Come disinfettare i file di archivio?

5

Sto cercando un modo per assicurarmi che un particolare file di archivio non contenga alcun tipo di codice dannoso. Di tanto in tanto compaiono nuove vulnerabilità (ad es. gzip , 7zip ) quindi ho pensato che sarebbe una buona idea convertire l'archivio da un formato a un altro prima di aprirlo sul sistema sicuro.

Suppongo che questa operazione renderebbe quasi impossibile lo sfruttamento. Non sono preoccupato per i file compressi all'interno dell'archivio (diciamo che sono ascii testo normale), solo per il formato di archivio stesso. Questo trucco funziona bene con i formati di immagine, in cui la conversione di un file sospetto (ad esempio jpeg in bmp) ignora l'esecuzione del file e restituisce l'immagine sterilizzata. Ad esempio, per mitigare MS14-013 .

C'è un modo simile di convertire l'archivio senza doverlo decomprimere / comprimere di nuovo? Forse qualcuno conosce un metodo migliore?

    
posta TextF 25.06.2015 - 16:03
fonte

2 risposte

2

Il modo in cui converti una jpg in una bmp equivale essenzialmente a decomprimere jpg e scriverlo come bmp . Per convertire un formato di archivio in un altro devi prima decomprimere l'originale e poi comprimerlo nel nuovo formato.

Se questo è "più sicuro" o meno dipende dal fatto che lo strumento che stai usando per decomprimere automaticamente abbia diverse vulnerabilità allo strumento che usi normalmente per aprire l'archivio. Non ci sono troppi vantaggi della conversione automatica. Gli unici che vedo sono se la conversione è avvenuta su una macchina isolata in cui qualsiasi exploit innescato potrebbe causare danni limitati. Inoltre, se la vulnerabilità non si trova nell'algoritmo di compressione stesso, l'uso di uno strumento automatico può comportare meno rischi in quanto sarebbe meno probabile che sia l'obiettivo degli aggressori.

Inoltre, non vedo il vantaggio nel cambiare formato. Se sei preoccupato per le vulnerabilità in un file compresso, perché non fare in modo che il correttore automatico decomprima i file e li aggiunga a un nuovo archivio nello stesso formato prima di inviarlo a te? Ciò rimuoverebbe qualsiasi cosa codificata nel file di archivio stesso a meno che l'exploit fosse una funzione dei file compressi stessi. Se lo fosse, la modifica del formato non ti sarebbe di aiuto in quanto un attacco mirato semplicemente userebbe i file per sfruttarlo, ma lo aggiungerebbe a un formato di archivio diverso sapendo che dovresti convertirli.

    
risposta data 25.06.2015 - 16:57
fonte
3

Essere in grado di convertire un archivio da un formato all'altro senza decomprimerlo è molto raro. Diversi formati utilizzano strutture di file e algoritmi diversi che sono incompatibili e sarai costretto a decomprimere il formato sorgente ad un certo punto.

Una volta eseguita la conversione per decompressione, molte delle vulnerabilità potrebbero essere sfruttabili. La superficie di attacco potrebbe anche diventare più grande di prima dato che diversi programmi vengono utilizzati quando si eseguono decompressione, compressione e nuovamente decompressione.

Se si ricevono i file da fonti non attendibili, è possibile specificare che sono consentiti solo determinati formati di archivio. Scegliere quale supportare non è facile, poiché nessuno dei formati è "più sicuro" degli altri. Si potrebbe sostenere che quelli con più CVE sono meno sicuri, ma ciò significa anche che molti problemi in essi sono già stati risolti. Zip più sicuro perché ha meno CVE? Non necessariamente, le vulnerabilità potrebbero non essere state divulgate al pubblico, o meno ricerche potrebbero essere state fatte.

Se ti attieni ai formati di archivio più comuni (7z, zip, gz) e mantieni aggiornato il tuo software, dovresti stare bene.

    
risposta data 25.06.2015 - 16:52
fonte

Leggi altre domande sui tag