image

Adobe: Wij zijn veiliger dan concurrentie

vrijdag 11 juni 2010, 11:46 door Redactie, 7 reacties

Als het om beveiliging gaat doet Adobe het beter dan de concurrentie, zo laat het in een interview met Security.nl weten. Volgens beveiligingstopman Brad Arkin is de PDF-lezer van Apple kwetsbaarder voor aanvallen en zal ook HTML5 het internet niet veiliger maken. "Software security is een uitdaging voor de gehele industrie. Dat andere software niet wordt aangevallen wil niet zeggen dat die robuuster is."

Als voorbeeld geeft Arkin Apple Preview, waar beveiligingsonderzoeker Charlie Miller 20 ernstige lekken in vond. De Adobe en Microsoft producten crashten veel minder. Ook al wordt een Apple Preview vanwege het kleine marktaandeel minder aangevallen, het is ook minder robuust en in staat om met kwaadaardige input om te gaan, zo merkt Arkin.

"We weten dat geen enkele software 100% perfect zal zijn, daarom is het ontwikkelingsproces zo belangrijk, maar ook de mogelijkheid van een organisatie om op incidenten en dreigingen te reageren, is net zo belangrijk als het maken van veilige software in de eerste plaats."

Concurrentie
Adobe wordt vaak verweten dat het geen concurrentie heeft, maar daar is Arkin het niet mee eens. "Er is Silverlight, HTML5 en andere manieren om content te consumeren die alternatieven voor Flash Player zijn." De beveiligingstopman erkent dat Silverlight en HTML5 nog nauwelijks een bedreiging zijn. "En we doen ons best dat zo te houden."

Wat betreft de veiligheid ten opzichte van de concurrentie doet Adobe het in veel gevallen zelfs beter merkt Arkin op. Het gaat dan om zaken als de robuustheid van de code. "Onze focus ligt op de behoeftes van onze klanten." Die zouden steeds vaker aangeven dat het dreigingslandschap is veranderd. Adobe bracht daarom een update-tool uit en een vaste patchcyclus. "Het heeft een hoge prioriteit binnen het bedrijf." Volgens Arkin is de Adobe updater erg belangrijk voor Reader en Acrobat, aangezien de meeste aanvallen op gebruikers via lekke applicaties plaatsvinden. "Gebruikers weten niet dat er een update is of willen hem niet installeren omdat ze bezig zijn." Aan de hand van die feedback is er nu een 'stil update' mechanisme gekomen.

HTML5
De komst van de HTML5 standaard kan voor gebruikers een reden zijn om Flash Player te laten vallen, aangezien het dan mogelijk wordt om zonder extra plugins online media te bekijken. "Flash werkt samen met HTML4 en er is geen reden dat HTML5 anders zal zijn", aldus Arkin.

Wat betreft de beveiliging van HTML5 gaat het volgens hem om een zeer complexe specificatie. "Ik heb delen gezien die behoorlijk onduidelijk zijn. En als je onduidelijke specificaties hebt, heb je beveiligingsproblemen of mogelijkheid tot misbruik." HTML5 zal dan ook de veiligheid van webbrowser niet verbeteren en door de complexiteit zelfs een grotere uitdaging maken.

Zie het gehele interview met Brad Arkin hier beneden. Een deel van de vragen zijn van Tom Sanders, hoofdredacteur van Webwereld.nl.

Reacties (7)
11-06-2010, 11:57 door Preddie
De titel krijgt een nominatie voor de moppentrommel ....
11-06-2010, 12:55 door Bitwiper
Uit http://www.adobe.com/support/security/bulletins/apsb10-14.html, gesorteerd op CVE:
01 CVE-2008-4546 a denial of service issue, kennelijk gevonden door Adobe zelf en "nu" al gefixed!!!
02 CVE-2009-3793 Ralph Loader of Innaworks Development Limited
03 CVE-2010-1297 Will Dormann of CERT, Lockheed Martin CIRT, Members of the Defense Security Information Exchange (DSIE)
04 CVE-2010-2160 An Anonymous Researcher and Dionysus Blazakis through TippingPoint's Zero Day Initiative
05 CVE-2010-2161 An Anonymous Researcher reported through iDefense's Vulnerability Contributor Program
06 CVE-2010-2162 Damian Put through TippingPoint's Zero Day Initiative
07 CVE-2010-2163 Will Dormann of CERT, Bing Liu of Fortinet's FortiGuard Labs, Tavis Ormandy of the Google Security Team
08 CVE-2010-2164 An Anonymous Researcher reported through iDefense's Vulnerability Contributor Program
09 CVE-2010-2165 Megumi Yanagishita of Palo Alto Networks Inc.
10 CVE-2010-2166 Bing Liu of Fortinet's FortiGuard Labs
11 CVE-2010-2167 Nicolas Joly of VUPEN Vulnerability Research Team
12 CVE-2010-2169 Manuel Caballero and Microsoft Vulnerability Research (MSVR)
13 CVE-2010-2170 Tielei Wang from ICST-ERCIS (Engineering Research Center of Info Security, Institute of Computer Science & Technology, Peking University / China)
14 CVE-2010-2171 An Anonymous Researcher and Tielei Wang, from ICST-ERCIS, Peking University, through TippingPoint's Zero Day Initiative
15 CVE-2010-2172 Report submitted by Red Hat Security Response Team
16 CVE-2010-2173 Nicolas Joly of VUPEN Vulnerability Research Team
17 CVE-2010-2174 Nicolas Joly of VUPEN Vulnerability Research Team
18 CVE-2010-2175 Bo Qu of Palo Alto Networks
19 CVE-2010-2176 Bo Qu of Palo Alto Networks
20 CVE-2010-2177 Bo Qu of Palo Alto Networks
21 CVE-2010-2178 Bo Qu of Palo Alto Networks
22 CVE-2010-2179 Ezio Anselmo Mazarim Fernandes
23 CVE-2010-2180 Tavis Ormandy of the Google Security Team
24 CVE-2010-2181 Tavis Ormandy of the Google Security Team
25 CVE-2010-2182 Tavis Ormandy of the Google Security Team
26 CVE-2010-2183 Tavis Ormandy of the Google Security Team
27 CVE-2010-2184 Tavis Ormandy of the Google Security Team
28 CVE-2010-2185 Tavis Ormandy of the Google Security Team
29 CVE-2010-2186 Tavis Ormandy of the Google Security Team
30 CVE-2010-2187 Tavis Ormandy of the Google Security Team
31 CVE-2010-2188 Damian Put through TippingPoint's Zero Day Initiative
32 CVE-2010-2189 Haifei Li of Fortinet's FortiGuard Labs

M.a.w. 31 van de 32 gefixte lekken zijn door derden gevonden. Merk op dat 29 daarvan op of na 2010-06-07 zijn geregistreerd bij CERT (zie http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2160) terwijl het gebruikelijk is dat, zodra een vulnerability bekend is, de softwarefabrikant meteen een CVE entry aanmaakt. Ik vermoed echter dat het in al die 29 gevallen om recentelijk (enkele maanden) gevonden bugs gaat. Ga er maar vanuit dat deze trend zich gewoon doorzet.

Wat Adobe verder totaal verkeerd doet is Flash by default enablen in Acrobat Reader zonder dat je dit eenvoudig uit kunt zetten. DENKEN ZE DAAR UBERHAUPT WEL EENS NA? WHAT ARE THEY SMOKING?!?! Voor zover ik weet is er nog geen patch voor Adobe Reader, en gedetailleerde info over vulnerabilities begint nu te verschijnen (zie bijv. http://lists.grok.org.uk/pipermail/full-disclosure/2010-June/date.html#end).

Wat Adobe "beter" doet dan de rest is hufterig arrogant zijn. Brad Arkin had, zich schamend in een hoekje, "Sorry, we fucked up, we shall review our internal procedures" moeten schrijven. Het bestaansrecht van Adobe kan hiermee wat mij betreft de prullenbak in. Jammer dat er klanten zijn die de beschikbaarheid van Adobe producten blijven vereisen en ik ze niet op andere gedachten kan brengen.
11-06-2010, 14:41 door Anoniem
@Bitwiper: Het aantal vulnerabilities in Adobe produkten is duidelijk. Toch is het wel zo dat de exposure veel groter is dan bij concurrenten. Indien we massaal een concurrerend produkt gaan gebruiken, dan zal je zien dat de focus van hackers ook verschuift, en dat het aantal gevonden vulnerabilities in / aanvallen op deze produkten ook zal toenemen.
12-06-2010, 03:19 door Bitwiper
Door Anoniem: @Bitwiper: Het aantal vulnerabilities in Adobe produkten is duidelijk. Toch is het wel zo dat de exposure veel groter is dan bij concurrenten. Indien we massaal een concurrerend produkt gaan gebruiken, dan zal je zien dat de focus van hackers ook verschuift, en dat het aantal gevonden vulnerabilities in / aanvallen op deze produkten ook zal toenemen.
De bulk van door derden gevonden kwetsbaarheden had Adobe ook zelf kunnen vinden, maar daar bestaat duidelijk geen prioriteit voor bij deze softwaremaker, waarmee ze -gemeten naar de huidige maatstaven- slechte producten maken. Alles beter dan Adobe.

Wel ben ik het met je eens dat het massaal overstappen naar 1 concurrerend product geen goed idee is. Ik heb echter nergens beweerd dat ik tegen diversiteit zou zijn of zo (integendeel, daar ben ik voor). En aanvallers kunnen alleen gaten uitbuiten die werkelijk bestaan; bij Adobe struikel je erover. Elke andere softwaremaker die net zo slecht presteert als Adobe zou hetzelfde lot beschoren moeten zijn.

Hoe denk je anders dit soort problemen op te lossen? Schietgebedje voordat je een PDF bestand opent of een website bezoekt?
12-06-2010, 10:30 door Anoniem
Die lekken zijn nog niet eens het enige probleem, als je Flash wil updaten moet je eerst de oude versie verwijderen.
Opnieuw opstarten en dan de nieuwe versie installeren :D

Adobe Reader is één en al bloatware, Flash, JavaScript, embeded exe? WTF!

Photoshop CS3, op een QuadCore 2 3,0Ghz met 2GB geheugen draait voor geen meter!
Ik spreek uit ervaring, ik heb een systeem waar je trots op mag zijn. Maar als ik meer dan alleen Photoshop opent loopt de hele zooi vast. Het liefst zou hij al het beschikbare geheugen opeisen.

Je betaald verdomme bijna 1000 euro aan software/bloadware en support kan je wel vergeten.
12-06-2010, 14:12 door [Account Verwijderd]
[Verwijderd]
13-06-2010, 09:19 door Dev_Null
Adobe: Wij zijn veiliger dan concurrentie
Laat deze conclusie maar over aan onafhankelijke derde partijen :-P
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.