¿Cómo desinfectar archivos?

Navega tus respuestas
5

Estoy buscando una manera de asegurarme de que un archivo en particular no contenga ningún tipo de código malicioso. De vez en cuando aparecen nuevas vulnerabilidades (por ejemplo, gzip , 7zip ) así que una buena idea sería convertir el archivo desde un formato a otro antes de abrirlo en el sistema seguro.

Supongo que esta operación haría la explotación casi imposible. No me preocupan los archivos comprimidos dentro del archivo comprimido (digamos que se trata de texto simple ascii), solo el formato del archivo comprimido. Este truco funciona bien con los formatos de imagen, donde la conversión de un archivo sospechoso (por ejemplo, jpeg a bmp) evita la ejecución del archivo y devuelve la imagen desinfectada. Por ejemplo, para mitigar MS14-013 .

¿Hay una forma similar de convertir el archivo sin descomprimirlo / comprimirlo nuevamente? Tal vez alguien conoce un método mejor?

    
pregunta TextF 25.06.2015 - 16:03
fuente

2 respuestas

2

La forma en que conviertas un jpg a un bmp sería esencialmente descomprimir el jpg y escribirlo como un bmp . Para convertir un formato de archivo a otro, primero debe descomprimir el original y luego comprimir el nuevo formato.

Si esto es "más seguro" o no, depende de si la herramienta que está utilizando para descomprimir automáticamente tiene diferentes vulnerabilidades a la herramienta que usa para abrir el archivo normalmente. No hay demasiadas ventajas de la conversión automatizada. Los únicos que veo son si la conversión tuvo lugar en una máquina aislada en la que cualquier ataque desencadenado podría causar un daño limitado. Además, si la vulnerabilidad no está en el algoritmo de compresión en sí, el uso de una herramienta automatizada puede conllevar menos riesgos, ya que sería menos probable que sea el objetivo de los atacantes.

Además, no puedo ver el beneficio de cambiar el formato. Si le preocupan las vulnerabilidades en un archivo comprimido, ¿por qué no hace que su verificador automatizado descomprima los archivos y luego los agregue a un nuevo archivo en el mismo formato antes de enviárselo? Esto eliminaría cualquier cosa codificada en el archivo comprimido, a menos que el exploit fuera una función de los archivos comprimidos. Si lo fuera, cambiar de formato no te ayudaría, ya que un ataque dirigido simplemente usaría los archivos para explotar esto, pero lo agregaría a un formato de archivo diferente sabiendo que luego los convertirías.

    
respondido por el SilverlightFox 25.06.2015 - 16:57
fuente
3

Es muy raro poder convertir un archivo de un formato a otro sin descomprimirlo. Los diferentes formatos utilizan diferentes estructuras de archivos y algoritmos que son incompatibles y se verá obligado a descomprimir el formato de origen en algún momento.

Cuando se realiza la conversión por descompresión, muchas de las vulnerabilidades podrían ser explotables. La superficie de ataque podría incluso ser más grande que antes, ya que se utilizan varios programas al realizar descompresión, compresión y nuevamente descompresión.

Si está recibiendo los archivos de fuentes no confiables, puede especificar que solo se permiten ciertos formatos de archivo. No es fácil elegir cuál admitir, ya que ninguno de los formatos es "más seguro" que los otros. Se podría argumentar que los que tienen más CVE son menos seguros, pero eso también significa que ya se han solucionado muchos problemas en ellos. ¿Es zip más seguro porque tiene menos CVE? No necesariamente, es posible que las vulnerabilidades no se hayan divulgado al público o se hayan realizado menos investigaciones.

Si mantiene los formatos de archivo más comunes (7z, zip, gz) y mantiene su software actualizado, debería estar bien.

    
respondido por el Juha Kivekäs 25.06.2015 - 16:52
fuente

Lea otras preguntas en las etiquetas

Si lleno una unidad de disco duro hipotética de 1 gb con 1024 archivos individuales de 1 mb, ¿se sobrescribirán todos los sectores? ¿Qué es el gusano "Moose" y cómo puedo protegerme de él?