Miksi PDF-sovellusten tietoturvalla on merkitystä?

Transkriptio

1 Miksi PDF-sovellusten tietoturvalla on merkitystä? Mitä tulee tietää riskin minimoimiseksi Sisällysluettelo 1: Ohjelmiston kaatumiset luovat mahdollisuuden hyökkäykselle 2: Hae ohjelmistoja, jotka käyttävät täydellisesti käyttöjärjestelmän lievennystoimia riskin pienentämiseksi 3: Kuinka arvioida myyjän lähestymistapaa tietoturvaan 4: Adobe Acrobat X -tuoteperheen tietoturvan ja puolueettoman kolmannen osapuolen testitulokset 5: Yhteenveto Ponemon Instituten vuonna 2010 viidessä Pohjois-Amerikan, Euroopan, Lähi-Idän, Afrikan ja Aasian maassa tekemän tutkimuksen mukaan tietomurtojen keskimääräiset organisaatioille aiheutuneet kustannukset ovat kasvaneet neljään miljoonaan Yhdysvaltain dollariin, mikä tarkoittaa 18 % kasvua edellisestä vuodesta. Toisessa tutkimuksessa tutkittiin 45 Yhdysvalloissa toimivaa yritystä. Sen mukaan tietoverkkorikokset johtivat joka viikko keskimäärin yhteen onnistuneeseen hyökkäykseen, jonka vuosikustannuksen mediaani oli 3,8 miljoonaa dollaria yritystä kohden. Kalleimmassa tapauksessa vuosikustannus oli 52 miljoonaa dollaria. Tietoverkkorikollisten yrityksiin kohdistuva toiminta on helpottunut, mutta heidän kiinnisaamisensa tai syytteeseen asettamisensa on monimutkaistunut. Nykyisin yritykset kohtaavat taistelevia tietoverkkorikollisia, joiden tarkoituksena on varastaa tietoja, kaataa tietojärjestelmiä, vahingoittaa yrityksen mainetta tai yksinkertaisesti vain esittää hakkerointitaitoja. Yksi hakkereiden suosikkihyökkäysvälineistä sattuu olemaan yritysten suosikkityöväline tietojen, dokumenttien ja aineettoman omaisuuden hallintaan: yleisesti käytössä olevat tiedostotyypit. Hakkereiden tarkoituksena on päästä järjestelmiin upottamalla tiedostoihin haitallista koodia. PDF-muodosta on tullut yksi näistä yleisesti omaksutuista tiedostotyypeistä, koska se on vapaasti saatavana oleva julkaisustandardi. Monet kehittäjät ovat käyttäneet standardia omien PDF-työkalujensa luontiin, mikä on tarjonnut tietoverkkorikollisille lisää mahdollisuuksia. Koska hakkerit yrittävät hyödyntää PDF-tiedostojen luontiin ja tarkasteluun käytettyjen ohjelmien heikkouksia, yritysten on oltava valppaita päättäessään, mitä ohjelmistoja sallitaan sen tietoverkkoympäristöön. Tässä White paper -julkaisussa käsitellään tietomurron seurauksia, sovellustietoturvan toimenpiteitä, joita käyttäjä voi tehdä hyökkäysten torjumiseksi, ja ohjelmiston myyjäyritysten ominaisuuksia, joiden avulla saavutetaan suojattu ohjelmisto. Siinä kerrotaan myös kolmannen osapuolen tietoturvatestauksen tuloksista. Niiden mukaan Adobe Acrobat X- ja Adobe Reader X -ohjelmisto ovat muita markkinoilla olevia PDFratkaisuja tehokkaampia organisaatioiden suojauksessa hyökkäyksiltä, jotka voisivat johtaa katastrofaalisiin seurauksiin. Siinä selvitetään, miksi yritysten on arvioitava PDF-tiedostojen tarkasteluun ja luontiin käytettyjen sovellusten tietoturvaa samalla tavalla kuin ne arvioivat liiketoiminnan kannalta kaikkein kriittisimpiä sovelluksia kysymällä muun muassa seuraavaa: Mitä käyttöjärjestelmän (OS) riskien lievennystoimia ohjelmistoon on sisällytetty? Onko ohjelmistossa menetelmiä, joiden avulla voidaan estää järjestelmän kaatumisen hyödyntäminen? Minkälaisia prosesseja on kehitetty tuotekehityksestä laadunvarmistukseen kehittyviin tietoturvauhkiin vastaamiseen? Toimittaako myyjä tietoturvaa uhraamatta toiminnallisuutta? Mitä tapahtuu julkistuksen jälkeen? Jatkaako ohjelmiston myyjä aktiivista tuotteen tietoturvan kehitystä? Missä määrin ohjelmiston myyjä osallistuu laajempaan tietoturvayhteisöön? Ilman tämäntasoista tarkastelua organisaatiot altistavat itsensä uskomattomille riskeille. Ohjelmiston kaatumiset luovat mahdollisuuden hyökkäykselle Yksi yleisimmistä hakkereiden käyttämistä lähestymistavoista on syöttää järjestelmään korruptoituneita tiedostoja, jotka aiheuttavat kaatumisen. Yleensä korruptoituneet tiedostot pääsevät järjestelmään, kun dokumentin vastaanottaja huijataan luulemaan vioittunutta tiedostoa aidoksi. Kaatumiset keskeyttävät toimintaa ja häiritsevät tuottavuutta, mutta ne eivät sinällään ole kovin vahingollisia. Suurempi ongelma syntyy, kun hyökkääjät yrittävät hyödyntää muistin vioittumista. Jos kaatuminen tarjoaa aukon, jota

2 hyökkääjät pääsevät hyödyntämään onnistuneesti, he voivat lisätä haitallista koodia järjestelmän käyttämiseksi. Tällä tavalla hyökkääjät voivat varastaa tietoja, kuten luottokorttien numeroita, asentaa haittaohjelmia, tuhota tiedostoja tai muuttaa muita järjestelmätietoja koneessa, jossa ei ole asianmukaisesti kerrostettua suojausta. Tämän tyyppinen hyökkäys ei ole lainkaan ainutlaatuinen PDF-tiedostotyypille; hakkerit ovat käyttäneet sitä jo vuosia web-sovelluksia, käyttöjärjestelmiä ja mitä tahansa tavallista ohjelmisto- tai tiedostotyyppiä vastaan. Hyökkäysyrityksen vaikutus voi olla minimaalinen, jos organisaatioilla on oikea ohjelmisto. Muuten seuraukset voivat olla katastrofaalisia. Maineesi ja brändisi voi kärsiä vahinkoa, jota ei voi korjata. Asiakkaat voivat menettää luottamuksensa ja kääntyä kilpailijoittesi puoleen. Voit olla myös oikeudellisessa vastuussa tietomurroista ja joutua vastaamaan suurista oikeudenkäyntikuluista, rangaistussakoista ja korvauksista. Valitettavasti nämä pahimmat mahdolliset lopputulokset eivät ole harvinaisia. Yksinkertainen uutishaku milloin tahansa tuo esiin useita tarinoita organisaatioista, jotka ovat kärsineet tietomurroista. Voi vaikuttaa siltä, että hyökkääjät kohdistavat toimintansa vain näkyvimpiin yrityksiin, mutta kohteina ovat yhä useammin myös pienemmät yritykset ja julkisen hallinnon organisaatiot. Hakkerit keskittyvät tiettyihin tietotyyppeihin. Hae ohjelmistoja, jotka käyttävät täydellisesti käyttöjärjestelmän lievennystoimia riskin pienentämiseksi Tietoturva-asiantuntijat ovat laajalti yhtä mieltä siitä, että paras puolustus on yksityiskohtainen kerrostettu puolustus, koska se suojaa useilla rintamilla käyttämällä työkaluja, jotka on rakennettu sekä sovellukseen että käyttöjärjestelmään. Kaikkien seuraavien riskien lievennystoimien on oltava olemassa missä tahansa PDF-ratkaisussa, jota arvioit organisaatiollesi. Ratkaisu, jossa on vain joitakin näistä ominaisuuksista, ei tuota sellaista tietoturvatasoa, jonka kaikki nämä ominaisuudet yhdessä tuottavat. Sovellushiekkalaatikko Hiekkalaatikon avulla käyttöjärjestelmä luo toimiville ohjelmille rajoitetun suoritusympäristön vähäisillä oikeuksilla. Hiekkalaatikot suojaavat käyttäjien järjestelmiä, jotta suoritettavaa koodia mahdollisesti sisältävät epäluotettavat dokumentit eivät vahingoita niitä. Tämä pääsyn hallinnan menetelmä toimii määrittämällä eheystasot. Prosessi, joka luodaan alhaisella eheydellä, on hyvin rajoitettu niiden objektien suhteen, joita voi käyttää. Muita mekanismeja, joita käytetään usein sovellushiekkalaatikon luontiin, ovat rajoitetut tunnukset ja työobjektirajoitukset. Tietojen suorituksen esto Tietojen suorituksen esto (Data Execution Prevention, DEP) estää datan tai vaarallisen koodin sijoituksen muistipaikkoihin, jotka on määritetty Windows -käyttöjärjestelmän suojaamiksi. DEP tuottaa laitteiston ja ohjelmiston muistitarkistuksia. Muu kuin suoritettava muisti Laitteisto-DEP synnyttää poikkeuksen, kun koodi suoritetaan muusta kuin suoritettavasta (NX) muistipaikasta. Tuetut keskusyksiköt tekevät tämän ottamalla käyttöön NX-bitin, joka merkitsee tietyt muistin alueet ei-suoritettaviksi. Turvallinen jäsennelty poikkeusten käsittely Ohjelmistovahvistettu DEP tarkistaa ohjelmassa syntyvien poikkeusten kelpoisuuden estämään sitä, että haitallinen koodi hyödyntää poikkeusten käsittelyn toimintoja. Tätä kutsutaan turvalliseksi jäsennellyksi poikkeusten käsittelyksi (safe structured exception handling, SafeSEH). Osoitetilan asettelun satunnaistus Vaikka DEP on otettu käyttöön, koodia voidaan silti suorittaa suuntaamalla toiminto ottamaan yhteyden prosessin suoritettavan muistialueen osoitteeseen. Jotta voidaan estää kyseiset hyökkäykset, voidaan käyttää osoitetilan asettelun satunnaistusta (address space layout randomization, ASLR). Tämä tekniikka piilottaa muistin ja järjestelmäkomponenttien sivutiedoston paikat, mikä tekee kyseisten komponenttien löytämisen vaikeaksi hyökkääjille. Sekä Windows- että Mac OS X v10.6 -käyttöjärjestelmät käyttävät ASLR-tekniikkaa. 2

3 Pinon evästeet Puskurin tietoturvatarkistus on kääntäjävaihtoehto. Siinä pyritään estämään pinopohjaisen puskurin ylivuoto syöttämällä pinon eväste. Tämä ohjelman laajuinen eväste kopioidaan paikallisten muuttujien ja palautusosoitteen välillä. Kääntäjä lisää sitten koodin toiminnon alustukseen ja lopetukseen suorituksen estämiseksi, jos evästettä on muutettu. Adobe Reader X ja Adobe Acrobat X olivat 12 testatusta ratkaisusta ainoat ratkaisut, joissa on kaikki viisi kriittistä tietoturvatasoa. Näiden avulla voidaan estää järjestelmän kaatumisen hyväksikäyttö Windowsissa. Tuottavuus Hiekkalaatikko Pinon evästeet NX ASLR SafeSEH Adobe Reader X Adobe Acrobat X Muut tietoturvaominaisuudet Acrobatissa ja Readerissä on monia muita riskien lievennystoimintoja, kuten toimialueiden väliset suojaukset sekä JavaScriptin sallittujen ja kiellettyjen kohteiden luettelo. Toimialueiden väliset suojaukset lieventävät erityisesti sivustojen välisiä komentosarjapohjaisia hyökkäyksiä, jotka ovat yleistyneet Internetissä. Whitelisting-toiminnon avulla organisaatiot voivat sallia JavaScriptin luotetuille työnkuluille. Blacklisting suojaa käyttäjiä hyökkäyksiltä, jotka kohdistuvat erityisiin JavaScript API -kutsuihin. Kuinka arvioida myyjän lähestymistapaa tietoturvaan IT-tiimien suurin tietoturvahaaste on se, että tietoturva muuttuu koko ajan. Joka päivä syntyy uusia uhkia. Sen vuoksi PDF-ohjelmiston turvallisuutta arvioitaessa on välttämätöntä ottaa huomioon sekä se, mitä myyjä sisällyttää tuotteeseen alustavasti että se, mitä myyjä tekee varmistaakseen ohjelmiston vankan tietoturvan ajan kuluessa. Jotta yritys säilyy valppaana ohjelmistojen tietoturva-asioissa, tämä tarkoittaa hellittämätöntä testausta ja vikojen korjausta ja samalla uusien suojausten kehitystä, jotta voidaan puolustautua nopeasti muuttuvaa uhkaympäristöä vastaan. Kuinka myyjän tulee lähestyä ohjelmistokehitystä ja -testausta? Tietoturvaan erikoistuneet suunnittelutiimit Tietoturva on integroitava tuotteen elinkaaren jokaisessa vaiheessa. Ennakoivat tietoturvan ja koodin tarkistukset Ennakoiva tapausten analyysi ja tarkastelu sekä nykyisen koodin vahvistus edistävät sovelluksen tietoturvaparannuksia. Osallistuminen alan johtaviin tietoturvaohjelmiin Kun tuotteiden haavoittuvuustietoja jaetaan ajoissa tietoturvaohjelmistojen tuottajien kanssa, kuten virustorjuntaohjelmistojen ja tietomurtojen havaintoon ja estoon erikoistuneet toimijat, teollisuus pystyy työskentelemään yhdessä ja haavoittuvuusriskin vähentämiseksi. Kuinka myyjän on tuettava päivitysprosessia? Ennustettavat korjausaikataulut Ohjelmistokorjaukset alentavat IT-osaston ja loppukäyttäjien tuottavuutta. Sen vuoksi niiden on tapahduttava ennustettavalla aikataululla eikä kovin usein esimerkiksi aina samana kuukauden tai vuosineljänneksen päivänä. Yksinkertainen konfigurointi käyttöönoton jälkeen Ohjelmistoratkaisun on hyödynnettävä OS-tason työkaluja, kuten ryhmäkäytäntö Windowsissa ja ominaisuuslista Mac OS:ssa. Nämä yksinkertaistavat asetusten muutosprosesseja käyttöönoton jälkeen. Käyttöönottotyökalujen tuki Organisaatioissa, joiden on päivitettävä tuhansia koneita, käyttöönottotyökalujen tuki on kriittinen. Erityisesti uusimpien ohjelmistonhallinnan järjestelmien, kuten Microsoft System Center Configuration Manager (SCCM) ja Microsoft System Center Updates Publisher (SCUP), tuki voi yksinkertaistaa ja tehostaa ohjelmistopäivityksiä kaikkialla organisaatiossa. 3

4 Kuinka myyjän on tuettava ohjelmistoa julkistuksen jälkeen? Jatkuvat parannukset Myyjän on jatkettava ennakoivaa työtä, joka tekee ohjelmistosta kestävämmän ja hyökkäysvarmemman, eikä vain vastattava olemassa oleviin uhkiin. Parannukset on julkaistava osana ajoittaisia päivityksiä. Teollisuuden yhteistyö On tärkeää, että myyjät osallistuvat aktiivisesti tietoturvayhteisöön, jotta he pysyvät viimeisimpien uhkien ja niiden käsittelyn innovaatioiden tasalla. Kuinka myyjän on vastattava tietoturvavikoihin? Läpinäkyvyys Myyjien on oltava avoimia tietoturva-asioista ja niistä toimista, joita he ovat tehneet ohjelmiston vahvistamiseksi. Myyjät, jotka suhtautuvat tietoturvaan vakavasti, julkaisevat tietoja uhkista ennakoivasti ja vastaavat uhkiin tunnetaan myös nimellä Common Vulnerabilities and Exposures (CVE) kansainvälisesti arvostetuissa tietokannoissa, kuten National Vulnerability Database (NVD). Haavoittuvuuksista tiedotuksen puute ei tarkoita, etteivätkö hakkerit pääse hyödyntämään tuotetta. Se voi pikemminkin tarkoittaa, että tuotteen julkistanut toimittaja ei suhtaudu tietoturvaan ennakoivasti. Adobe Acrobat X -tuoteperheen tietoturvan ja puolueettoman kolmannen osapuolen testitulokset Acrobat X:n ja Reader X:n ja suunnittelussa on otettu huomioon turvallisuus, ja niissä on käytetty alan johtavia tietoturvatekniikoita. Adoben ohjelmistot ovat muita PDF-ratkaisuja tehokkaampia tietoturvatesteissä Joulukuussa 2011 kolmannen osapuolen tietoturvakonsultointiyritys isec suoritti tuotevertailutestauksen 12 ratkaisulle, joiden avulla tarkastellaan, luodaan tai muokataan PDF-dokumentteja. Testin tulokset on julkaistu raportissa, PDF-tuotevertailu. Testaajat syöttivät kuhunkin tuotteeseen saman sarjan tarkoituksellisesti korruptoituneita tiedostoja, joiden tarkoituksena oli synnyttää vikoja. Kun kaatuminen tapahtui, se luokiteltiin automaattisesti hyödynnettäväksi tai ei-hyödynnettäväksi. Jopa niissä harvoissa tapauksissa, joissa testaus aiheutti kaatumisen, yhtäkään Reader X:n tai Acrobat X:n kaatumista ei luokiteltu hyödynnettäväksi. Reader X ja Acrobat X voitiin kaataa vastaavasti vain seitsemän ja 13 yksittäistä kertaa. Vertailuna muut PDF-lukuohjelmat kaatuivat jopa 134 yksittäistä kertaa ja muut PDF-kirjoitusohjelmat kaatuivat jopa 132 kertaa laajalla PDF-testitiedostojen joukolla. Testaajat tulivat siihen tulokseen, että hyödynnettävien kaatumisten puuttuminen johtui Reader X:n ja Acrobat X:n täydellisestä sarjasta käyttöjärjestelmän riskin lievennystoimia ja kerrostetusta puolustuksesta, kuten hiekkalaatikot, NX-muisti, ASLR, SafeSEH ja pinon evästeet. Joissakin testatuista PDF-lukuohjelmista, joissa ei ole tehty näitä käyttöjärjestelmän riskien lievennystoimia, tapahtui jopa 16 hyödynnettävää kaatumista, ja joissakin PDF-kirjoitusohjelmissa tapahtui jopa 22 hyödynnettävää kaatumista. Puolueettomassa kolmannen osapuolen testauksessa Reader X:lle ja Acrobat X:lle ei tapahtunut yhtään hyödynnettävää kaatumista, kun niihin syötettiin vioittuneita tiedostoja. Tietoturvaominaisuudet, kuten hiekkalaatikot, estävät mahdollisen hyödyntämisen kaatumistapauksissa. Ratkaisu Hyödynnettävien kaatumisten määrä Adobe Reader X 0 Adobe Acrobat X 0 4

5 Adobe investoi tietoturvaan ja vähentää ylimääräisiä päivityksiä Tietoturvaparannukset ovat osa laajoja teknisiä investointeja, joita Adobe on tehnyt Acrobat-tuoteperheen vahvistamiseksi nykyisiltä ja tulevilta uhilta. Kun Adobe tekee ohjelmistosta jatkuvasti vahvemman hyökkäysyrityksiä vastaan, se voi vähentää tai jopa poistaa tarpeen ylimääräisiin päivityksiin ja pienentää säännöllisesti ajoitettujen päivitysten kiireellisyyttä. Tämä lisää operatiivista joustavuutta ja pienentää kokonaiskustannuksia erityisesti laajoissa ympäristöissä, joilla on tiukat tietoturvavaatimukset. Kun korjauksia tarvitaan, Adoben integraatio johtavien hallintatyökalujen kanssa varmistaa sen, että hallituissa Windows-työasemissa on aina uusimmat tietoturvakorjaukset ja -päivitykset. Lisäksi korjaukset ovat nopeita ja yksinkertaisia. Yhteenveto Koska PDF-tiedostotyyppiä voidaan käyttää hyökkäyksiin, nykyisin ei enää voi turvallisesti lisensoida ja ottaa käyttöön alhaisimman kustannuksen PDF-työkaluja ilman huolellista tietoturvan tarkistusta. Kun organisaation maine ja selviytyminen riippuvat tietoturvapuolustuksen kyvystä kestää toistuvia hyökkäyksiä, on kriittistä, että organisaatiot vaativat sovellustoimittajilta korkeaa laatua. Adobe tarjoaa laajoja riskien lievennystoimia, joiden avulla voidaan estää hyökkäyksiä saavuttamasta kohdettaan: Uusin hiekkalaatikkoteknologia JavaScript-luettelo sallituista ja kielletyistä kohteista Toimialueiden välisen käytön poisto käytöstä Selkeät päivitysominaisuudet Parannetut käyttöönotto- ja hallintatyökalut Adobe jatkaa myös tuotteisiinsa investointia pitkän aikaa tuotteen julkistuksen jälkeen. Tällä varmistetaan, että niistä tulee entistä kestävämpiä. Näin asiakkaat voivat luottaa siihen, että heidän tietoturvatoimenpiteensä mukautuvat koko ajan muuttuvaan ympäristöön. Adobe Systems Nordic AB Box 47, Kista, Sverige Adobe, the Adobe logo, Acrobat, and Reader are either registered trademarks or trademarks of Adobe Systems Incorporated in the United States and/or other countries. Mac OS is a trademark of Apple Inc., registered in the U.S. and other countries. Windows is either a registered trademark or a trademark of Microsoft Corporation in the United States and/or other countries. All other trademarks are the property of their respective owners Adobe Systems Incorporated. All rights reserved. Printed in Finland. 2/12