image

Hackers gaan massaal voor Adobe

woensdag 23 september 2009, 09:52 door Redactie, 9 reacties

Vergeet Windows, Internet Explorer of QuickTime, cybercriminelen richten zich steeds vaker en exclusief op Adobe software, iets wat zelfs virusexperts verbaast. Security.nl sprak met Roel Schouwenberg van Kaspersky Lab, die inmiddels op een kruistocht is om gebruikers en bedrijven voor het gevaar van Adobe Reader en Flash Player te waarschuwen. "Adobe moet echt een stuk beter zijn werk doen", aldus de Nederlandse virusexpert die inmiddels in Amerika werkzaam is.

Adobe kondigde enige tijd geleden aan dat het haar leven zou beteren. Zo werd er een begin gemaakt met een eigen patchdinsdag en zou het voortaan veiliger gaan programmeren. Vanwege een noodpatch zag het bedrijf zich gedwongen om de net gestarte patchcyclus alweer te onderbreken en werd de volgende patchdinsdag uitgesteld. Schouwenberg is er niet van overtuigd dat Adobe op het juiste pad zit. "Ik zie het niet. Tot nu toe is het niet meer dan woorden."

Nieuwe Microsoft
Volgens de virusexpert bevindt Adobe zich in een positie waar Microsoft zich voor Windows XP Service Pack 2 in bevond, alweer 5 jaar geleden. "Als je het commentaar van Adobe hoort dan heb je niet zoiets dat deze mensen het snappen." Security staat bij de meeste bedrijven die niet direct worden aangevallen hoog op de prioriteitenlijst. "Maar bij Adobe is het al sinds 2007 duidelijk dat ze worden aangevallen en de laatste 6 maanden is het echt uit de hand gelopen."

De nieuwe generatie exploittoolkits maakt zich niet meer druk om Windows of Internet Explorer. "Er wordt alleen maar PDF en Flash gedaan." Iets waar zelfs Schouwenberg van stond te kijken. "Dat toont aan dat ze zich niet meer om andere exploits bekommeren." Het probleem wordt mede veroorzaakt doordat Adobe een monocultuur is. Hij wijst daarbij naar recente statistieken die laten zien dat zo'n 80% van de internetgebruikers met een lekke Flash en PDF versie surfen.

Features
De updater van zowel Flash als Adobe zou elke dag op updates moeten controleren, iets wat nu niet het geval is. Schouwenberg vindt dat dit voor alle browserplugins en programma's die met het internet werken moet gelden. De virusanalist noemt het prijzenswaardig dat inmiddels Firefox de zaken voor Adobe waarneemt. De opensource browser waarschuwt gebruikers als ze een kwetsbare Adobe plugin hebben draaien.

"Adobe zou het natuurlijk zelf ook wat beter kunnen doen." Wat betreft security ziet hij dat Adobe dat niet als hoogste prioriteit heeft en voornamelijk met het toevoegen van nieuwe features bezig is. Zoals het toevoegen van DRM aan Flash Player, iets wat volgens Schouwenberg ook interessant voor virusschrijvers kan zijn. In het verleden is al vaker de DRM-functie van Windows Media Player misbruikt voor het infecteren van systemen. "Ik ben nog niet bekend met de implementatie, maar het kan mij het leven lastiger maken."

Prioriteiten
Schouwenberg vraagt zich af of Adobe als commercieel bedrijf zich wel om de veiligheid van de eigen producten bekommert, een houding die hij in het verleden ook bij Microsoft zag. "En die zijn daar helemaal op teruggekomen." Daarbij speelt ook een rol dat er nauwelijks concurrentie voor Adobe Reader en Flash Player is. Er zijn wel PDF-readers zoals Foxit Reader, maar voor Flash is er helemaal niets. "Dat is een probleem."

De meeste exploits richten zich echter op Adobe Reader. Daarbij gebruiken de aanvallers vaak verschillende exploits tegelijkertijd, wat het leven voor anti-virusbedrijven weet iets makkelijker maakt. "Als een virusbestrijder bijvoorbeeld één van de vier exploits herkent, herkent hij de aanval nog steeds." De meeste exploits zitten verstopt in Adobe's implementatie van JavaScript. "Dan heb je ook nog het verschil tussen de PDF standaard en wat Adobe Reader daadwerkelijk doet, dat doet ook denken aan Microsoft in dat opzicht." Het gaat dan om de afspraken die men op papier maakt, maar in de werkelijkheid extra aanpassingen maakt. Zoals het laden van HTML en executables in IE. Ook bij Adobe Reader houdt men zich niet strikt aan die regels, waardoor bepaalde zaken toch door het programma gelezen worden.

Marktleider
Vanwege alle problemen met beveiliging en malware, zou men verwachten dat er een levendige communicatie tussen Adobe en bijvoorbeeld anti-virusbedrijven is, maar dat blijkt niet het geval. "Tot nu toe is het een erg lastig communicatieproces met Adobe", zo verzucht Schouwenberg. Vanwege het aantal zero-day lekken en dat Adobe bijvoorbeeld in het begin van dit jaar een lek in de doofpot probeerde te verstoppen, doen bedrijven en gebruikers er volgens hem verstandig aan om een alternatief te zoeken.

De virusanalist merkt op dat ook alternatieven zoals Foxit Reader, uiteindelijk het doelwit van virusschrijvers kunnen worden als ze voldoende marktaandeel weten te veroveren. "Idealiter gebruikt iedereen dus wat anders." Dat het ook anders kan laat Microsoft zien. "IE8 lijkt nu redelijk veilig als je kijkt naar lekken die IE7 raken, maar niet IE8. Maar met PDF's als het op de marktleider aankomt, dan is het wel duidelijk dat je daar beter bij weg kunt blijven."

Reacties (9)
23-09-2009, 11:06 door U4iA
Daarbij speelt ook een rol dat er nauwelijks concurrentie voor Adobe Reader en Flash Player is. Er zijn wel PDF-readers zoals Foxit Reader, maar voor Flash is er helemaal niets. "Dat is een probleem."
Zijn er wel andere applicaties behalve Flash-Player die Flash mogen afspelen? Het lijkt me anders dat Microsoft wel zo'n functionaliteit zou willen toevoegen aan Silverlight...
23-09-2009, 11:59 door Anoniem
Vergeet Windows, Internet Explorer of QuickTime, cybercriminelen richten zich steeds vaker en exclusief op Adobe software, iets wat zelfs virusexperts verbaast.
Ik weet niet hoor maar mij verbaast het totaal niet:
1. Elk denkbaar systeem heeft flash en PDF reader geïnstalleerd dus grote target gebied.
2. Adobe is slecht met het verhelpen van exploits.
Dus voor cybercriminelen 2 hele grote redenen om juist zo virussen op iemands systeem te krijgen.
23-09-2009, 12:53 door Preddie
de term is PDF is bijna onlosmakelijk verbonden aan adobe.

vraag aan een willekeurig iemand waar je een PDF bestand mee moeten openen, 99% zou zeggen Adobe Acrobat reader
23-09-2009, 14:09 door Anoniem
Ik vraag mij af of het er net zo slecht zou hebben voorgestaan als Macromedia niet was overgenomen door Adobe.
23-09-2009, 23:05 door Anoniem
welnee, Mac OS X heeft een programma, Voorvertoning (Preview in het engels) en die kan ook perfect pdf openen, beveiligde pdf, je kunt ook pdf invullen etc.... Adobe Acrobat reader Wat is dat? (A)
24-09-2009, 07:45 door Anoniem
Door Anoniem: Ik vraag mij af of het er net zo slecht zou hebben voorgestaan als Macromedia niet was overgenomen door Adobe.

Macromedia... Dat waren nog jongens met hart voor de zaak. Adobe is al lang geleden vervallen in een soort graaicultuur waarbij marktaandeel en geld de sleutelwoorden zijn. Ze komen er vanzelf wel achter. Langzaam maar zeker wordt het net overspoeld met artikelen waarin wordt gewaarschuwd voor de producten van adobe en dat ook nog door mensen die weten waar ze het over hebben. Ze graven hun eigen graf of ze doen er wat aan.

Rex.

offtopic: persoonlijk hoop ik dat andere producten van dit bedrijf er ook schade door oplopen. Ik heb het niet zo op graaiers... (Nu druk ik me EXTREEM subtiel uit)
24-09-2009, 11:46 door Anoniem
Voor Linux zijn er alternatieven:
Flash: swfdec, gnash
PDF: xpdf, kpdf, gv, poppler etc.

Frans
24-09-2009, 15:28 door carolined
Nou moet ik zeggen dat ik zelf een gloeiende hekel heb aan trage flash sites, waar je ook nog eens niet lekker door kunt linken. als ik eenmaal op een flash site geweest ben kom ik daar meestal niet meer terug tenzij het niet anders kan en het hoogstnoodzakelijk is. Doe mij maar gewoon html.
Dus in die zin vind ik het graf voor flash niet zo erg.
Voor de flash filmpjes is het jammer, maar daar zijn toch genoeg alternatieven voor, b.v. MP4, dat is nog mooi standaard ook.

Foxit is prima voor pdf, megasnel.
25-09-2009, 09:55 door Anoniem
een alternatief te zoeken
PDF's onder Windows is gewoon grote teringzooi. FoxIt is niet vergelijkbaar, onhandig, oncontroleerbaar en onconfigureerbaar. A.k.a. "niet" handig in een grote omgeving om het te distributeren.

Andere alternatieve zoals bijvoorbeeld SumatraPDF werken 'aardig', maar toch mist het teveel functies om zomaar een upgrade door te voeren (ik heb het tijdelijk gedaan, door teveel problemen terug naar Adobe). Gebruikers missen vrij basis functionaliteiten.

Nee, voor Windows is er gewoon geen werkend alternatief. De ene reader is niet beheersbaar, de andere mist functies, de derde heeft een renderengine waarmee teveel PDF documenten niet geopend kunnen worden, of verkeerd worden weergegeven.

Neem ik een willekeurige PDF reader voor linux, deze werken wel correct. Ieder document wat problemen had met andere (3rd party) oplossingen onder Windows, werkte zonder probleem onder linux PDF readers.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.