¿Los archivos de texto o los archivos de imagen deben analizarse en busca de virus durante la carga?

3

He creado una aplicación web en línea para mi empresa. Está siendo probado para archivos de seguridad. El probador cargó el archivo de texto EICAR. El escáner de virus en el servidor atrapó y eliminó el archivo.

Solo he permitido archivos de texto, gif, jpg y pdf para subir. ¿Qué tan probable es que un archivo de texto, un archivo de imagen tenga un virus? Sé que las cosas han cambiado mucho últimamente. Estamos en Windows 7. Mi pregunta es, ¿existe la necesidad de ejecutar un escáner de virus para este tipo de archivos? Gracias.

    
pregunta user3586195 09.01.2015 - 19:15
fuente

4 respuestas

4

Hace mucho, mucho tiempo, ha habido un rumor de que hay un virus capaz de infectar gifs. Todos los sabios se rieron de la idea de datos ejecutando código. Pero entonces, se han descubierto ataques de saturación de búfer, y un error en Internet Explorer que permitía la saturación de búfer en gifs, esencialmente ejecutando código malicioso.

La moraleja de esta historia es doble. Primero: siempre existe la posibilidad de que los datos se puedan usar como vectores de ataque "similares a virus". Segundo: no había absolutamente ninguna posibilidad de que un detector de virus pudiera haberlo detectado antes de que se descubriera el ataque.

Solo puedo recomendar el escaneo de archivos de datos si hay un ataque conocido que pueda comprometer a los usuarios durante el uso regular (y su AV lo detecte). Escanear cada .txt para cambiar el nombre de .exe parece un poco excesivo. Más importante aún, debería estar listo para volver a escanear archivos EXISTENTES antiguos, en caso de que se descubra un nuevo ataque. Escanear archivos existentes es fácil, el problema es qué hacer a continuación: retener el acceso al archivo, notificar a su propietario, etc., es mucho trabajo diseñar e implementar dicho manejo de errores.

Como dice raz, los archivos PDF son diferentes bestias: ya se sabe que contienen código y deben escanearse tanto en la carga como en el almacenamiento a intervalos regulares.

    
respondido por el Agent_L 09.01.2015 - 19:32
fuente
0

Por no decir lo contrario, como Agen_l señaló si se trata de un vector de ataque, tiene algunos si adjuntos.

Exempli Gratia, una vez hubo un error en Clam AV que permitía la ejecución de códigos maliciosos simplemente al escanear un archivo infectado ... Por lo tanto, el proceso de escaneo en sí podría ser el vector de ataque.

Del mismo modo, una multitud de procesos automatizados pueden acceder al archivo dependiendo del entorno, ¿puede estar seguro de que se trata simplemente de datos estáticos y nunca se accederá a ellos por nada?

Esto no quiere decir que tengas que ponerte paranoico al respecto, pero no puedes descartar absolutamente ningún tipo de archivo como potencialmente malicioso si se accede a él por algo que podría ser vulnerable y cargará sus datos en la memoria.

Clam no fue la única víctima, solo un ejemplo, hay muchos más (lo más probable es que se descubran o, peor aún, que se lancen) y esos son solo los productos de AV ... Vea este documento sobre ataques de antivirus para obtener alguna referencia.

enlace

    
respondido por el Sabre 09.01.2015 - 20:16
fuente
0

¿Puede un archivo pdf contener un virus? Ciertamente. Es relativamente común encontrar archivos pdf con intenciones maliciosas (aunque aún dependen de la vulnerabilidad de un lector).

Archivos GIF y JPEG? A veces hay una vulnerabilidad en un analizador de esos formatos (recuerdo un problema hace años con un subformato jpeg), pero generalmente son seguros.

(Sidenote: También agregaría png a la lista de formatos permitidos.)

Si está realizando una exploración de AV y no causa problemas, lo mantendría.

Ahora, lo que te recomiendo encarecidamente es que compruebes que realmente son lo que dicen ser. Y que no es posible confundir el navegador en, por ejemplo. sirviendo como html lo que su aplicación pensó que era un txt de gif, lo que tendría consecuencias drásticas. Incluso hay formatos híbridos como Gifar (un Jar disfrazado de Gif) que podría ser usuario como vector de ataque. Entonces es muy importante tener cuidado con el tipo de contenido, de lo contrario, algún navegador puede entrar en modo de adivinación .

    
respondido por el Ángel 09.01.2015 - 22:28
fuente
0
  1. En primer lugar, nunca confíe en la entrada del usuario, siempre desinfecte el código presente en la imagen (jpg, gif (metadatos), txt, pdf, documentos, xml, etc., ya que pueden contener php, asp shellcodes, XSS payloads (código que puede ayudar al atacante a obtener acceso).

  2. No sé cuán efectivo es el antivirus para detectar este tipo de ataques porque hay muchas formas de evitarlo.

  3. La mala configuración del servidor y las vulnerabilidades de la web pueden provocar que gif / jpg o incluso archivos de texto o cualquier tipo de archivos se ejecuten en el servidor o al menos pueden proporcionar un atacante con una superficie de ataque.

Por lo tanto, escanear archivos con antivirus puede ser de ayuda, pero debes recordar que no es una solución infalible.

    
respondido por el user2425057 10.01.2015 - 21:31
fuente

Lea otras preguntas en las etiquetas