Hvorfor skal jeg bekymre mig om PDF applikationssikkerhed? Hvad du har brug for at vide for at minimere din risiko Indhold 1: Programnedbrud udgør en mulighed for angreb 2: Led efter software, der fuldt ud bruger operativsystemmitigeringer for at mindske risikoen 3: Sådan evalueres en udbyders tilgang til sikkerheden 4: Adobe Acrobat X-familiens sikkerhed og uafhængige testresultater fra andre producenter 5: Oversigt I en undersøgelse fra 2010 på tværs af fem lande i Nordamerika, Europa, Mellemøsten og Afrika (EMEA) samt Asien, har forskere fra Ponemon Institute fundet frem til, at den gennemsnitlige omkostning for en organisation ved brud på datasikkerheden var steget til 4 millioner US$, med 18 % i forhold til det tidligere år. En anden undersøgelse af 45 organisationer med base i USA fandt frem til, at cyber-kriminalitet medførte omkring et succesrigt angreb hver uge, til en årlig gennemsnitlig omkostning på 3,8 millioner US$ pr. virksomhed og kunne nå helt op på 52 millioner US$. Det bliver lettere for cyber-kriminelle at ramme virksomheder, men det bliver ikke lettere at fange eller retsforfølge dem. I dag kæmper virksomhederne mod cyber-angribere, der har til hensigt at stjæle data, fremkalde systemnedbrud, skade omdømmer eller bare vil vise, hvor gode hackere de er. En af hackerens foretrukne angrebskanaler er også virksomhedernes foretrukne kanal for data, dokumenter og ophavsrettigheder: universelt anvendte filtyper. Ved at indlejre skadelig kode i filer, forsøger angribere at få adgang til systemer. PDF er blevet en sådan universelt anvendt filtype, takket være PDF-formatets status som en frit tilgængelig publiceret standard. Mange udviklere har anvendt standarden til at skabe deres egne PDF-værktøjer, hvilket giver cyber-kriminelle bedre muligheder. Eftersom hackere forsøger at udnytte svaghederne i programmerne, der skaber og viser PDF-filer, skal virksomhederne nu udvise forsigtighed, når de beslutter sig for, hvilken software de tillader i deres virksomhedsmiljøer. Denne hvidbog diskuterer konsekvenserne ved et brud, de applikationsmæssige sikkerhedsforanstaltninger du bør lede efter for at forhindre angreb, og de leverandørkarakteristika, der giver sikker software. Den deler også andre producenters resultater fra sikkerhedstests for at vise, hvordan Adobe Acrobat X og Adobe Reader X-software udkonkurrerer andre PDF-løsninger på markedet, når det handler om at beskytte organisationer mod angreb, der kan have katastrofale konsekvenser. Den forklarer, hvorfor virksomheder skal vurdere sikkerheden ved de applikationer, de bruger til at få vist og skabe PDF-filer med den samme intense gransken, som de bruger til at vurdere deres mest forretningskritiske applikationer ved bl.a. at stille spørgsmål om: Hvilke operativsystemmitigeringer er indbygget i softwaren? Indeholder softwaren foranstaltninger, der kan forhindre et sammenbrud i at blive udnyttet? Hvilken type af processer er på plads - fra produktudvikling til spørgsmål og svar (QA) - til at håndtere kommende sikkerhedstrusler? Hvordan leverer udbyderen sikkerhed uden at gå på kompromis med funktionaliteten? Hvad sker der efter frigivelse? Fortsætter udbyderen med aktivt at forbedre produktsikkerheden? Hvor involveret er udbyderen med det bredere sikkerhedsmiljø? Uden dette niveau med granskning blotter organisationer sig for ekstraordinær risiko. Programnedbrud udgør en mulighed for angreb En af de mest almindelige metoder, som hackere bruger, er at forsyne et system med fejlbehæftede filer, der får det til at bryde ned, normalt ved at narre en dokumentmodtager til at tro, at en skadelig fil er ægte. Nedbrud er ødelæggende og forstyrrer produktiviteten, men de er ikke i sig selv meget ødelæggende. Det største problem forekommer, når angribere forsøger at udnytte fejl, der ødelægger hukommelsen. Hvis et nedbrud skaber en åbning, som angribere med held kan udnytte, indsætter de skadelig kode, der kører på systemet. Det er det, der sætter angribere i stand til at stjæle data som f.eks. kreditkortnumre, installere malware, slette filer eller ændre andre systeminformationer på en maskine, der mangler tilstrækkeligt lagdelt forsvar. Denne slags angreb er slet ikke unik for PDF-filtypen. Hackere har brugt det i mange år mod internetprogrammer, operativsystemer og alle fælles software- og filtyper.
Virkningen af et angrebsforsøg kan være minimale, hvis organisationer har den rette software. Ellers kan konsekvenserne være katastrofale. Dit omdømme og varemærke kan lide uoprettelig skade. Dine kunder kan miste tilliden og opsøge dine konkurrenter. Du kan måske også drages juridisk til ansvar for brud og blive ramt at omfattende sagsomkostninger, bødestraf og forlig. Desværre er de værst tænkelige tilfælde ikke ualmindelige. En enkel nyhedssøgning på en given dag vil kunne vise utallige historier om organisationer, der er ramt af sikkerhedsbrud. Det kan virke som om, angriberne kun rammer de mest synlige organisationer, men mindre virksomheder og offentlige organisationer rammes også ofte, og hackerer rammer specifikke datatyper. Led efter software, der fuldt ud bruger operativsystemmitigeringer for at mindske risikoen Sikkerhedseksperter er generelt enige om, at det bedste forsvar er et lagdelt forsvar i dybden, fordi det sætter ind på flere fronter vha. værktøjer, der er indbygget i både applikationen og operativsystemet. Alle de efterfølgende mitigeringer bør være til stede i enhver PDF-løsning, som du evaluerer for din organisation. En løsning med kun nogle få af disse funktioner tilbyder ikke det sikkerhedsniveau, som alle disse funktioner i kombination kan tilbyde. Applikationssandbox Med en sandbox skaber operativsystemet et indesluttet driftsmiljø til kørsel af programmer med begrænsede rettigheder eller privilegier. Sandboxes beskytter brugernes systemer, så de ikke bliver skadet af ikke-sikre dokumenter, der kan indeholde eksekverbar kode. Denne metode med adgangskontrol virker ved at tildele integritetsniveauer. En proces, der er skabt med lav integritet, er stærkt begrænset vedrørende de objekter, der kan åbnes. Andre mekanismer, der ofte bruges til at skabe en applikationssandbox, indeholder begrænsede tokens og jobobjektgrænser. Forhindring af datakørsel Data Execution Prevention (DEP) forhindrer placering af data eller skadelig kode på hukommelsessteder, der defineres som beskyttet af Windows -operativssystemet. DEP tilbyder hardware- og softwarehukommelseskontroller. Ikke-eksekverbar hukommelse Hardware-DEP fremkalder en undtagelse, når der eksekveres kode fra et såkaldt ikke-eksekverbart (NX) hukommelsessted. Understøttede CPU'er opnår dette ved at aktivere NX-bitten, og markere specifikke hukommelsesområder som ikke-eksekverbare. Sikker struktureret undtagelseshåndtering Software-forbedret DEP kontrollerer ægtheden af frembragte undtagelser i et program for at forhindre skadelig kode i at udnytte undtagelseshåndteringsfunktionen. Dette kaldes sikker struktureret undtagelseshåndtering (SafeSEH). ASLR (address space layout randomization) Selv når DEP anvendes, er det stadig muligt at eksekvere kode ved at omdirigere et funktionskald til adressen på et eksekverbart hukommelsesområde i processen. For at forhindre sådanne angreb er det muligt at bruge ASLR (address space layout randomization). Denne teknik skjuler hukommelse og sidefilplaceringer for systemkomponenter, hvilket gør det svært for angribere at finde og ramme disse komponenter. Både Windows og Mac OS X v10.6 bruger ASLR. Stack cookies Buffersikkerhedskontrollen er en compilerfunktion, hvor en stack cookie suppleres for at undgå udnyttelse fra stack-baserede bufferoverløb. Denne programdækkende cookie kopieres mellem de lokale variabler og returadresserne. Derefter tilføjer compileren kode til prologen og epilogen af funktionerne for at standse eksekveringen, hvis der ændres på cookien. Af de 12 testede PDF-løsninger er Adobe Reader X og Adobe Acrobat X de eneste løsninger, der tilbyder alle fem kritiske sikkerhedslag for at undgå udnyttelse af et brud på Windows. Produktivitet Sandbox Stack cookies NX ASLR SafeSEH Adobe Reader X Adobe Acrobat X 2
Andre sikkerhedsfunktioner Acrobat og Reader tilbyder mange andre mitigeringsmuligheder, herunder beskyttelser på tværs af domæner og JavaScript hvid- og sortliste. Beskyttelser på tværs af domæner mitigerer specifikt på tværs af script-baserede angreb, der er blevet mere fremherskende på internettet. Hvidlistning forsyner organisationer med evnen til kun at aktivere JavaScript i forbindelse med deres sikre arbejdsgange og sortlistning beskytter brugerne mod angreb, der rammer specifikke JavaScript API-kald. Sådan evalueres en udbyders tilgang til sikkerheden Den største sikkerhedmæsssige udfordring it-teamet står over for er et "levende mål". Der udvikles nye trusler hver dag. Det er derfor, at det ved evaluering af sikkerhed af PDF-softvaren er nødvendigt at tage hensyn til både det, som udbyderen bygger ind i et produkt fra starten, og det som udbyderen gør for at sikre, at softwarens sikkerhed forbliver robust i tidens løb. At forblive årvågen mht. software-sikkerhed betyder utrættelig test og korrektion af fejl, og samtidig udvikle nye former for beskyttelse for at forsvare sig mod et trusselsbillede, der hurtigt ændrer sig. Hvordan skal en udbyder håndtere software-udvikling og -test? Sikkerhedsdedikerede produktteams sikkerhed bør integreres på ethvert trin af produktets levetid Proaktive sikkerheds- og kodekorrekturer proaktive hændelsesanalyser og -korrekturer, samt styrkelse af eksisterende kode, fremmer yderligere forbedringer af applikationssikkerheden Deltagelse i brancheførende sikkerhedsprogrammer avanceret informationsudveksling af produktsvagheder med udbydere af sikkerhedssoftware som f.eks. udbydere af antivirus og indbrudsregistrering og -forebyggelse, så branchen kan samarbejde om at reducere risikoen for sårbarheder Hvordan skal en udbyder understøtte opdateringsprocessen? Forudsigelige rettelsessplaner rettelser nedbringer it- og slutbrugerproduktivitet, så det bør forekomme på en forudsigelig og ikke-for-hyppig tidsplan - for eksempel den samme dag hver måned eller kvartal Enkel konfigurations post-udrulning en softwareløsning skal udnytte værktøjer på operativsystemniveau, som f.eks. Group Policy på Windows og Property List på Mac OS, der letter processerne med ændring af indstillinger efter udrulning Understøttelse af udrulningsværktøjer i organisationer, der skal opdatere tusindvis af maskiner er understøttelse af udrulningsværktøjer af afgørende betydning. I særdeleshed kan understøttelse af de nyeste softwarehåndteringssystemer, som f.eks. Microsoft System Center Configuration Manager (SCCM) og Microsoft System Center Updates Publisher (SCUP), gøre det lettere og mere effektivt at opdatere software på tværs af organisationen. Hvordan skal en udbyder understøtte softwaren efter frigivelse? Løbende forbedringer udbydere skal fortsat proaktivt arbejde på at gøre softwaren mere robust og angrebssikker end blot at reagere på eksisterende trusler. Undtagelsesmæssige opdateringer skal udrulle disse forbedringer. Branchesamarbejde det er vigtigt, at udbyderne er aktivt involveret i sikkerhedsmiljøet, så de er på forkant med de nyeste trusler og innovationer - og kan håndtere dem Hvordan skal en udbyder reagere på sikkerhedsfejl? Åbenhed udbydere bør være åbne om sikkerhedsemner og hvad de betyder, for at gøre deres software mere robust. Udbydere som tager sikkerhed alvorligt, udsender og reagerer proaktivt på trusler - også kendt som Almindelige svagheder og eksponeringer - i internationalt anerkendte databaser som f.eks. National Vulnerability Database. Manglende afsløringer af svagheder betyder ikke, at et produkt ikke kan udnyttes af hackere. Det betyder snarere, at den udbyder, der har frigivet produktet, ikke håndterer sikkerhedsspørgsmål proaktivt. 3
Adobe Acrobat X Familiens sikkerhed og uafhængige testresultater fra andre producenter Med sikkerhed i fokus integrerer Acrobat X og Reader X brancheførende sikkerhedsteknikker. Adobe udkonkurrerer andre PDF-løsninger inden for sikkerhedstestning I december 2011 gennemførte tredjeparts sikkerhedskonsulentvirksomheden isec produktsammenligningstest af 12 løsninger til visning, oprettelse eller redigering af PDF-dokumenter, som blev publiceret i rapporten, PDF Produktsammenligning. Testerne udsatte hvert produkt for det samme sæt af bevidst skadelige filer i et forsøg på at fremkalde fejl. Når der opstod nedbrud, blev de automatisk klassificeret som udnytbare eller ikke-udnytbare. Selv i det mindre hyppige tilfælde, hvor test kunne foretages for at forårsage et nedbrud, blev ikke et eneste nedbrud af Reader X eller Acrobat X klassificeret som udnytbar. Der kunne kun fremkaldes nedbrud på Reader X og Acrobat X hhv. 7 og 13 unikke gange. I sammenligning brød andre PDF readere ned op til 134 unikke gange, og andre PDF writere brød ned op til 132 unikke gange på et stort korpus af PDF testfiler. Testerne tilskrev dette resultat med nul udnytbare nedbrud et komplet sæt af operativsystemmitigeringer og lagdelte forsvar, der blev fundet i Reader X og Acrobat X, herunder applikationssandboxing, NX hukommelse, ASLR, SafeSEH og stack cookies. På den anden side oplevede visse testede PDF readere uden disse operativsystemmitigeringer op til 16 udnytbare nedbrud, og visse PDF writere oplevede helt op til 22 udnytbare nedbrud. I uafhængig treparts test oplevede Reader X og Acrobat X 0 nedbrud, der kan udnyttes, når de blev udsat for skadelige filer. Sikkerhedsfunktioner som f.eks. sandboxing forebygger muligheden for udnyttelser, når der sker et nedbrud. Løsning Antal nedbrud, der kan udnyttes Adobe Reader X 0 Adobe Acrobat X 0 Adobe investerer i sikkerhed og reducerer ekstraordinære sikkerhedsopdateringer Sikkerhedsforbedringer er en del af de omfattende tekniske investeringer, Adobe har foretaget for at hjælpe med at styrke Acrobat produktfamilien mod aktuelle og nye trusler. Ved løbende at gøre softwaren mere robust mod angrebsforsøg kan Adobe hjælpe med at reducere eller eliminere behovet for ekstraordinære sikkerhedsopdateringer og sænke vigtigheden af regelmæssigt planlagte opdateringer. Dette er med til at øge driftsfleksibiliteten og reducerer omkostningerne i produktets levetid (TCO), specielt i store miljøer med høje sikkerhedskrav. Når der kommer patches, hjælper Adobes integration med førende styringsværktøjer med at sikre, at administrerede Windows computere altid er up-to-date med de nyeste sikkerhedspatches og opdateringer, og at patches i sig selv er hurtige og enkle. 4
Oversigt Eftersom PDF-filtypen kan bruges til angreb, er tiderne med licenser og udrulning af de billigste PDFværktøjer uden nøje granskning af sikkerheden forsvundet for længst. Når en organisations omdømme og overlevelse afhænger af deres sikkerhedsforsvars evne til at holde skansen, hvis de rammes af gentagne angreb, er det af afgørende betydning, at de forlanger en højere standard fra applikationsudbyderne. Adobe tilbyder omfattende mitigeringer for at hjælpe med at forhindre angreb i at nå målet: Nyeste sandboxing-teknologi JavaScript hvid- og sortliste Deaktiveret adgang på tværs af domæner Strømlinede rettelsesfunktioner Forbedrede værktøjer til udrulning og administration Adobe fortsætter også med at investere i sine produkter lang tid efter frigivelsen, for at gøre dem endnu mere robuste, så kunderne kan være sikre på, at deres sikkerhedsforanstaltninger fortsat vil tilpasse sig et trusselsbillede, der er i konstant forandring. Adobe Systems Nordic AB Box 47, 164 93 Kista, Sverige www.adobe.dk, www.adobe.com Adobe, the Adobe logo, Acrobat, and Reader are either registered trademarks or trademarks of Adobe Systems Incorporated in the United States and/or other countries. Mac OS is a trademark of Apple Inc., registered in the U.S. and other countries. Windows is either a registered trademark or a trademark of Microsoft Corporation in the United States and/or other countries. All other trademarks are the property of their respective owners. 2012 Adobe Systems Incorporated. All rights reserved. Printed in Denmark. 2/12