Vergeet Windows, Internet Explorer of QuickTime, cybercriminelen richten zich steeds vaker en exclusief op Adobe software, iets wat zelfs virusexperts verbaast. Security.nl sprak met Roel Schouwenberg van Kaspersky Lab, die inmiddels op een kruistocht is om gebruikers en bedrijven voor het gevaar van Adobe Reader en Flash Player te waarschuwen. "Adobe moet echt een stuk beter zijn werk doen", aldus de Nederlandse virusexpert die inmiddels in Amerika werkzaam is.
Adobe kondigde enige tijd geleden aan dat het haar leven zou beteren. Zo werd er een begin gemaakt met een eigen patchdinsdag en zou het voortaan veiliger gaan programmeren. Vanwege een noodpatch zag het bedrijf zich gedwongen om de net gestarte patchcyclus alweer te onderbreken en werd de volgende patchdinsdag uitgesteld. Schouwenberg is er niet van overtuigd dat Adobe op het juiste pad zit. "Ik zie het niet. Tot nu toe is het niet meer dan woorden."
Nieuwe Microsoft
Volgens de virusexpert bevindt Adobe zich in een positie waar Microsoft zich voor Windows XP Service Pack 2 in bevond, alweer 5 jaar geleden. "Als je het commentaar van Adobe hoort dan heb je niet zoiets dat deze mensen het snappen." Security staat bij de meeste bedrijven die niet direct worden aangevallen hoog op de prioriteitenlijst. "Maar bij Adobe is het al sinds 2007 duidelijk dat ze worden aangevallen en de laatste 6 maanden is het echt uit de hand gelopen."
De nieuwe generatie exploittoolkits maakt zich niet meer druk om Windows of Internet Explorer. "Er wordt alleen maar PDF en Flash gedaan." Iets waar zelfs Schouwenberg van stond te kijken. "Dat toont aan dat ze zich niet meer om andere exploits bekommeren." Het probleem wordt mede veroorzaakt doordat Adobe een monocultuur is. Hij wijst daarbij naar recente statistieken die laten zien dat zo'n 80% van de internetgebruikers met een lekke Flash en PDF versie surfen.
Features
De updater van zowel Flash als Adobe zou elke dag op updates moeten controleren, iets wat nu niet het geval is. Schouwenberg vindt dat dit voor alle browserplugins en programma's die met het internet werken moet gelden. De virusanalist noemt het prijzenswaardig dat inmiddels Firefox de zaken voor Adobe waarneemt. De opensource browser waarschuwt gebruikers als ze een kwetsbare Adobe plugin hebben draaien.
"Adobe zou het natuurlijk zelf ook wat beter kunnen doen." Wat betreft security ziet hij dat Adobe dat niet als hoogste prioriteit heeft en voornamelijk met het toevoegen van nieuwe features bezig is. Zoals het toevoegen van DRM aan Flash Player, iets wat volgens Schouwenberg ook interessant voor virusschrijvers kan zijn. In het verleden is al vaker de DRM-functie van Windows Media Player misbruikt voor het infecteren van systemen. "Ik ben nog niet bekend met de implementatie, maar het kan mij het leven lastiger maken."
Prioriteiten
Schouwenberg vraagt zich af of Adobe als commercieel bedrijf zich wel om de veiligheid van de eigen producten bekommert, een houding die hij in het verleden ook bij Microsoft zag. "En die zijn daar helemaal op teruggekomen." Daarbij speelt ook een rol dat er nauwelijks concurrentie voor Adobe Reader en Flash Player is. Er zijn wel PDF-readers zoals Foxit Reader, maar voor Flash is er helemaal niets. "Dat is een probleem."
De meeste exploits richten zich echter op Adobe Reader. Daarbij gebruiken de aanvallers vaak verschillende exploits tegelijkertijd, wat het leven voor anti-virusbedrijven weet iets makkelijker maakt. "Als een virusbestrijder bijvoorbeeld één van de vier exploits herkent, herkent hij de aanval nog steeds." De meeste exploits zitten verstopt in Adobe's implementatie van JavaScript. "Dan heb je ook nog het verschil tussen de PDF standaard en wat Adobe Reader daadwerkelijk doet, dat doet ook denken aan Microsoft in dat opzicht." Het gaat dan om de afspraken die men op papier maakt, maar in de werkelijkheid extra aanpassingen maakt. Zoals het laden van HTML en executables in IE. Ook bij Adobe Reader houdt men zich niet strikt aan die regels, waardoor bepaalde zaken toch door het programma gelezen worden.
Marktleider
Vanwege alle problemen met beveiliging en malware, zou men verwachten dat er een levendige communicatie tussen Adobe en bijvoorbeeld anti-virusbedrijven is, maar dat blijkt niet het geval. "Tot nu toe is het een erg lastig communicatieproces met Adobe", zo verzucht Schouwenberg. Vanwege het aantal zero-day lekken en dat Adobe bijvoorbeeld in het begin van dit jaar een lek in de doofpot probeerde te verstoppen, doen bedrijven en gebruikers er volgens hem verstandig aan om een alternatief te zoeken.
De virusanalist merkt op dat ook alternatieven zoals Foxit Reader, uiteindelijk het doelwit van virusschrijvers kunnen worden als ze voldoende marktaandeel weten te veroveren. "Idealiter gebruikt iedereen dus wat anders." Dat het ook anders kan laat Microsoft zien. "IE8 lijkt nu redelijk veilig als je kijkt naar lekken die IE7 raken, maar niet IE8. Maar met PDF's als het op de marktleider aankomt, dan is het wel duidelijk dat je daar beter bij weg kunt blijven."
Deze posting is gelocked. Reageren is niet meer mogelijk.