Ранее в одной из своих статей я уподобил последнюю волну проблем безопасности, обрушившуюся на операционную систему Android, ситуации с Adobe. Всякому, кто проработал в сфере ИТ на протяжении последних 10 лет, известно, что продукты Adobe (Acrobat Reader, Flash и другие) имеют весьма сомнительную репутацию в отношении безопасности. Слова «надежная защита» и «Adobe» никогда не стоят рядом в одном предложении — если, конечно, это не шутка.
Об Android я тогда написал, что это новый вариант Adobe, но после обмена электронными сообщениями с одним из топ-менеджеров Adobe, мне, возможно, придется внести в эту позицию некоторые коррективы. Не потому, что меня об этом попросили, а потому, что мне стало известно о существенных изменениях в практике Adobe, имевших место в связи с проблемами безопасности и отношением к ним потребителей.
До сих пор принято считать, что слабая защищенность характерна для продуктов Adobe, что называется, по умолчанию. Но если судить по материалам, с которыми мне было предложено ознакомиться, компания приняла определенные меры не только для усовершенствования процесса разработки продуктов, но и для более внимательного изучения предложений сообщества пользователей, которые заинтересованы в более защищенных приложениях.
Я очень благодарен представителям Adobe за то, что они нашли время познакомить меня с новыми подходами в области обеспечения безопасности производимых компанией продуктов. Более того, я уверен, что и читателям это будет интересно, поскольку большая часть предпринятых производителем шагов в этой сфере пока не обнародована. Мы сошлись на том, что важно проинформировать всех потенциальных потребителей относительно мер, осуществленных внутри компании Adobe с целью изменить сложившиеся представления, и вернуться к критике подлинных нарушителей принципов безопасности, таких, как операционная система Android.
Ниже я подробно расскажу о мерах, принятых руководством Adobe в целях ужесточения стандартов безопасности и обеспечения более эффективной и удобной работы пользователей. Детали изложены в том виде, в каком они были описаны в предоставленных мне материалах.
Группы безопасности в составе Adobe
В штате компании Adobe имеется группа специалистов Adobe Secure Software Engineering Team ASSET (ASSET), задача которой состоит в том, чтобы обеспечить разработку, проектирование и оценку продуктов с использованием лучших практических решений. Внутри ASSET существует группа Product Security Incident Response Team (PSIRT). Ее задача состоит в разработке решений в связи с проблемами в сфере безопасности и распространении информации об этих проблемах. ASSET и PSIRT (в том виде, в каком они существуют сегодня) были сформированы в конце 2005 года в ходе интеграции компаний Macromedia и Adobe. Формирование этих подразделений осуществлялось посредством объединения соответствующих групп безопасности двух компаний, и эти подразделения продолжают эволюционировать в процессе поиска лучших путей нейтрализации всего спектра угроз, возникающих в связи с эксплуатацией продуктов Adobe.
Все штатные команды разработчиков Adobe тесно взаимодействуют с группой Adobe Secure Software Engineering Team на протяжении всех фаз жизненных циклов средств обеспечения безопасности Adobe Secure Product Lifecycle (SPLC). Кроме того, в состав подразделений, ответственных за конкретные продукты, входят специализированные группы разработки и тестирования средств безопасности. В связи с изменениями в общей картине угроз число инженеров, занятых сегодня в компании решением проблем защиты данных, в семь раз превосходит соответствующий показатель за 2009 год.
Жизненный цикл средств обеспечения безопасности Adobe (SPLC)
Группа ASSET берет на себя решение вопросов, связанных с жизненным циклом SPLC, который является эквивалентом принятого в Microsoft жизненного цикла Security Development Lifecycle (SDL). Все коды и функции продуктов Adobe должны соответствовать положениям SPLC. SPLC сочетает в себе стандартные действия по обеспечению безопасности программных продуктов, такие, как моделирование угроз, проверка кодов в автоматическом и ручном режимах, а также тестирование стандартного цикла Adobe Product Lifecycle, которое осуществляется в ходе реализации всех проектов. На приведенном рисунке показаны различные фазы SPLC.
Программа сертификации ASSET
Такое название, ASSET Certification Program, получила программа, разработанная сотрудниками ASSET в феврале 2009 года и ставшая важнейшей частью SPLC. Это внутренняя программа групп проектирования и разработки продуктов. Ее назначение — сосредоточить внимание сотрудников на проблемах безопасности и реализовать лучшие решения еще до начала фаз планирования и разработки продукта или в ходе этих фаз, чтобы потенциальные угрозы выявлялись и меры по их устранению принимались на ранних этапах работы. Через эту программу прошло большинство членов групп продуктов/проектирования.
Наряду с этим Adobe сделала существенные инвестиции в развитие средств реагирования на инциденты, связанные с проблемами безопасности. Группа Product Security Incident Response Team координирует свои усилия с сообществом экспертов, заинтересованных в повышении уровня безопасности (включая поставщиков и исследователей), а также с внутренними группами проектировщиков и группами коммуникаций, чтобы своевременно доносить до пользователей соответствующую информацию, скажем, о способах смягчения отрицательных последствий при возникновении угроз.
Методы повышения уровня защищенности продуктов
В течение последних трех лет разработчики приложили особые усилия в области обеспечения безопасности, причем упор был сделан на конкретные инициативы, сокращение времени реагирования и совершенствование каналов связи с клиентами и заинтересованными сторонами. К упомянутым инициативам относятся повышение уровня защиты унаследованных разделов базы кода путем определения связанных с высоким уровнем риска областей приложений с целью проведения в них выборочного анализа, статического анализа кода, ручной проверки кода, моделирования угроз и совершенствования процедур проверки вводимых данных. Разработчики заметно улучшили процессы реакции на инциденты для планируемых обновлений, а также для требующих немедленного вмешательства ситуаций, таких, как нулевой день.
Кроме того, был внесен ряд важных усовершенствований в средства, обеспечивающие защиту данных в таких продуктах, как Adobe Reader и Acrobat.
В обновление для Adobe Reader/Acrobat, выпущенное в октябре 2009 года, включены современные средства защиты, обеспечивающие обработку продуктами Adobe Reader и Acrobat сценариев JavaScript (в то время сценарии являлись одним из главных векторов атак на PDF/Adobe Reader). К упомянутым средствам относятся функция отключения JavaScript с помощью усовершенствованного пользовательского интерфейса gold bar. Этот интерфейс представляет собой усовершенствованный вариант интерфейса, реализованного в предыдущей версии в виде всплывающего окна.
В обновлении для Adobe Reader/Acrobat, выпущенном 13 апреля 2010 года, разработчики Adobe активировали новое средство Adobe Reader Updater/Adobe Acrobat Updater. Назначение нового средства обновления в том, чтобы помочь конечным пользователям получать новейшие обновления максимально простым способом с помощью механизмов автоматизации. Оно было выпущено потому, что мишенью хакерских атак чаще всего становятся компьютерные программы, не защищенные последними модулями коррекции системы безопасности. После активации нового средства обновления пользователи Windows получат возможность загрузки и установки обновлений для Adobe Reader и Acrobat в автоматическом режиме.
В распоряжении пользователей имеются три режима обновления.
- Автоматический режим. Обновления загружаются и устанавливаются автоматически. Этот режим Adobe рекомендует для большинства конечных пользователей. Такую возможность имеют только пользователи Windows.
- Полуавтоматический режим. Обновления загружаются автоматически, но решение о том, следует ли устанавливать то или иное обновление, принимается пользователем.
- Ручной режим. Пользователю приходится вручную выявлять имеющиеся обновления и начинать установку. Этот вариант может устроить в первую очередь администраторов предприятий, где обновления устанавливаются в соответствии с циклами, специфичными для данной организации.
В ходе первой фазы развертывания нового средства обновления Adobe ориентировала пользователей на применение в процессе обновления существующих настроек, которые хранятся в разделе Preferences. Дело в том, что вариант, предусматривающий автоматическое обновление, заметно отличался от варианта, традиционно применявшегося большинством пользователей Windows в процессе обновления продуктов. С выходом квартального обновления, датированного 14 июня 2011 года, компания вступила в новую стадию процесса развертывания: теперь у всех пользователей Adobe Reader, чьи системы функционируют под управлением Windows, по умолчанию выбирается вариант автоматического обновления. Adobe уважает право пользователя на выбор, и потому, когда программа Adobe Reader Updater впервые обнаруживала наличие обновления от 13 сентября 2011 года, перед пользователем появлялся специальный экран с предложением выбрать вариант обновления в автоматическом режиме.
18 ноября 2010 года Adobe объявила о выпуске продукта Adobe Reader X с защищенным режимом («песочница») для систем под управлением Windows. Продукт Adobe Reader Protected Mode стал важной вехой в разработке средств смягчения последствий попыток взлома. Даже если злоумышленнику удается отыскать в системе безопасности слабое звено, которое может стать объектом атаки, Adobe Reader Protected Mode заблокирует попытки записать файлы или установить вредоносное программное обеспечение на компьютерах потенциальных жертв.
Отметим, что с тех пор, как разработчики оснастили Adobe Reader средством защиты типа «песочница» в ноябре 2010 года, программа использования уязвимостей, описанная в рекомендациях по обеспечению безопасности от 13 февраля 2013 года, стала первой вырвавшейся «на волю» из песочницы Adobe Reader Protected Mode.
В ряд обновлений для продуктов Adobe Reader/Acrobat от 14 июня 2011 года Adobe включила средство Adobe Acrobat X (10.1) Protected View. В этом средстве защиты специалисты Adobe распространяют концепцию Adobe Reader Protected на подключаемый модель браузера Acrobat; кроме того, обновление предусматривает возможность безопасного просмотра документов Adobe Acrobat Protect View с помощью Acrobat в автономном режиме. Adobe Acrobat Protected View обеспечивает такое же смягчение негативных последствий и такие же рабочие процессы пользователя, что и представление Microsoft Office 2010 Protected View. В представлении Acrobat Protected View реализован дополнительный уровень защиты для пользователей Acrobat X; это представление в конечном счете сокращает число угроз, позволяет реже устанавливать модули оперативной коррекции и снижает общую стоимость владения в корпоративных сетях.
10 января 2012 года Adobe реализовала в продуктах Adobe Reader и Acrobat X (10.1.2) и 9.5 новую функцию составления списков доверенного программного обеспечения средствами языка JavaScript, которая обеспечивает возможность выполнения сценариев JavaScript в файлах PDF на основе доверия к документу. Если документ поступил из доверенного источника, выполнение сценария JavaScript разрешается, в противном случае Adobe Reader и Acrobat блокируют выполнение всех команд JavaScript.
В обновлении для изделий Adobe Reader / Acrobat, выпущенном 10 апреля 2012 года, Adobe известила клиентов о следующих изменениях.
- Визуализация содержимого Flash (SWF) в Adobe Reader и Acrobat 9.5.1. Разработчики оснастили интерфейсами прикладного программирования (Application Programming Interface, API) как Adobe Reader/Acrobat 9.5.1, так и проигрыватель Flash Player, чтобы изделия Adobe Reader/Acrobat имели возможность напрямую взаимодействовать с установленной на системе пользователя версией Flash Player, оснащенной интерфейсом Netscape Plugin Application Programming Interface (NPAPI). Начиная с версий Adobe Reader 9.5.1 и Acrobat 9.5.1, продукты Adobe Reader и Acrobat 9.x, функционирующие на системах как Windows, так и Macintosh, будут в процессе визуализации Flash (SWF) контента, который содержится в файлах PDF, взаимодействовать с подключаемой версией Adobe Flash Player, установленной на системе пользователя, а не с компонентом Authplay, поставляемым с программами Adobe Reader и Acrobat). В отношении обеспечения безопасности это означает, что пользователям Adobe Reader/Acrobat 9.x теперь уже не придется обновлять Adobe Reader/Acrobat всякий раз, когда мы выпускаем обновление для проигрывателя Flash Player. Это особенно важно для клиентов, работающих в управляемых средах, так как сокращение числа обновлений означает снижение нагрузки на сотрудников ИТ-подразделений.
- Визуализация 3D-контента в файлах PDF. После установки обновлений в Adobe Reader и Acrobat 9.5.1 функция воспроизведения 3D-контента отключается по умолчанию, поскольку большинство потребителей обычно не открывают файлы PDF, содержащие 3D-контент. Такой контент не заслуживающих доверия документов может представлять угрозу с точки зрения безопасности, поэтому данную функцию по умолчанию отключают, чтобы снизить потенциальные риски для пользователей Adobe Reader и Acrobat 9.x.
- Дальнейшее выравнивание цикла обновлений Adobe Reader/Acrobat с моделью Microsoft. Три года модули безопасности обновлялись ежеквартально, и дата будущего обновления объявлялась в тот же день, когда выпускалось текущее обновление. И вот теперь в этот порядок вносятся изменения. Компания Adobe переходит к модели, которая более четко ориентируется на расписание Microsoft Patch Tuesday. С тех пор, как компания перешла на ежеквартальный график обновлений в 2009 году, Adobe реализовала множество решений, которые превращают программы Adobe Reader и Acrobat в менее привлекательные мишени для хакеров. В частности, реализация режима «песочницы» в Adobe Reader и Acrobat X дала более весомые результаты, чем ожидалось. Переходя на другие цели, злоумышленники дают понять, что для атаки версии X требуются слишком большие усилия, и что игра не стоит свеч. Кроме того, в Adobe отмечают снижение количества сообщений об уязвимых местах в Adobe Reader и Adobe Acrobat. Учитывая изменения в характере объектов угроз и сокращение числа сообщений об уязвимостях, разработчики Adobe пришли к выводу, что необходимость в строгом соблюдении квартального цикла выпуска обновлений отпала.
В октябре 2012 года Adobe реализовала в продуктах Adobe Reader и Acrobat XI ряд новых и усовершенствованных средств безопасности.
-Защищенный режим Adobe Reader XI (расширенный).
При реализации «песочницы» для версии Adobe Reader X основной упор в процессе формирования ее архитектуры делался на «защиту от записи» с тем, чтобы блокировать попытки злоумышленников установить вредоносное программное обеспечение на системе пользователя и отслеживать нажатия пользователя на клавиши, когда он взаимодействует с другой программой. Работая над версией Adobe Reader XI, разработчики добавили функцию предотвращения краж данных. Для этой цели зона действия «песочницы» была расширена, и теперь ее ограничения накладываются на операции «только чтение». Тем самым обеспечивается защита от попыток злоумышленников считывать конфиденциальную информацию с компьютера пользователя.
- Представления Adobe Reader Protected View (новое) и Adobe Acrobat Protected View (расширенное). Для обеспечения дополнительной линии обороны и усиления защиты Adobe Reader, а также Acrobat, средствами «песочницы» в Adobe Reader и Acrobat XI реализован отдельный рабочий стол и WinStation. Эти средства позволяют, к примеру, блокировать атаки типа screen scraping. В данном режиме фактически вводится защищенное представление Protected View в Adobe Reader и получает дальнейшее развитие защищенное представление, реализованное в Adobe Acrobat. Защищенное представление функционирует одинаково как в Adobe Reader, так и в Acrobat; это касается просмотра PDF-файлов и в автономном продукте, и в браузере.
- Поддержка компонента Force ASLR в Adobe Reader/Acrobat XI. В продуктах Adobe Reader и Acrobat реализованы такие платформенные механизмы защиты, как Data Execution Prevention (DEP), Address Space Layout Randomization (ASLR) и т.д. В Adobe Reader и Acrobat XI специалисты компании задействовали механизм Force ASLR для работы под управлением Windows 7 и Windows 8. Данный механизм повышает эффективность существующих реализаций ASLR; это достигается за счет того, что все загружаемые с помощью Adobe Reader или Acrobat XI файлы DLL, включая устаревшие библиотеки DLL, не защищенные средствами ASLR, подвергаются рандомизации. Задействовав механизм Force ASLR в Adobe Reader и Acrobat XI, разработчики еще более затрудняют задачу хакеров, которые пытаются использовать уязвимые места этих продуктов.
- PDF Whitelisting Framework. Для управляемых корпоративных сред с высокими требованиями к надежности разработчики добавили инфраструктуру Adobe PDF Whitelisting Framework, которая позволяет администраторам избирательно активировать усовершенствованные функции, такие, как язык сценариев JavaScript, при работе с отдельными файлами PDF, сайтами или компьютерами под управлением как Windows, так и Mac OS.
Что касается проигрывателя Flash Player, то можно отметить ряд усовершенствований в области безопасности (а также конфиденциальности), которые были сделаны на протяжении последних двух лет.
1 декабря 2010 года Adobe и Google объявили о разработке «песочницы» для Flash Player внутри браузера Google Chrome. В этой первой версии «песочницы» Flash Player браузера Chrome для всех платформ Windows была реализована модифицированная версия существующей «песочной» технологии Chrome, которая защищает определенные конфиденциальные ресурсы от посягательств со стороны вредоносного кода, не блокируя в то же время обращения приложений к менее чувствительным ресурсам. Эта реализация стала важным шагом на пути дальнейшего сокращения потенциальной площади атаки браузера и защиты пользователей от вредоносного программного обеспечения.
В версии Flash Player 10.3, выпущенной 12 мая 2011 года, Adobe реализовала ряд важных средств обеспечения безопасности и конфиденциальности: в продукт был встроен новый механизм оповещения об автоматических обновлениях для платформы Macintosh, в результате чего пользователи Macintosh стали получать оповещения о новых обновлениях Flash Player. Отметим, что к тому времени данная функция уже была реализована для пользователей Windows. Что же касается средств обеспечения конфиденциальности, то стоит напомнить, что специалисты Adobe тесно сотрудничали с представителями ряда ведущих компаний и разработчиков браузеров с открытым исходным кодом — включая Google и Mozilla — в деле разработки нового API для браузеров (NPAPI ClearSiteData), предназначенного для очистки локальных данных. Любой браузер, совместимый с новым интерфейсом прикладного программирования, способен очистить локальное хранилище для размещения любого подключаемого модуля, реализующего данный API. Flash Player стал первым подключаемым модулем, совместимым с новым API и потому способным предложить пользователям более простой способ очистки локального хранилища от интерфейса настройки браузера — подобно тому, как выполняется очистка браузера от cookie-файлов. Специалисты Adobe координировали свои усилия не только с разработчиками браузеров с открытым исходным кодом, но и с инженерами Microsoft с целью оснастить аналогичными функциями браузер Internet Explorer. После выпуска Flash Player 10.3 пользователи получили в свое распоряжение наделенные этими функциями версии Internet Explorer 8 и 9. И последнее по порядку, но не по значимости: в версии Flash Player 10.3 был реализован переработанный диспетчер Flash Player Settings Manager, облегчающий для пользователей управление настройками Flash Player; в результате пользователи систем Windows, Mac и Linux получили возможность обращаться к Flash Player Settings Manager непосредственно из экранов Control Panel или System Preferences на своих компьютерах.
21 сентября 2011 года Adobe реализовала в проигрывателе Flash Player несколько усовершенствованных функций безопасности, включая средства поддержки подключений через сокет по протоколу SSL, что упрощает для разработчиков задачу защиты данных, направляемых в проигрыватель Flash Player в потоковом режиме через подключение к сокету, а также защищенный генератор случайных чисел.
6 февраля 2012 года Adobe выпустила открытую бета-версию Flash Player с «песочницей» (иначе именуемой «Защищенный режим») для браузера FireFox. Функция Flash Player Protected Mode для FireFox 4.0 и более новых версий была реализована в продукте Flash Player 11.3 8 июня 2012 года. Она доступна для пользователей как Windows Vista, так и Windows 7.
В версии Flash Player 11.2, выпущенной 28 марта 2012 года, Adobe реализовала для пользователей Windows новый механизм обновления в фоновом режиме, назначение которого состояло в том, чтобы пользователи получали самые последние модули коррекции в ходе упрощенной процедуры, выполняемой в автоматическом режиме. Пользователи Windows имеют возможность загружать и устанавливать обновления для Adobe Flash Player автоматически, без каких-либо действий со стороны пользователя. После успешной установки продукта Adobe Flash Player 11.2 пользователю предъявляется диалоговое окно, где он может выбрать метод обновления. Пользователям предлагается три варианта:
- позволить Adobe устанавливать обновления (рекомендуется);
- извещать об обновлениях, доступных для установки;
- никогда не проверять, появились ли новые обновления (не рекомендуется).
Кроме того, пользователь в любое время может изменить настройки обновления с помощью диспетчера Flash Player Settings Manager; обращаться к диспетчеру пользователи Windows могут через панель управления. Функционирующая в фоновом режиме новая программа обновления проигрывателя Adobe Flash Player обновляет все экземпляры версии Adobe Flash Player для всех веб-браузеров, установленных на компьютере. Ранее пользователям приходилось по отдельности обновлять каждый веб-браузер, установленный на системе.
Mac-версия фоновой утилиты обновления для Flash Player появилась в версии Flash Player 11.3, выпущенной 8 июня 2012 года.
Сотрудничество с сообществом специалистов
Группы ASSET/PSIRT не только тесно сотрудничают с сообществом исследователей, занятых в сфере безопасности. У специалистов Adobe установились рабочие отношения с коллегами из других компаний — таких, как Microsoft, Symantec и McAfee — которые обеспечивают обмен технической и технологической информацией, а также телеметрическими данными, касающимися параметров атак и методов злоумышленников.
28 июля 2010 года в рамках сотрудничества с Microsoft представители Adobe объявили, что Microsoft расширит свою программу MAPP (Microsoft Active Protections Program), которая будет включать совместное использование информации об уязвимостях, поступающей от Adobe. Дополнительные данные по этому объявлению вы найдете на странице http://blogs.adobe.com/asset/2010/07/working-together.html.
Еще один пример: компания Adobe тесно сотрудничает с Microsoft с целью усовершенствования механизма обновления программных продуктов для общих клиентов. В 2011 году продукты Adobe Reader X и Adobe Flash Player были оснащены средствами взаимодействия с Microsoft System Center Updates Publisher (SCUP). Это дало возможность облегчить выполнение пользователями Microsoft System Center Configuration Manager (SCCM) и Microsoft System Center Essentials (SCE) операций по импорту обновлений Adobe с помощью издателя Microsoft System Center Updates Publisher (SCUP) и по управлению их развертыванием на клиентских компьютерах. В октябре 2012 года начались поставки Flash Player в составе пакета Internet Explorer 10 операционной системы Windows 8. Ныне Flash Player, установленный вместе с браузером Internet Explorer 10 под управлением Windows 8, обновляется с помощью механизма Microsoft Windows Update, с которым уже знакомы потребители.
В сентябре 2009 года Adobe присоединилась к форуму SAFECode (Software Assurance Forum for Excellence in Code), некоммерческой организации, цель которой состоит в продвижении эффективных методов защиты программного обеспечения. Будучи членом форума SAFECode, компания Adobe активно взаимодействует с другими членами SAFECode, делясь уроками, которые она извлекла, с другими представителями отрасли. Брэд Аркин, старший директор, курирующий вопросы безопасности, продукты и службы Adobe, входит и в состав совета директоров SAFECode.
Кроме того, Adobe является одним из участников-основателей исследования Building Security In Maturity Model (BSIMM) и членом Совета консультантов BSIMM. BSIMM, начавший свою работу в марте 2009 года, содержит первый и единственный в отрасли структурированный набор рекомендаций по обеспечению безопасности программных продуктов, созданный на основе данных, полученных в реальных условиях эксплуатации. Проект BSIMM осуществляется по инициативе компаний Fortify Software и Cigital. Его цель состоит в том, чтобы помочь поставщикам программных средств проанализировать, насколько успешны их инициативы по обеспечению безопасности программных продуктов и определить направления приложения усилий в дальнейшем. С самого начала в проекте BSIMM участвовали девять компаний: Adobe, The Depository Trust & Clearing Corporation (DTCC), EMC, Google, Microsoft, QUALCOMM, Wells Fargo и две финансовые корпорации.
Кроме того, организованная в рамках Adobe группа Product Security Incident Response Team (PSIRT) входит в состав организации Forum of Incident Response and Security Teams (FIRST). Последняя объединяет широкий спектр групп обеспечения безопасности и реагирования на инциденты, включая группы обеспечения безопасности функционирования продуктов из государственного, коммерческого и академического секторов.
Рисунок. Различные фазы SPLC