27 Okt

PlatPlal – war da was?

Sicherheitsforscher können einem manchmal leid tun. Sie suchen händeringend nach Innovationen auf einem Gebiet, auf dem die richtig guten Ideen schon entwickelt wurden – die sich aber niemand konsequent umzusetzen getraut. Also versucht man, die weniger guten Ansätze irgendwie weiterzuentwickeln, greift dabei tief in die Trickkiste und versteigt sich zu abenteuerlichen Konstruktionen zur Lösung alltäglicher Probleme. Dieses „mit dem Speck nach der Wurst werfen“ ist amüsant, nur leider nicht unbedingt zielführend.

Dass PDF-Dateien auch Schadcode transportieren können und deshalb nicht ganz ungefährlich sind, hat sich mittlerweile herumgesprochen. Klassische Malwarescanner tun sich oft schwer mit den eingebetteten aktiven Inhalten. Ob die Features in einem Dokument nun nützlich oder doch gefährlich sind, lässt sich nur schwer feststellen. Trotzdem sind PDFs so praktisch, dass niemand darauf verzichten kann – zumal andere Dateiformate noch mehr Sicherheitsprobleme aufwerfen und technisch viel schlechtere Eigenschaften haben.

Bestimmt nicht ohne Hintergedanken haben zwei Wissenschaftler aus den USA ihr Verfahren zur Erkennung von Schadcode in PDF-Dateien „PlatPal“ genannt. Das Prinzip ist tatsächlich einmal etwas Neues: Man öffnet ein PDF unter verschiedenen Betriebssystemen – in diesem Fall Windows und macOS – und vergleicht die Systemaufrufe. Ist die Datei okay, sollten die Hintergrundprozesse auf den beiden unterschiedlichen Systemen bestimmten Mustern folgen. Abweichungen lassen sich durch Vergleiche erkennen und damit auf eine mögliche Verseuchung der PDF-Datei mit Schadcode schließen. Soweit, so interessant.

Doch wie es eben so ist mit ernsthafter Forschung: Sie liefert auf eine Frage eine Antwort – und zwei weitere Fragen. Hier wird es nicht bei zweien bleiben. Was geschieht, wenn der verwendete PDF-Reader nicht (mehr) plattformübergreifend verfügbar ist? Wie werden sich Cyberkriminelle auf diese Art der Erkennung einstellen? Datenschützer dürften solche nur in der Cloud praktikablen Dienste sowieso für einen schlechten Scherz halten. Was geschieht mit den oft vertraulichen Inhalten, die man zwecks Malware-Scan hochlädt?

Noch gibt es zu dieser Vorgehensweise nicht viel mehr als ein wissenschaftliches Paper. Aber ob es sich lohnt, den Ansatz weiterzuverfolgen… abwarten. Neue Laufschuhe für die Katze, während die Maus schon Auto fährt? Der Einfallsreichtum der Programmierer digitaler Schädlinge ist grenzenlos, sie zu erkennen der Kampf gegen die sprichwörtlichen Windmühlen. Einfacher ist es, potenziell gefahrenträchtige Daten erst gar nicht in die eigenen Netzwerke zu lassen. Wer mit elektronischen Dokumenten aus unbekannten Quellen hantiert, tut gut daran, sie außerhalb seiner internen Infrastruktur zu begutachten.

Das lässt sich ganz nebenbei in die regulären Arbeitsprozesse eines Unternehmens integrieren und ist keine komplizierte Wissenschaft. Wer beispielsweise mit TightGate-Pro ein PDF-Dokument abruft, kann es sich auch gleich auf dem vorgeschalteten System ansehen. Auf den eigenen Computer transferieren lässt es sich dann immer noch – wenn es bestimmt koscher ist und man es überhaupt dort haben will. Ansonsten löscht man es eben wieder, als sei nichts gewesen.