Por Fernando Acero - Publicado el 06 Octubre 2010
El otro día navegando por la Red, me topé con esta noticia: Cientos de expertos en seguridad proponen acabar con el formato PDF, y he de decir que me dejó perplejo que "expertos" en seguridad propusieran acabar con un formato abierto, en lugar de mejorar las aplicaciones que lo usan.
El formato PDF es un estándar abierto definido mediante la ISO 32000-1 y es simplemente eso, un formato estándar y libre para contener unos datos que han de interpretar, o renderizar, otras aplicaciones. Sí, es cierto que las últimas definiciones del mismo permiten cosas relativamente "peligrosas", como la multimedia o la capacidad de ejecución de scripts (algo que muchos se habrían ahorrado, yo incluido), pero el problema principal no está en la definición del ISO 32000-1, es decir, en el formato, la inseguridad está en las aplicaciones que manejan ese formato, que hacen cosas que no deben en determinadas condiciones, y entre ellas, cuando se abusa de determinadas características del formato, algo sobre lo que Adobe debería tener muchas cosas que decir y hacer...
Señores, eso, nos guste o no, incluso cuando se abusa de las características multimedia o de script que permite el estándar, es un problema de las aplicaciones que deberían estar preparadas para esas circunstancias, no de del formato en sí mismo. De hecho, no todas las aplicaciones tienen el mismo comportamiento cuando tienen que procesar un PDF “malévolo” y no todas las aplicaciones que manejan los PDF, “hacen el mismo caso” del contenido multimedia o los scripts que pudiera haber en los archivos.
El caso es que llevo algunos días pensado en este artículo y mucho me temo que, además de partir de una premisa errónea cuando nos dicen que “el problema está en el formato pdf y no en las aplicaciones que lo manejan”, o dicho de otro modo, cuando le echan la culpa de los problemas del continente al contenido, creo hay grandes y claros intereses creados en la elaboración del artículo y la pista creo que está en esta afirmación que aparece en el mismo:
Veamos; ya hemos dicho que el problema es de las aplicaciones que manejan el formato, no del formato en sí mismo, pero recomiendo este sencillo ejercicio de reducción al absurdo; cambiemos PDF por Windows, Microsoft por la Comunidad de Software Libre y Adobe por Microsoft en la frase y veremos lo poco que se sostiene la afirmación anterior:
¿Cuántos de los presentes consideran que se debería retirar Windows del mercado por ser objetivo prioritario de los "hackers y ser un "estándar" tan grande, que lo usan el 98% de los usuarios?
Creo que soluciones para el problema hay muchas, y un buen experto en seguridad, en lugar de pedir “la abolición” del formato, se dedicaría a recomendar cosas para mejorar los programas que tratan con este popular formato, como no permitir la ejecución de scripts que no estén firmados, que los scripts no puedan realizar determinadas cosas sin el consentimiento del usuario, mejorar las características de seguridad de las aplicaciones y de filtrado del formato, etc, etc, etc...
El otro día navegando por la Red, me topé con esta noticia: Cientos de expertos en seguridad proponen acabar con el formato PDF, y he de decir que me dejó perplejo que "expertos" en seguridad propusieran acabar con un formato abierto, en lugar de mejorar las aplicaciones que lo usan.
El formato PDF es un estándar abierto definido mediante la ISO 32000-1 y es simplemente eso, un formato estándar y libre para contener unos datos que han de interpretar, o renderizar, otras aplicaciones. Sí, es cierto que las últimas definiciones del mismo permiten cosas relativamente "peligrosas", como la multimedia o la capacidad de ejecución de scripts (algo que muchos se habrían ahorrado, yo incluido), pero el problema principal no está en la definición del ISO 32000-1, es decir, en el formato, la inseguridad está en las aplicaciones que manejan ese formato, que hacen cosas que no deben en determinadas condiciones, y entre ellas, cuando se abusa de determinadas características del formato, algo sobre lo que Adobe debería tener muchas cosas que decir y hacer...
Señores, eso, nos guste o no, incluso cuando se abusa de las características multimedia o de script que permite el estándar, es un problema de las aplicaciones que deberían estar preparadas para esas circunstancias, no de del formato en sí mismo. De hecho, no todas las aplicaciones tienen el mismo comportamiento cuando tienen que procesar un PDF “malévolo” y no todas las aplicaciones que manejan los PDF, “hacen el mismo caso” del contenido multimedia o los scripts que pudiera haber en los archivos.
El caso es que llevo algunos días pensado en este artículo y mucho me temo que, además de partir de una premisa errónea cuando nos dicen que “el problema está en el formato pdf y no en las aplicaciones que lo manejan”, o dicho de otro modo, cuando le echan la culpa de los problemas del continente al contenido, creo hay grandes y claros intereses creados en la elaboración del artículo y la pista creo que está en esta afirmación que aparece en el mismo:
"Al igual que Flash, PDF se ha convertido en un estándar tan grande que ha atraído la atención de los 'hackers'. Unido a los progresos que ha realizado Microsoft para proteger sus códigos, lo han dejado en una posición muy vulnerable a pesar de los esfuerzos de Adobe."
Veamos; ya hemos dicho que el problema es de las aplicaciones que manejan el formato, no del formato en sí mismo, pero recomiendo este sencillo ejercicio de reducción al absurdo; cambiemos PDF por Windows, Microsoft por la Comunidad de Software Libre y Adobe por Microsoft en la frase y veremos lo poco que se sostiene la afirmación anterior:
Al igual que Flash, Windows se ha convertido en un estándar tan grande que ha atraído la atención de los 'hackers'. Unido a los progresos que ha realizado la Comunidad de Software Libre para proteger sus códigos, lo han dejado en una posición muy vulnerable a pesar de los esfuerzos de Microsoft”.
¿Cuántos de los presentes consideran que se debería retirar Windows del mercado por ser objetivo prioritario de los "hackers y ser un "estándar" tan grande, que lo usan el 98% de los usuarios?
Creo que soluciones para el problema hay muchas, y un buen experto en seguridad, en lugar de pedir “la abolición” del formato, se dedicaría a recomendar cosas para mejorar los programas que tratan con este popular formato, como no permitir la ejecución de scripts que no estén firmados, que los scripts no puedan realizar determinadas cosas sin el consentimiento del usuario, mejorar las características de seguridad de las aplicaciones y de filtrado del formato, etc, etc, etc...
"Copyleft 2010 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved"
Artículo original en Kriptópolis
