Beveiliging Adobe Acrobat en Reader Rapport
Waarom is beveiliging voor PDF-toepassingen belangrijk? Leer hier hoe je risico’s verkleint Inhoud 2: Programma’s die crashen zijn kwetsbaar voor aanvallen 2: Kies voor software die de risicobeperking van het besturingssysteem ten volle gebruikt 3: Hoe evalueer je de beveiligingsbenadering van een leverancier? 4: Beveiliging van de Adobe Acrobat X-productreeks en onafhankelijke testresultaten door derden 5: Samenvatting
Uit een onderzoek van het Ponemon Institute in 2010, gevoerd in vijf landen van Noord-Amerika, EMEA en Azië, blijkt dat de gemiddelde kost van een gegevensinbreuk voor een organisatie tot USD 4 miljoen oploopt – 18% hoger dan in 2009. Een ander onderzoek met 45 in de VS gevestigde organisaties toonde aan dat cybermisdaad leidt tot ongeveer één geslaagde aanval per week. Tegen een gemiddelde kost van USD 3,8 miljoen per jaar en per bedrijf loopt dit op tot USD 52 miljoen. Bedrijven worden steeds vaker het doelwit van cybercriminelen die steeds moeilijker te vinden of vervolgen zijn. Tegenwoordig moeten bedrijven het hoofd bieden aan cyberaanvallers die erop uit zijn om gegevens te stelen, systemen te laten crashen, reputaties te schaden of hun behendigheid als hacker te tonen. Een van de geliefkoosde doelwitten van hackers is eveneens het favoriete communicatiemiddel van bedrijven voor gegevens, documenten en intellectuele eigendom: universeel gangbare bestandstypen. Aanvallers plaatsen kwaadaardige code in bestanden om in systemen binnen te geraken. Doordat PDF de status van gratis beschikbare, gepubliceerde standaard heeft, is het een van die universeel gangbare bestandstypen geworden. Vele ontwikkelaars maakten gebruik van deze standaard om hun eigen PDF-gereedschappen te creëren, maar gaven zo cybercriminelen ook meer kansen. Hackers proberen kwetsbaarheden te misbruiken in programma’s die PDF-bestanden creëren en weergeven. Bedrijven moeten daarom waakzaam zijn bij de keuze van de software die zij in hun bedrijfsomgeving toestaan. Dit rapport besteedt aandacht aan de gevolgen van een inbreuk, de beveiligingsmaatregelen voor toepassingen om aanvallen te voorkomen en de eigenschappen van leveranciers, die voor veilige software moeten zorgen. Het rapport bevat ook de resultaten van beveiligingstests door derden die aantonen dat Adobe® Acrobat® X en Adobe Reader® X organisaties beter beschermen tegen aanvallen met mogelijke rampzalige gevolgen dan andere PDF-oplossingen op de markt. Het rapport toont aan waarom het cruciaal is dat bedrijven bij de beveiligingsevaluatie van toepassingen voor PDF-creatie en -weergave dezelfde strenge waakzaamheid toepassen als voor hun meest bedrijfskritieke toepassingen. Daarbij moeten zij zich onder meer de volgende vragen stellen: • Welke risicobeperkingen van het besturingssysteem zijn ingebouwd in de software? Biedt de software mogelijkheden die kunnen voorkomen dat een crash tot misbruik leidt? • Welke processen zijn geïmplementeerd – van productontwikkeling tot kwaliteitszorg – om evoluerende beveiligingsbedreigingen een stap voor te blijven? • Hoe zorgt de leverancier voor veiligheid zonder concessies op het gebied van functionaliteit? • Wat na de release? Blijft de leverancier de productbeveiliging actief verbeteren? • In welke mate is de leverancier betrokken bij de ruimere beveiligingscommunity? Zonder deze strenge waakzaamheid zijn organisaties kwetsbaar voor buitengewone risico’s.
Programma’s die crashen zijn kwetsbaar voor aanvallen Een van de methoden die hackers vaak toepassen, is aangetaste bestanden in een systeem introduceren zodat het crasht. Dit gebeurt meestal door een ontvanger van een document te laten geloven dat het aangetaste bestand veilig is. Crashes zijn verstorend en hinderen de productiviteit, maar op zich zijn ze niet uiterst destructief. Het grootste probleem treedt pas op wanneer aanvallers proberen misbruik te maken van fouten door geheugenbeschadiging. Wanneer aanvallers door een crash misbruik kunnen maken van een hiaat, kunnen ze kwaadaardige code in het systeem introduceren. Hierdoor kunnen aanvallers gegevens zoals creditcardnummers stelen, malware installeren, bestanden verwijderen of andere systeeminformatie wijzigen op een computer waarop een geschikte, gelaagde verdediging ontbreekt. Dit type aanval is niet uniek voor het PDF-bestandstype; hackers gebruiken de tactiek al jaren bij webtoepassingen, besturingssystemen en vrijwel elke populaire software en elk gangbaar bestandstype. Indien organisaties over de juiste software beschikken, kan de impact van een aanval minimaal zijn. Anders kunnen de gevolgen rampzalig zijn. Je reputatie en merk kunnen onherstelbare schade oplopen. Je klanten kunnen hun vertrouwen verliezen en naar je concurrenten gaan. Je kunt zelfs wettelijk aansprakelijk worden gesteld voor inbreuken en voor hoge gerechtskosten, schadevergoedingen en dure schikkingen komen te staan. Helaas komen deze doemscenario’s maar al te vaak voor. Dagelijks halen tal van organisaties het nieuws met inbreuken op hun beveiliging. Het lijkt alsof de aanvallers het alleen hebben gemunt op de bekendste organisaties, maar ook kleinere bedrijven en overheidsorganisaties worden steeds vaker het doelwit. Bovendien richten hackers zich ook op specifieke gegevenstypen.
Kies voor software die de risicobeperking van het besturingssysteem ten volle gebruikt Beveiligingsexperts zijn het erover eens dat de beste beveiliging een grondige, gelaagde beveiliging is. Zo worden meerdere aspecten tegelijk beveiligd met gereedschappen die in de toepassing en het besturingssysteem zijn ingebouwd. De volgende risicobeperkingen moeten allemaal aanwezig zijn in PDF-oplossingen die je voor je organisatie overweegt. Een oplossing die slechts een aantal van deze mogelijkheden biedt, geeft niet dezelfde beveiliging als deze mogelijkheden samen bieden.
Sandbox voor toepassingen Met behulp van een sandbox creëert het besturingssysteem een besloten uitvoeringsomgeving waarin programma’s met lage rechten of machtigingen worden uitgevoerd. Sandboxes beschermen systemen van gebruikers tegen beschadiging door niet-vertrouwde documenten die mogelijk uitvoerbare code bevatten. Deze methode van toegangscontrole werkt op basis van toegewezen integriteitsniveaus. Een proces met lage integriteit heeft een erg beperkte toegang tot objecten. Andere systemen die vaak worden gebruikt om een sandbox voor toepassingen te bieden, zijn tokens met beperkingen en limieten voor taakobjecten.
Data Execution Prevention Data Execution Prevention (DEP) voorkomt de plaatsing van gegevens of gevaarlijke code op geheugen locaties die door het Windows®-besturingssysteem als “beschermd” zijn gedefinieerd. DEP biedt geheugencontroles voor zowel hardware als software. Niet-uitvoerbaar geheugen Hardware-DEP genereert een uitzondering wanneer code wordt uitgevoerd vanaf een niet-uitvoerbare (NX) geheugenlocatie. Ondersteunde CPU’s gebruiken hiervoor de NX-bit, die specifieke geheugenlocaties als niet-uitvoerbaar markeert. Safe Structured Exception Handling Softwarematig afgedwongen DEP controleert de geldigheid van uitzonderingen die in een programma voorkomen. Zo wordt belet dat kwaadaardige code misbruik kan maken van de functie voor verwerking van uitzonderingen. Dit wordt Safe Structured Exception Handling (SafeSEH) genoemd.
Address Space Layout Randomization Zelfs wanneer DEP is ingeschakeld, blijft het mogelijk om code uit te voeren door tijdens de procedure een functieaanroep om te leiden naar het adres van een uitvoerbare-geheugenlocatie. Met behulp van Address Space Layout Randomization (ASLR) kun je deze aanvallen mogelijk voorkomen. Deze techniek verbergt geheugen- en paginabestandslocaties van systeemonderdelen, zodat aanvallers deze onderdelen moeilijk kunnen vinden en benaderen. Zowel Windows als Mac OS X v10.6 maken gebruik van ASLR.
Beveiliging Adobe Acrobat en Reader Rapport
2
Stack-cookies De Buffer Security Check is een compileroptie waarbij een stack-cookie wordt geïnjecteerd om misbruik van stack-gebaseerde bufferoverloop te voorkomen. Dit programmabrede cookie wordt gekopieerd tussen de lokale variabelen en het retouradres. Daarna voegt de compiler code toe aan de proloog en epiloog van functies om de uitvoering te beëindigen indien het cookie is gewijzigd. Van de 12 geteste PDF-oplossingen zijn Adobe Reader X en Adobe Acrobat X de enige oplossingen die alle vijf de kritieke veiligheidsniveaus bieden om misbruik van een Windows-crash te voorkomen. Productiviteit
Sandbox
Stack-cookies
NX
ASLR
SafeSEH
Adobe Reader X
✓
✓
✓
✓
✓
Adobe Acrobat X
✓
✓
✓
✓
✓
Overige beveiligingsfuncties Acrobat en Reader bieden tal van mogelijkheden voor risicobeperking, zoals beveiliging voor meerdere domeinen en JavaScript-whitelists en -blacklists. Beveiliging voor meerdere domeinen beperkt het risico op XSS-aanvallen (cross-site scripting), die steeds talrijker worden op internet. Organisaties gebruiken whitelists om JavaScript te kunnen toepassen op betrouwbare workflows, en blacklists om gebruikers te beschermen tegen aanvallen die op specifieke JavaScript API-aanroepen zijn gericht.
Hoe evalueer je de beveiligingsbenadering van een leverancier? Beveiliging staat niet stil. IT-teams moeten steeds een stap voor blijven. Steeds weer duiken nieuwe bedreigingen op. Wanneer je een evaluatie maakt van de softwarebeveiliging van PDF’s is het belangrijk na te gaan wat de leverancier initieel in het product inbouwt en in welke mate de leverancier de softwarebeveiliging na verloop van tijd actueel houdt. Nauwgezette softwarebeveiliging betekent dat voortdurend moet worden getest en storingen moeten worden opgelost. Tegelijkertijd moet nieuwe beveiliging worden ontwikkeld om bescherming te bieden tegen een bedreigingslandschap dat snel verandert.
Hoe moet een leverancier het ontwikkelen en testen van software benaderen? • Technische teams gespecialiseerd in beveiliging – Beveiliging moet worden geïntegreerd in elke fase van de productlevenscyclus. • Proactieve controles op beveiliging en code – Proactieve incidentanalyse en -beoordeling alsook beveiliging van bestaande code verbeteren de beveiliging van toepassingen. • Deelname aan toonaangevende beveiligingsprogramma’s – Door op een geavanceerde manier informatie over kwetsbaarheden in producten te delen met leveranciers van beveiligingssoftware (bijvoorbeeld antivirussoftware en software voor inbraakdetectie en -preventie), kan de hele sector samenwerken om het risico op kwetsbaarheden te verminderen.
Hoe moet een leverancier het updateproces benaderen? • Voorspelbare patchplanningen – Patches installeren verlaagt de productiviteit van IT en eindgebruikers. Daarom zouden de installaties op voorspelbare momenten moeten plaatsvinden en niet te vaak, bijvoorbeeld maandelijks of per kwartaal op dezelfde dag. • Eenvoudige configuratie na de implementatie – Om eenvoudig instellingen na de implementatie te wijzigen, gebruikt een softwareoplossing bij voorkeur gereedschappen op het niveau van het besturingssysteem, zoals Groepsbeleid bij Windows en Eigenschappenlijst bij Mac OS. • Ondersteuning implementatiegereedschap – Ondersteuning bij de implementatie is van cruciaal belang bij organisaties die duizenden computers moeten updaten. Ondersteuning maakt het updaten van software in de organisatie makkelijker en efficiënter, in het bijzonder voor de nieuwste softwarebeheersystemen zoals Microsoft System Center Configuration Manager (SCCM) en Microsoft System Center Updates Publisher (SCUP).
Hoe moet een leverancier de software na de release benaderen? • Voortdurende verbeteringen – Leveranciers moeten niet alleen reageren op bestaande bedreigingen. Ze moeten voortdurend en proactief de software wapenen tegen aanvallen. Uit deze verbeteringen zouden regelmatig updates moeten voortkomen. • Samenwerking met de sector – Het is belangrijk dat leveranciers actief betrokken zijn bij de beveiligings community om op de hoogte te blijven van de nieuwste bedreigingen en innovaties om erop te reageren. Beveiliging Adobe Acrobat en Reader Rapport
3
Hoe moet een leverancier reageren op fouten in de beveiliging? • Transparantie – Leveranciers moeten open communiceren over beveiligingsproblemen en wat ze doen om hun software robuuster te maken. Leveranciers die beveiliging ernstig nemen, publiceren en reageren proactief op bedreigingen door middel van de Common Vulnerabilities and Exposures (algemene kwetsbaarheden en blootstelling). Deze CVE-lijst wordt gepubliceerd in internationaal erkende databases zoals de National Vulnerability Database. De afwezigheid van dergelijke publicaties kan wel nog steeds betekenen dat hackers mogelijk misbruik maken van een product. Het zou immers kunnen dat de leverancier die het product uitbracht de beveiliging niet proactief benadert.
Beveiliging van de Adobe Acrobat X-productreeks en onafhankelijke testresultaten door derden Acrobat X en Reader X – beide ontworpen met bijzondere aandacht voor beveiliging – hebben ingebouwde en geavanceerde beveiligingstechnieken.
Adobe presteert beter dan andere PDF-oplossingen bij veiligheidstests In december 2011 voerde het onafhankelijke beveiligingsconsultingbedrijf iSEC een productvergelijking uit. De test bestond uit 12 oplossingen om PDF-documenten weer te geven, te creëren of te bewerken. De resultaten werden gepubliceerd in het PDF-productvergelijkingsrapport. Testers introduceerden in elk product dezelfde reeks opzettelijk aangetaste bestanden in een poging om fouten te veroorzaken. Wanneer crashes plaatsvonden, werden de producten automatisch onderverdeeld in een van deze twee categorieën: vatbaar of niet vatbaar voor misbruik. Zelfs de zeldzame keren dat de tests een crash veroorzaakten, kon geen enkele crash van Reader X of Acrobat X worden misbruikt. Testers slaagden er slechts 7 keer in Reader X en 13 keer Acrobat X te laten crashen in afzonderlijke gevallen. Andere PDF-leesprogramma’s crashten tot 134 keer, en andere PDF-schrijfprogramma’s crashten wel 132 keer in afzonderlijke gevallen bij een groot aantal PDFtestbestanden. Het resultaat van Reader X en Acrobat X, waarbij van geen enkele crash misbruik kon worden gemaakt, kan worden verklaard door de aanwezigheid van de volledige reeks risicobeperkingen van het besturingssysteem en gelaagde beveiliging. Reader X en Acrobat X bevatten eveneens sandboxes voor toepassingen, NX-geheugen, ASLR, SafeSEH en stack-cookies. Sommige geteste PDF-leesprogramma’s zonder deze risicobeperkingen van het besturingssysteem vertoonden 16 crashes die vatbaar waren voor misbruik en een aantal PDF-schrijfprogramma’s tot wel 22 crashes die vatbaar waren voor misbruik. Bij onafhankelijke tests door derden vertoonden Reader X en Acrobat X bij introductie van aangetaste bestanden geen enkele crash die vatbaar was voor misbruik. Beveiligingsfuncties zoals sandboxes voorkomen misbruik bij een crash. Oplossing
Aantal crashes dat vatbaar is voor misbruik
Adobe Reader X
0
Adobe Acrobat X
0
Adobe investeert in beveiliging en reduceert out-of-band beveiligingsupdates Beveiligingsverbeteringen behoren tot de uitgebreide engineeringinvesteringen die Adobe heeft gedaan om Acrobat-producten nog sterker te beveiligen tegen actuele en opkomende bedreigingen. Door de software voortdurend robuuster te maken tegen aanvalspogingen, kan Adobe de behoefte aan out-ofband beveiligingsupdates reduceren of zelfs elimineren en de urgentie van regelmatig geplande updates verlagen. Dit verhoogt de operationele flexibiliteit en verlaagt de totale eigendomskosten, met name in grote omgevingen met hoge vereisten op het gebied van beveiliging en zekerheid. Wanneer patches toch nodig blijken, zorgt de integratie van Adobe met toonaangevende beheer gereedschappen ervoor dat beheerde Windows-desktops altijd over de recentste beveiligingspatches en -updates beschikken, en dat de patches zelf snel en eenvoudig te installeren zijn.
Beveiliging Adobe Acrobat en Reader Rapport
4
Samenvatting Aangezien het PDF-bestandsformaat voor aanvallen kan worden gebruikt, zullen organisaties niet langer de goedkoopste PDF-software aanschaffen en inzetten zonder de beveiliging ervan streng te testen. Voor de reputatie en het voortbestaan van organisaties is het belangrijk dat hun beveiliging standhoudt bij herhaalde aanvallen. Daarom is het zo belangrijk dat leveranciers van toepassingen hen een hoge standaard garanderen. Adobe biedt uitgebreide risicobeperking om aanvallen te laten mislukken: • Geavanceerde sandboxing-technologie • JavaScript-whitelists en -blacklists • Toegang tot meerdere domeinen uitschakelen • Gestroomlijnde patchfuncties • Verbeterde gereedschappen voor implementatie en beheer Adobe blijft investeren in producten tot lang na de release zodat ze alsmaar robuuster worden. Klanten kunnen zo gerust zijn dat hun beveiliging zich blijft aanpassen aan een bedreigingslandschap dat voortdurend verandert.
Adobe Systems Incorporated 345 Park Avenue San Jose, CA 95110-2704 USA www.adobe.com, www.adobe.com/nl, www.adobe.com/be
Adobe, the Adobe logo, Acrobat, and Reader are either registered trademarks or trademarks of Adobe Systems Incorporated in the United States and/or other countries. Mac OS is a trademark of Apple Inc., registered in the U.S. and other countries. Windows is either a registered trademark or a trademark of Microsoft Corporation in the United States and/or other countries. All other trademarks are the property of their respective owners. © 2012 Adobe Systems Incorporated. All rights reserved. Printed in the Netherlands.
1/12
