Varför är det viktigt med säkerhet i PDF-program? Vad du behöver veta för att minimera riskerna Innehåll 1: Program som kraschar ger tillfälle till attack 2: Programvaror som utnyttjar inbyggda skyddsfunktioner i operativsystemen minskar riskerna 3: Hur du utvärderar en leverantörs säkerhetsstrategi 4: Oberoende tester av säkerheten i Adobe Acrobat X Family 5: Sammanfattning 2010 genomförde forskare från Ponemon Institute en studie som omfattade fem länder i Nordamerika, Europa, Mellanöstern och Asien och fann att företagens genomsnittliga kostnader för dataintrång uppgick till 4 miljoner dollar, vilket är en ökning med 18 procent jämfört med föregående år. En annan studie av 45 amerikanska företag kom fram till att cyberbrottslingar genomförde ungefär en framgångsrik attack per vecka. Mediankostnaden för detta uppgick till 3,8 miljoner dollar per år och företag, medan den högsta kostnaden uppgick till 52 miljoner dollar. Det blir allt enklare för cyberbrottslingar att attackera företag, men det har inte blivit enklare att avslöja eller lagsöka dem. Idag slåss företagen mot cyberangripare som försöker stjäla data, krascha system, skada företagens renommé eller bara vill skryta med vilka duktiga hackare de är. Ett av hackarnas favoritverktyg för attacker råkar även vara företagens favoritmedium för data, dokument och intellektuell egendom: universella filtyper. Genom att bädda in skadlig kod i filer försöker angriparna få åtkomst till systemen. PDF har blivit en sådan universell filtyp, eftersom den är en allmänt tillgänglig och offentliggjord standard. Många utvecklare har använt standarden för att skapa egna PDF-verktyg, något som öppnat nya vägar för cyberbrottslingarna. Eftersom hackarna försöker utnyttja svagheter i programmen som används för att skapa och visa PDF-filer, måste nu företagen vara mycket vaksamma när de beslutar om vilka programvaror de ska tillåta i sina systemmiljöer. Den här rapporten belyser konsekvenserna av intrång, de programsäkerhetsåtgärder man bör vidta för att förhindra attacker och egenskaper hos programvaruleverantörerna som borgar för säkra programvaror. Den redovisar även resultatet av oberoende säkerhetstester. Testerna visar att Adobe Acrobat X och Adobe Reader X överträffar andra PDF-lösningar på marknaden när det gäller att skydda verksamheter mot attacker som kan få katastrofala konsekvenser. Rapporten förklarar varför företag måste vara lika noggranna när de utvärderar säkerheten hos de program de använder för att visa och skapa PDF-filer som när man utvärderar sina mest verksamhetskritiska program. Det gör man genom att exempelvis undersöka följande: Vilka av operativsystemets skyddsfunktioner har integrerats i programmet? Innehåller programmet några funktioner som förhindrar angripare från att utnyttja en krasch? Vilka processer finns från produktutveckling till svar på frågor för att hantera säkerhetsproblem i takt med att de uppkommer? Hur upprätthåller leverantören säkerheten utan att kompromissa med funktionaliteten? Vad händer efter programmets release? Fortsätter leverantören att aktivt förbättra produktsäkerheten? Hur engagerad är leverantören i den allmänna säkerhetscommunityn? Företag som inte granskar sina leverantörer noggrant blottställer sig för extremt stora risker. Program som kraschar ger tillfälle till attack Ett av hackarnas vanligaste tillvägagångssätt är att föra in korrupta filer i ett system för att få det att krascha. Det sker vanligtvis genom att man lurar en mottagare att tro att en korrupt fil är äkta. Krascher är störande och påverkar produktiviteten negativt, men de är inte särskilt destruktiva i sig själva. De stora problemen uppstår när angriparna försöker utnyttja brister som beror på minnesfel. Om en krasch ger en öppning som angripare lyckas utnyttja, kan de föra in skadlig kod som kan köras i systemet. Det är i sådana lägen som angripare kan komma åt att stjäla data som exempelvis kreditkortsnummer, installera skadliga program, radera filer eller ändra annan systeminformation på enheter som saknar tillräckligt skydd. Den här typen av attacker är inte unika för PDF-formatet. Hackare har i åratal använt metoden för att angripa webbapplikationer, operativsystem och andra vanligt förekommande programvaror och filtyper.
Effekten av en attack kan minimeras om företagen använder rätt programvaror. I annat fall kan följderna bli förödande. Företagets renommé och varumärke kan lida obotlig skada. Kunderna kan förlora förtroende för företaget och istället vända sig till konkurrenterna. Man kan även bli juridiskt ansvarig för intrång och drabbas av enorma kostnader i form av rättegångskostnader, straffavgifter och skadestånd. Tyvärr är sådana extrema konsekvenser inte ovanliga. Söker man i nyhetsflödet vilken dag som helst så hittar man massor av berättelser om företag som drabbats av intrång. Det kan verka som att angriparna enbart ger sig på företag med hög profil, men även mindre företag och myndigheter attackeras allt oftare. Och hackarna är ute efter specifika typer av data. Programvaror som utnyttjar inbyggda skyddsfunktioner i operativsystemen minskar riskerna Säkerhetsexperterna är ense om att det bästa försvaret är ett skydd som går på djupet i flera lager eftersom det skyddar på flera fronter med inbyggda verktyg både i programmet och i operativsystemet. Alla de följande skyddsfunktionerna bör finnas med i en PDF-lösning som man överväger att använda på företaget. En lösning som endast innehåller några få av dessa funktioner ger inte samma nivå av säkerhet som alla funktionerna i kombination. Application sandbox Med en sandlåda kan operativsystemet skapa en avgränsad exekveringsmiljö för att köra program med låga rättigheter eller behörigheter. Sandlådan skyddar användarens system mot potentiellt skadliga dokument som innehåller körbar kod. Den här metoden för åtkomstkontroll går ut på att tilldela integritetsnivåer. En process med låg integritetsnivå är starkt begränsad när det gäller vilka objekt man kan få åtkomst till. Andra mekanismer som ofta används för att skapa en sandlåda i ett program är begränsade tokens och minnesbegränsningar för jobbobjekt. Data Execution Prevention Dataexekveringsskyddet förhindrar att data eller farlig kod sparas på platser i minnet som har definierats som skyddade av Windows. Dataexekveringsskyddet innebär att minnen i maskin- och programvara kontrolleras. Non-executable memory Dataexekveringsskydd (DEP) genom maskinvara skapar ett undantagsfel när kod körs från en minnesplats som inte är körbar (NX). Processorer som stöds åstadkommer detta genom att aktivera NX-biten, och ange specifika minnesområden som icke körbara. Safe structured exception handling Dataexekveringsskydd (DEP) genom programvara kontrollerar giltigheten hos de undantagsfel som genererats i ett program för att förhindra skadlig kod från att utnyttja felhanteringsfunktionen. Detta kallas säker och strukturerad felhantering (SafeSEH). Adress Space Layout Randomization (ASLR) Även om dataexekveringsskyddet är aktiverat går det att köra kod genom att omdirigera ett funktionsanrop till en körbar minnesplats i processen. För att förhindra sådana attacker kan man använda sig av ASLR. ASLR döljer placeringen av viktiga dataareor och systemkomponenter, vilket försvårar för angripare att hitta och komma åt dessa. Både Windows och Mac OS X v10.6 använder ASLR. Stack cookies Buffertsäkerhetskontroll är ett kompileringsalternativ där en stack cookie läggs in för att förhindra att stackbaserade buffertspill utnyttjas. Denna programövergripande cookie kopieras mellan de lokala variablerna och returadressen. Kompilatorn lägger sedan till kod i funktionernas prolog och epilog som ska förhindra att koden körs om cookien ändras. Av de 12 testade PDF-lösningarna är Adobe Reader X och Adobe Acrobat X de enda som erbjuder alla de fem kritiska säkerhetslagren som förhindrar angripare från att utnyttja en krasch i Windows. Produktivitet Sandbox Stack cookies NX ASLR SafeSEH Adobe Reader X Adobe Acrobat X 2
Övriga säkerhetsfunktioner Acrobat och Reader erbjuder flera andra skyddsfunktioner, exempelvis domänövergripande skydd och möjlighet att göra listor med godkända JavaScript och svartlista icke godkända skript. Domänövergripande skydd förhindrar skriptattacker mot webbplatser, något som blivit allt vanligare. Genom vitlistning kan man tillåta enbart de JavaScript som behövs för egna arbetsflöden. Genom svartlistning skyddar man sig mot attacker som riktar in sig på specifika JavaScript API-anrop. Hur du utvärderar en leverantörs säkerhetsstrategi Den största utmaningen för IT-avdelningarna idag är att säkerhet är som en rörlig måltavla. Nya hot uppstår varje dag. Därför måste man, när man utvärderar säkerheten hos PDF-programvara, ta med i beräkningen både vad som ingår i produkten till att börja med, och vad leverantören sedan gör för att bibehålla produktsäkerheten även framöver. Att hela tiden vara proaktiv vad gäller programvarusäkerheten innebär att oupphörligen testa och åtgärda säkerhetsluckor, samtidigt som man utvecklar nya skyddsfunktioner för att skydda sig mot ständigt skiftande hotbilder. Hur bör en leverantör arbeta med programvaruutveckling och testning? Produktutvecklingsteam som enbart fokuserar på säkerhet säkerhetstänkandet ska finnas med i alla faser av produktens livscykel. Förebyggande säkerhets- och kodrevisioner förebyggande incidentanalyser och kodförstärkning, förbättrar produktsäkerheten ytterligare. Deltagande i branschledande säkerhetsprogram att bidra till utbyte av information om säkerhetsluckor mellan olika programvaruleverantörer, exempelvis tillverkare av antivirusprogram och program för att upptäcka och skydda sig mot intrång, främjar ett bättre samarbete i branschen och minskar risken för sårbarheter. Hur bör leverantören ge stöd för uppdateringsprocessen? Fast schema för programfixar programfixar är störande för produktiviteten, både för IT-avdelningar och slutanvändare. Därför bör de släppas på fasta tider och inte alltför ofta, exempelvis samma dag varje månad eller kvartal. Enkel konfiguration efter installation en programvarulösning bör bygga på verktyg i operativsystemet, till exempel Group Policy i Windows och Property List i Mac OS, vilka underlättar när man ska anpassa inställningarna efter installationen. Stöd för installationsverktyg i företag där man måste uppdatera tusentals datorer är stöd för installationsverktyg helt avgörande. I synnerhet är det viktigt att det finns stöd för de senaste programvaruhanteringssystemen, som Microsoft System Center Configuration Manager (SCCM) och Microsoft System Center Updates Publisher (SCUP). Det gör det enklare och effektivare att uppdatera programvaror i hela företaget. Vilken support bör leverantören ge efter releasen? Löpande förbättringar leverantören bör fortsätta att arbeta förebyggande för att göra programvaran mer robust och skyddad mot attacker och inte enbart utgå ifrån befintliga hot. Sådana förbättringar bör då och då ingå i programuppdateringarna. Branschsamarbete det är viktigt att en leverantör är aktiv i säkerhetscommunityn för att ligga steget före när det gäller aktuella hot, och få information om innovationer som kan skydda mot dem. Hur bör en leverantör hantera säkerhetsluckor? Transparens en leverantör bör tillhandahålla information om de säkerhetsproblem som uppstår och vad man gör för att få programvaran mer robust. Seriösa leverantörer hanterar nya hot så kallade Common Vulnerabilities and Exposures proaktivt genom att snarast lägga upp och ta del av information om dessa i erkända databaser som National Vulnerability Database. Avsaknad av information om sårbarheter är inte någon garanti för att produkten inte kan utnyttjas av hackare. Snarare kan det innebära att leverantören som står bakom produkten inte arbetar förebyggande med säkerhet. 3
Oberoende tester av säkerheten i Adobe Acrobat X Family Acrobat X och Reader X är utvecklade med säkerhet i fokus och bygger på branschledande säkerhetsteknik. Adobe är överlägset andra PDF-lösningar i säkerhetstester I december 2011, genomförde det oberoende säkerhetskonsultföretaget isec en produktjämförelse där man testade 12 lösningar för att visa, skapa och redigera PDF-dokument. Resultatet publicerades i rapporten, PDF Product Comparison. Testledarna använde samma uppsättning med avsiktligt korrupta filer för att försöka framkalla fel i alla produkterna. När krascher inträffade klassades de automatiskt som möjliga eller inte möjliga att utnyttja för attacker. Inte ens i de, sällan förekommande fall, där testerna faktiskt ledde till en krasch i Reader X eller Acrobat X, klassades dessa krascher som möjliga att utnyttja. Reader X och Acrobat X kunde endast fås att krascha vid 7 respektive 13 unika tillfällen. Som en jämförelse kan nämnas att andra PDF-läsare kraschade vid upp till 134 unika tillfällen, medan andra program för att skapa PDF kraschade vid upp till 132 unika tillfällen. Testerna utfördes med hjälp av en omfattande corpus av testfiler i PDF-format. Testledarna menade att anledningen till att inga krascher kunde utnyttjas berodde på att Reader X och Acrobat X hade en komplett uppsättning skyddsfunktioner som bygger på operativsystemet samt skydd i flera lager, exempelvis sandlådor för program, NX-minne, ASLR, SafeSEH och stack cookies. Å andra sidan kraschade många av PDF-programmen som saknar de operativsystembaserade skyddsfunktionerna upprepade gånger på ett sätt som kunde utnyttjas för attacker: upp till 16 gånger för PDF-läsare och 22 gånger för program som skapar PDF:er. I oberoende tester med korrupta filer kraschade varken Reader X eller Acrobat X någon gång på ett sätt som kunde utnyttjas för attacker. Säkerhetsfunktioner som exempelvis sandlådor skyddar mot möjligheten att utnyttja en krasch. Lösning Antal krascher som kunde utnyttjas Adobe Reader X 0 Adobe Acrobat X 0 Adobe investerar i säkerhet och minskar antalet sporadiska säkerhetsuppdateringar Säkerhetsförbättringar ingår som en del av de omfattande utvecklingsinvesteringar som Adobe har gjort för att förstärka Acrobat-familjen mot aktuella och nya hot. Genom att hela tiden göra programmen tåligare mot attacker kan Adobe minska eller till och med eliminera behovet av sporadiska säkerhetsuppdateringar och göra regelbundna schemalagda säkerhetsuppdateringar mindre kritiska. Detta ger en större flexibilitet och minskar den totala ägandekostnaden, särskilt inom stora organisationer med höga säkerhetskrav. När programfixarna kommer, bidrar Adobes integration med ledande programhanteringsverktyg till att företagets Windows-datorer alltid är uppdaterade med de senaste programfixarna och uppdateringarna, samt att programfixarna går snabbt och enkelt att installera. 4
Sammanfattning Eftersom PDF-filtypen kan användas för attacker är det inte längre försvarbart för företagen att installera de billigaste PDF-verktygen i en organisation utan att först göra en noggrann säkerhetsutvärdering. När ett företags renommé och överlevnad beror på dess förmåga att skydda sig mot upprepade attacker är det avgörande att de ställer höga krav på sina programvaruleverantörer. Adobe erbjuder omfattande skyddsfunktioner som kan bidra till att stoppa attackerna: Sandlådeteknik i framkant Vit- och svartlistning av JavaScript Inaktivering av åtkomst mellan domäner Effektivare funktioner för installation av programfixar Förbättrade verktyg för driftsättning och administration Adobe fortsätter dessutom att investera i sina produkter långt efter releasen för att göra dem ännu mer kraftfulla, så att kunderna kan känna sig trygga med sina säkerhetsåtgärder och veta att de uppdateras i takt med ständigt skiftande hotbilder. Adobe Systems Nordic AB Box 47, 164 93 Kista, Sverige www.adobe.se, www.adobe.com Adobe, the Adobe logo, Acrobat, and Reader are either registered trademarks or trademarks of Adobe Systems Incorporated in the United States and/or other countries. Mac OS is a trademark of Apple Inc., registered in the U.S. and other countries. Windows is either a registered trademark or a trademark of Microsoft Corporation in the United States and/or other countries. All other trademarks are the property of their respective owners. 2012 Adobe Systems Incorporated. All rights reserved. Printed in Sweden. 2/12