Adobe wil stil en automatisch updaten
Brad Arkin staat in voor de veiligheid van de producten van Adobe. Afgaand op het aantal patches dat de softwaremaker de laatste tijd vrijgaf, moet hij een zware job hebben.
Arkin is zowel verantwoordelijk voor de preventieve veiligheid, door de code zo robuust mogelijk te maken, als voor de antwoorden op hackaanvallen. We vragen hem waarom pdf zo’n geliefd doelwit is bij hackers en polsen ook eens naar de acties die Adobe daar tegen onderneemt.
Zo zou het bedrijf graag zijn producten automatisch en onzichtbaar laten updaten. Maar dat is vanuit wettelijk oogpunt blijkbaar niet zo eenvoudig.
IT Professional: De jongste Acrobat X en Reader X [de X is een Romeinse tien] hebben een veilige modus, waarin virussen geen schade kunnen aanrichten. Leg dat eens uit.
Brad Arkin: "De modus zal in november gelanceerd worden bij Adober Reader X en Adobe Acrobat X. We hebben moeite gedaan om die versie tien de veiligste te maken tot op heden. Het meest opwindende dat we gedaan hebben, is de Adobe Reader Protected Mode.
"De algemene term voor die technologie is een sandbox. Zo’n zandbak gebruik je om Adobe Reader in een logische ‘doos’ te stoppen die grenzen aan de software stelt. Dan kun je in die doos normaal functioneren, maar daarbuiten niet.
"Reader werkt dus zoals alle vorige versies, maar kan geen bestanden verwijderen, software installeren of met het register knoeien. Het voordeel voor gebruikers van Adobe Reader is dat als de pdf kwaadaardige inhoud bevat, deze binnen de zandbak moet blijven. En de software kan dus geen bestanden vernietigen of software installeren.
"Toch is de zandbak geen wondermiddel dat tegen elke aanval beschermt. Social engineering bijvoorbeeld, waarbij een hacker vraagt aan de gebruiker om handelingen te stellen. Daartegen ben je niet beschermd."
En je kunt die functie ook uitzetten natuurlijk.
"De zandbak is een menukeuze die standaard aanstaat, maar je kunt deze uitzetten als dat nodig is. Vandaar dat het zo belangrijk is om ervoor te zorgen dat alle functies goed werken in de zandbak. De meerderheid van de gebruikers zal niet weten dat het bestaat, of zal geen reden of excuus hebben om de zandbakfunctie uit te schakelen. Aan of uit, alles zal hetzelfde werken. Er is geen beslissing van de gebruiker nodig.
"Het heeft ook geen invloed op de prestaties. Als de zandbak nu heel traag zou werken, dan bestond het risico dat mensen de functie zouden uitzetten. We hebben dus ons best gedaan om prestatie, functies en gebruikersinterface hetzelfde te laten blijven."
De nieuwe Reader is ook modulair: minder vaak gebruikte delen worden pas ingeladen als ze nodig zijn. Heeft dat gevolgen voor de veiligheid?
"Het voordeel van die modulaire aanpak is vooral om de software licht en snel te maken. Voor beveiliging heeft het echter geen grote impact. Stel nu dat er een bug is in een sectie van het programma die maar zelden gebruikt wordt. Als kwaadwillende zou ik dat stuk software laden en dan aanvallen."
Ga je de zandbak ook bij andere software gebruiken, zoals AIR en Flash?
Arkin: "Adobe AIR is een platform waarop andere toepassingen kunnen draaien. AIR is in feite zelf een soort zandbak. Schrijvers van AIR-toepassingen kunnen zelf instellen welke privileges een programma heeft, of het aan bestanden moet kunnen en of het netwerktoegang nodig heeft. Dus is het mogelijk voor schrijvers van AIR-toepassingen om beperkingen op te leggen aan hun programma’s.
"Voor Flash is zo’n zandbak moeilijker dan bij Adobe Reader, want Flash is heel nauw gekoppeld aan de browser en aan het besturingssysteem.
"Flash kan bijvoorbeeld in Internet Explorer 7 of later, op een computer met Vista of later in een sandbox draaien. Die heet dan Internet Explorer Protected mode. Dat is een soortgelijke, maar andere techniek dan bij de Reader.
"We werken ook met het Google Chrome-team, want Flash is daar ook nauw in verweven. Het is een gebundelde component. Momenteel werken we aan de integratie van Flash in de zandbak van Chrome. Nu draait die daar nog buiten. We plannen ook nog een zandbak voor Firefox.
"Het probleem is dat een zandbak duur is om te ontwikkelen, er kruipt veel tijd en veel testwerk in. Er is immers een groot risico dat functies stukgaan of dat er een grote impact is op de prestatie, vooral voor wijdverspreide software zoals Reader en Flash. Maar voor andere software is er denk ik nog veel automatisering nodig."
Waarom vinden hackers pdf’s zo leuk?
"We hebben bestudeerd waar die aandacht vandaan komt. Tien tot vijftien jaar geleden richtten hackers zich op servers. Maar zo’n tien jaar geleden verschoof de aandacht naar desktopcomputers. Toen is de focus ook verlegd van het besturingssysteem naar toepassingen die werden meegeleverd bij het besturingssysteem, zoals Outlook en Word.
"Nu richten hackers zich op andere producten die wijdverspreid zijn. Adobe Reader staat op veel machines. Als je een pc-gebruiker wilt gaan aanvallen, is het een veilige gok om ervan uit te gaan dat hij Reader geïnstalleerd heeft.
"Er zijn nog andere aspecten. Een ervan is dat Reader op veel verschillende besturingssystemen werkt. Het werkt op Windows 7, Windows Vista en Windows XP. Het heeft een bijna identieke gebruikservaring, en onder de motorkap verschilt het ook niet zo veel. En dus als je een virus schrijft voor één platform, kun je dat met een beetje geluk en weinig aanpassing ook op een ander platform gaan gebruiken.
"Een ander aspect is dat mensen op verschillende manieren met pdf’s omgaan. Sommigen openen het via een link in de webbrowser met een plug-in. Anderen openen het als een bijlage bij een e-mail. Dat zijn dus twee manieren om een aanval op te zetten.
"De combinatie van die factoren maakt pdf zo aantrekkelijk voor hackers. Maar veel software heeft die eigenschappen, zoals ook Media Player en Quicktime bijvoorbeeld."
Een veelgehoorde kritiek gaat over het updateproces. Dat is te omslachtig, waardoor mensen liever met een verouderde versie verdergaan dan een update door te voeren. Werken jullie daaraan?
"Die feedback hebben we duidelijk gekregen van onze gebruikers. We hebben er ook aan gewerkt. Alles wat we doen om Reader veiliger te maken, heeft immers alleen zin als mensen ook updates installeren. Het was nodig dat we daarom alle obstakels weghaalden.
"We hebben een nieuwe versie van de updater voor Adobe Reader geïmplementeerd. In april 2010 hebben we die functie aangezet voor al onze gebruikers. We onderzochten ook alle redenen om updates niet te installeren, zoals problemen met de gebruikservaring. Vanaf het moment dat je een bestand opende, kreeg je een bericht dat er een update beschikbaar is. Wat gebruikservaring betreft, is dat een heel slechte timing. Je wilt immers het bestand zien, geen updates doorvoeren.
"En nu is er een derde update-optie naast de klassieke twee. Je had vroeger een manuele update, waarbij de gebruiker zelf moest klikken om updates te zoeken. Je had ook een halfautomatische optie, waarbij je moest klikken als er een update gedetecteerd werd. Sinds april 2010 is er ook een derde optie: een stille modus die om de 72 uur checkt of er updates zijn. Als die update er is, wordt die gedownload en vanzelf geïnstalleerd. Bij vervollediging komt er een klein bericht in de rechteronderhoek van het scherm.
"De automatische updates zijn opt-in [je moet er zelf voor kiezen]. We zouden graag de meerderheid van onze gebruikers omzetten naar deze stille updatemethode. Een van de redenen waarom dat niet standaard is, is omdat we software moeten forceren naar de pc van de gebruiker. En dat willen we met volledige toestemming doen.
"Om te kunnen voldoen aan alle verschillende wettelijke eisen, vraagt dat ook veel werk om de dialoogvensters en de gebruikersovereenkomst aan te passen. We werken eraan, maar je kunt al intekenen."
We hebben de laatste tijd enkele aanvallen gezien op onbekende bugs. Als er zo’n bug opduikt, wat doen jullie dan bij Adobe?
"De meerderheid van bugs wordt ontdekt door Adobemedewerkers, of door bevriende beveiligingsspecialisten. Toch waren er de afgelopen jaren een paar kwetsbaarheden die eerst door de slechteriken werden gevonden en gebruikt in een aanval. Dat noemen we een zero-day-attack, of een aanval in het wild."
Arkin: "Om dergelijke aanvallen op te sporen, hebben we afspraken met bedrijven die doelwitten van hoge waarde zijn. Dat zijn banken, defensiebedrijven of overheden. Als een van die doelwitten aangevallen wordt, dan merken ze dat. Het bedrijf neemt dan contact op met Adobe en deelt de gegevens van de aanval met ons.
"De overdracht van gegevens van zo’n bedrijf waarmee we afspraken hebben, is een kwestie van minuten. We bekijken het staal en we verifiëren of het een nieuwe aanval is. En dan zoeken we de kwetsbaarheid in de applicatie. Binnen 24 uur hebben we meestal de bewuste lijn code gevonden. En dan gaan we ook soortgelijke problemen zoeken.
"Daarna bouwen we een nieuwe versie van het product. Maar het duurt lang om dat voor alle platformen in alle talen klaar te maken. Er zijn 85 combinaties. En die moeten getest worden om te zien of er geen nieuwe problemen bijgemaakt zijn.
"Om snel een oplossing aan te bieden, publiceren we nog een advies om de problemen te verwijderen. Het duurt meestel acht uur voor dat advies er is."