalement, un PDF contenant JavaScript ou Auto -Les URL ouvertes doivent être considérées comme suspectes.

Protégez vos outils

Quelle que soit l'option que vous sélectionnez, vos outils peuvent devenir la cible de votre agent de menace. Corrigez-les fréquemment et exécutez-les dans un environnement jetable / isolé.

La conversion de tous les PDF en un format plus "passif" - peut-être TIFF ou PostScript - pourrait être effectuée par lots, dans un compte restreint sur la machine locale ou sur une machine Linux / VM. Un exploit / malware transporté dans un format de fichier différent est très improbable.

Les fichiers qui sont purement malveillants ne seront même pas rendus de cette façon; tout exploit destiné aux lecteurs PDF populaires ne fonctionnera probablement pas avec les outils de conversion scriptés (qui seront principalement basés sur le moteur ghostscript); et le compte restreint empêchera un exploit réussi de faire beaucoup de dégâts.

Un compte utilisateur normal sur une machine Linux à jour est très difficile à «sortir» - assurez-vous cependant que cette machine n'a pas d'accès Internet non réglementé, car l'accès au réseau est le le plus difficile à contrôler.

Si la divulgation du contenu des PDF valides aurait des conséquences désastreuses, assurez-vous qu'un seul PDF à la fois est accessible au compte exécutant l'interpréteur à un moment donné (par exemple en copiant le dans un emplacement intermédiaire à partir d'un autre compte utilisateur, exécutez l'interpréteur via su / sudo (pas sudo vers root!), puis retirez le fichier de résultat. Rincez, répétez.

Oh, et: gardez le les fichiers originaux loin de tout PC (en particulier Windows) configuré pour faire des aperçus de fichiers dans l'Explorateur, dans des clients de messagerie ou des frontaux similaires!

Selon votre modèle de menace, même l'approche «périphérique graveur» ou machine virtuelle peut ne pas être suffisante. Si un attaquant cherche à identifier votre emplacement, ou même si un spammeur veut valider que votre adresse e-mail est active, le fait d'avoir le téléphone à la maison du PDF après son ouverture vous exposera. Les PDF Crafty peuvent même contenir des vers pour infecter d'autres machines, même si je n'ai jamais vu cela dans la nature.

Ainsi, après avoir téléchargé le PDF, vous devrez peut-être déconnecter l'appareil du réseau avant de l'ouvrir.

Je pense que Qubes OS est une excellente option, mais vous devriez également jeter un œil à Subgraph OS (Remarque: il est toujours dans sa version alpha à partir de 2-2017, vous devriez probablement attendre une version plus stable en ressort pour une sécurité renforcée). Il est livré par défaut avec un noyau Linux renforcé avec Grsecurity / PaX, et il a par défaut des bacs à sable autour des applications à risque comme un lecteur PDF ( Evince). En raison du durcissement du noyau, la plupart des exploits contre le lecteur PDF seraient atténués. S'il réussit, l'attaquant est toujours limité au bac à sable ( Oz ) dans lequel le PDF s'exécute,

Le sandbox empêche Evince d'accéder aux fichiers sensibles de l'ordinateur, tels que vos clés de chiffrement, vos e-mails, vos documents personnels, etc. Evince ne nécessite l'accès qu'au (x) PDF qu'il lit et à certains autres fichiers dont il a besoin pour fonctionner normalement.

Le bac à sable limite également les types d'actions qu'un attaquant peut effectuer, comme limiter les appels système qu'une application (exécutée dans espace utilisateur ) peut effectuer pour demander au kernel (fonctionnant dans kernel-space ) pour faire des choses telles que lire et écrire des fichiers, communiquer sur le réseau, etc., en utilisant une fonctionnalité Linux appelée seccomp . Ainsi par exemple le sandbox empêche également le lecteur PDF (Evince) de se connecter à Internet, ce qui vous protège d'un attaquant qui veut obtenir votre adresse IP pour découvrir votre emplacement.

Vous pouvez obtenir la documentation complète sur la façon d'ouvrir des fichiers PDF dans Subgraph OS ici.

Je recommanderais un appareil "isolé" uniquement pour télécharger et ouvrir les fichiers PDF. C'est à dire. non connecté au reste de votre réseau.

Ensuite, imprimez-le (le papier ne peut pas transmettre de logiciels malveillants).

Après cela, vous pouvez le scanner, vous en avez une copie au format image . L'imprimante doit être isolée et connectée uniquement à l'appareil contaminé dans ce cas. Le scanner peut être connecté au reste de votre réseau.

Si vous voulez un flux de travail plus rapide, vous pouvez simplement les transformer en images et les envoyer à vous-même si vous avez besoin de les voir ailleurs, bien que vous ayez pour garantir que le courrier n'est pas infecté d'une manière ou d'une autre. Aucun lien / image / javascript injecté et le format de fichier n'est ni exécutable ni pdf.

Ce qui signifie que le destinataire n'a besoin d'afficher que du texte, pas de html ou javascript.

Il s'agit d'une réponse plus faible (au niveau de l'utilisateur) utilisant firejail et xpdf , et peut-être cpulimit :

  firejail [... options ...] xpdf suspicious.pdf  

Je ne sais pas quel est le meilleur options serait pour les fichiers PDF suspects. Ceux-ci semblent fonctionner et désactiveraient probablement la plupart des méchancetés:

  firejail --caps.drop = all --machine-id --net = none --nonewprivs \ --memory-deny- write-execute --overlay-tmpfs --seccomp \ xpdf suspicious.pdf  

Si vous craignez que le PDF suspect soit également un porc CPU, préfixez la première ligne avec:

  cpulimit -c 1 -l 10 -m - \  

Ce qui restreindrait davantage firejail et ses processus enfants à l'utilisation de 10% d'un CPU .

Toutes les réponses ci-dessus semblent faisables, mais à vrai dire, il semble beaucoup plus simple d'acheter un ordinateur portable vraiment pas cher qui fonctionne comme une sorte de graveur, de retirer le disque dur (donc pas cher), de télécharger un système d'exploitation non persistant (Linux est génial!) sur une clé USB (à partir d'un ordinateur personnel), branchez l'usb et configurez la séquence de démarrage, accédez à votre courrier électronique (à partir de la clé USB), téléchargez le pdf, désactivez la connexion wifi (de préférence physiquement), ouvrez le pdf, travaillez, mettez fin à tout ce qui n'est pas pertinent processus (si vous devez vous reconnecter) ou redémarrer, détruisant ainsi tous les virus qui auraient pu être téléchargés. La raison pour laquelle je vous demande de retirer votre disque dur est que le virus n'essaie pas de tout sauvegarder (y compris lui-même) sur un autre lecteur qui n'est pas affecté par l'effacement.

Je recommanderais d'acheter un téléphone Android bon marché (ils coûtent environ 50 $ aujourd'hui) et de l'utiliser pour ouvrir des documents. Envoyez vos fichiers dans le cloud, puis téléchargez-les sur votre téléphone Android. De cette façon, votre ordinateur reste remarquablement à l'abri des dommages causés par les fichiers PDF malveillants.

Ouvrez les fichiers dans un bac à sable.

Si vous êtes infecté, l'infection doit être contenue et vous pouvez réinitialiser cet environnement virtuel.

Modifier:

Un bac à sable est un environnement virtuel que vous pouvez créer et supprimer à volonté, comme un bureau virtuel où vous pouvez faire n'importe quoi, puis le réinitialiser à la phase initiale.

Infecté? Il suffit de réinitialiser.

Avast antivirus (version payante) par exemple dispose d'une solution sandbox qui vous permet de faire un clic droit sur le fichier et de l'ouvrir dans un sandbox.

Il existe des tonnes de solutions comme celle-ci, un autre exemple est Sandboxie

Edit 2:

Suppression de la suggestion MD5, il est inférieur à la solution sandbox.

Utilisez OpenBSD ou FreeBSD, ils ont été conçus pour être aussi sécurisés que possible. Ils ne nécessitent pas non plus beaucoup de connaissances techniques. Utiliser des conteneurs Docker pour gérer les fichiers PDF serait ultra sûr.

Utilisez simplement un smartphone Ubuntu Touch. Contrairement à Android et iOS, ce n'est pas très populaire, donc il y a moins de gens à la recherche d'exploits. Ainsi, la probabilité d'être exploité par des PDF malveillants est plus faible. Ce n'est pas seulement Ubuntu Touch, vous pouvez utiliser n'importe quel système d'exploitation mobile qui n'est pas populaire.