I file PDF stanno diventando sempre di più un vettore di attacco e vengono usati sempre di più come “cavalli di troia” per far breccia nei sistemi operativi. Ecco perché prima di aprire PDF provenienti da mittenti/fonti non fidate può essere utile eseguire un’analisi automatizzata ricorrendo al tool pdfid.py di Didier Stevens. Si tratta di uno script, funzionante su Windows, Linux e qualsiasi sistema che abbia installato Python, che si occupa di analizzare qualsiasi file PDF verificando la presenza di stringhe potenzialmente “nocive”, come /JavaScript, /OpenAction, /Launch (la cui individuazione è stata aggiunta solo nell’ultima versione) o /RichMedia, solo per citarne alcune.
Basta dare in pasto a pdfid.py qualsiasi file PDF (nell’esempio “calc.pdf”) per ottenere un resoconto di tutte le stringhe potenzialmente nocive con relative occorrenze riscontrate:
pdfid.py calc.pdf