Fährt man von Dortmund über die malerische A40 Richtung Bochum (Zitat Frank Goosen: Woanders is auch scheiße!), ahnt man nicht, dass die Ruhr-Uni einen Lehrstuhl hat, der sich mit „Netzund Datensicherheit“ beschäftigt. Und genau dieser Lehrstuhl hat zusammen mit der Fachhochschule Münster und der Hackmanit GmbH die Website „PDF Insecurity“ [PDFI] auf die Beine gestellt, die sich nur mit dem Thema Sicherheit bei PDFs beschäftigt.
Abb. 1: Die Website „PDF Insecurity “
Doch der Reihen nach …
Was ist das Besondere an der Website? Ruft man diese Seite auf, so erhält man zunächst einen Überblick über verschiedene Angriffsmöglichkeiten auf PDFs. Besonders gelungen ist hier, dass die Angriffe nicht nur beschrieben werden, sondern dass in einem eigenen Absatz „So what is the problem?“ noch einmal zusammengefasst wird, was dieses Problem konkret bedeutet.
Viel zu lesen
Aber die Seite kann noch mehr – durch die Nähe zur Universität findet man nämlich unter „Download“ [PAP] gleich Papers und Materarbeiten, die sich mit den jeweiligen Angriffen beschäftigen – und zwar in einer Tiefe, die man so sicherlich nicht häufig findet.
Viel zu testen
Das Highlight der Site ist aber meiner Meinung nach der Punkt „Exploits->Download“ [EXP], der fertige Exploits für die beschriebenen Attacken zum Download bereitstellt. So ist sichergestellt, dass jeder diese Probleme nicht nur theoretisch, sondern auch praktisch erfahren kann.
Wer sollte nun diese Seite „erforschen“?
Meiner Meinung nach richtet sich diese Seite nicht nur an Leser, die gegen Probleme mit PDFs gewappnet werden sollen, sondern ist auch für andere Lesergruppen interessant.
Durch die Kombination von theoretischen Papern mit den praktischen Exploits kann man viel über Sicherheit im Allgemeinen lernen. Vor allem aber kann man es ausprobieren! Dies erlaubt, das Thema Sicherheit hautnah zu erfahren und zu erforschen, ohne viel Overhead zu generieren. Insofern ist diese Seite nicht nur für Penetrationstester, sondern auch für Entwickler und Architekten interessant.
Auf der anderen Seite zeigt diese Site aber auch, wie man ohne viel Schnickschnack eine tolle und übersichtliche Seite zu einem abgegrenzten Thema bereitstellen kann!
Weitere Informationen
[EXP]
https://www.pdf-insecurity.org/downloads/exploits.html
[HER]
https://www.youtube.com/watch?v=Gtd9Bg9S85U
[PAP]
https://www.pdf-insecurity.org/downloads/paper_reports_theses.html
