Miksi PDF-sovellusten tietoturvalla on merkitystä?



Samankaltaiset tiedostot
PDF:n turvallisuuden uusi taso Adobe Reader - ja Adobe Acrobat -ohjelmistojen avulla Acrobat X -tuoteperhe nostaa vaatimustasoa

Adobe Fireworks CS6 TÄMÄN DOKUMENTIN KÄYTTÖ ADOBE FIREWORKS CS6 TAGLINE 35 SANAN TUOTEKUVAUS 50 SANAN TUOTEKUVAUS 65 SANAN TUOTEKUVAUS

Vaivattomasti parasta tietoturvaa

Adobe Flash Professional CS6

HYÖDYNNÄ SUBSCRIPTION-ETUSI SUBSCRIPTION SOPIMUSTEN HALLINTA

HELPPOUDEN VOIMA. Business Suite

Kattava tietoturva kerralla

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

Verkkolisensoinnin Lueminut

Toshiba EasyGuard käytännössä: tecra a5

TermBase NET versio (Beta)

pikaohje selainten vianetsintään Sisällysluettelo 17. joulukuuta 2010 Sisällysluettelo Sisällys Internet Explorer 2 Asetukset Internet Explorer 8:ssa

QuarkXPress ohjelman uudet ominaisuudet

OpusCapitan Windows 7 - käyttöönotto. Kimmo Kouhi, varatoimitusjohtaja

Internetin hyödyt ja vaarat. Miten nettiä käytetään tehokkaasti hyväksi?

Mobiililaitteiden ja sovellusten tietoturvallisuus mihin tulee kiinnittää huomiota?

ecome Markkinoiden kehittynein julkaisujärjestelmä

Päätelaitteen turvallinen käyttö sairaalaympäristössä Markku Korkiakoski

Lataa-sovellus. 1. painos

Plantronics DA80 Audio Processor. User Guide

Autodesk Lisenssitiedosto Autodesk, Inc.

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Työasemien hallinta Microsoft System Center Configuration Manager Jarno Mäki Head of Training Operations M.Eng, MCT, MCSE:Security, MCTS

TIETOTURVALLISUUDESTA

HYÖDYNNÄ SUBSCRIPTION-ETUSI

TURVAA LIIKETOIMINTASI KAIKKIALLA. Protection Service for Business

F-SECURE SAFE. Toukokuu 2017

Plantronics Blackwire C610-M Blackwire C620-M

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

PrettyBitServer Tuote-esite

Versio 1.0 Heinäkuu Office-viimeistelylaite. Käyttöopas

Verkkopalkan palvelukuvaus

Historiaa. Unix kirjoitettiin kokonaan uudestaan C-kielellä Unix jakautui myöhemmin System V ja BSDnimisiin. Kuutti, Rantala: Linux

4.2 Yhteensopivuus roolimalleihin perustuvassa palvelussa

HiQ Finland Älypuhelinsovellusten käyttäjälähtöisen kehityksen tukeminen

Tietokannan tietoturva. Heli Helskyaho Tietoturva-aamupäivä, Oracle House

Tietokoneiden ja mobiililaitteiden suojaus

Tikon Web-sovellukset

Lapsilukko HUOMAUTUS VANHEMMILLE. Vita-järjestelmän lapsilukko, ennen kuin annat lapsesi pelata. Määritä PlayStation (1)

Fennian tietoturvavakuutus

ESET NOD32 ANTIVIRUS 6

Mistä on kyse ja mitä hyötyä ne tuovat?

HYÖDYNNÄ SUBSCRIPTION-ETUSI

HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI

F-Secure Anti-Virus for Mac 2015

ESET CYBER SECURITY Mac Pikaopas. Lataa tämän asiakirjan uusin versio napsauttamalla tätä

Konesali ilman rajoja Kongressi A

Käyttöjärjestelmät(CT50A2602)

Asetusten avulla voit säätää tietokoneen suojaustasoja. Suojaustila ilmoittaa tietokoneen senhetkisen tietoturvan ja suojauksen tason.

Tekoäly ja tietoturva Professori, laitosjohtaja Sasu Tarkoma Tietojenkäsittelytieteen laitos Helsingin yliopisto

Adobe Audition CS6. Kuulosta parhaalta ADOBE AUDITION CS6 AU3 CS5.5 CS6. Adobe Audition CS6 Versioiden vertailu

Älykäs verkottuminen ja käyttäjänhallinta. Pekka Töytäri TeliaSonera Finland

HASP-vianetsintäopas 1

Käyttöoppaasi. F-SECURE MOBILE SECURITY 6 FOR ANDROID

McAfee epolicy Orchestrator Pre-Installation Auditor 2.0.0

Compaqin takuu Presario-tuotteille

Käyttövalmiiksi asennus & päivitys älypuhelin

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Sonera Desktop Security Asennusohje 2005

Windows XP -tuen loppuminen aiheuttaa tietoturvariskejä yksityishenkilöille

Julkishallinnon tietoturvatoimittaja

PK-yrityksen tietoturvasuunnitelman laatiminen

PIKAOPAS. Nokia Connectivity Cable Drivers -ohjainten asentaminen

1. Tietokonejärjestelmien turvauhat

Tietokoneiden ja mobiililaitteiden tietoturva

Tikon Web-sovellukset

Integrointi. Ohjelmistotekniikka kevät 2003

FOTONETTI BOOK CREATOR

Kyberturvallisuus kiinteistöautomaatiossa

VERKON ASETUKSET SEKÄ WINDOWSIN PÄIVITTÄMINEN

Testauksen tuki nopealle tuotekehitykselle. Antti Jääskeläinen Matti Vuori

SYSTEEMIJOHTAMINEN! Sami Lilja! itsmf Finland 2014! Oct ! Kalastajatorppa, Helsinki! Reaktor 2014

The Complete Property Management System

Käyttöjärjestelmät: prosessit

PÄIVITÄ TIETOKONEESI

20 SYYTÄ, MIKSI JOKAISEN SEURAAVAN TIETOKONEEN TULISI OLLA THINKPAD TAI THINKCENTRE

Asynkroninen ohjelmointi.net 4.5 versiolla

Home Media Server. Home Media Server -sovelluksen asentaminen tietokoneeseen. Mediatiedostojen hallinta. Home Media Server

Tietoturvavinkkejä pilvitallennuspalveluiden

Basware Supplier Portal

Online-tulostus painos

SANS Internet Storm Center WMF-haavoittuvuuden tiedotus

ESET SMART SECURITY 6

ELM GROUP 04. Teemu Laakso Henrik Talarmo

Tinkimätöntä tietoturvaa kaikkiin virtuaaliympäristöihin

PIKAOPAS. Nokia Connectivity Cable Drivers -ohjainten asentaminen

Pikaopas. Ohjeiden etsiminen Hae ohjesisältöä napsauttamalla kysymysmerkkiä.

SUOJAA JA HALLINNOI MOBIILILAITTEITASI. Freedome for Business

Perinteiset asennuspaketit

Mobiililaitteiden tietoturva

Toshiba EasyGuard käytännössä: Portégé M300

Rajattomat tietoverkot ja niiden rooli pilvipalveluissa. Jukka Nurmi Teknologiajohtaja Cisco Finland

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Logitech Webcam C930e Setup Guide. Logitech for Business

2007 Nokia. Kaikki oikeudet pidätetään. Nokia, Nokia Connecting People, Nseries ja N77 ovat Nokia Oyj:n tavaramerkkejä tai rekisteröityjä

HYÖDYNNÄ SUBSCRIPTION-ETUSI

Käyttöehdot, videokoulutukset

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Transkriptio:

Miksi PDF-sovellusten tietoturvalla on merkitystä? Mitä tulee tietää riskin minimoimiseksi Sisällysluettelo 1: Ohjelmiston kaatumiset luovat mahdollisuuden hyökkäykselle 2: Hae ohjelmistoja, jotka käyttävät täydellisesti käyttöjärjestelmän lievennystoimia riskin pienentämiseksi 3: Kuinka arvioida myyjän lähestymistapaa tietoturvaan 4: Adobe Acrobat X -tuoteperheen tietoturvan ja puolueettoman kolmannen osapuolen testitulokset 5: Yhteenveto Ponemon Instituten vuonna 2010 viidessä Pohjois-Amerikan, Euroopan, Lähi-Idän, Afrikan ja Aasian maassa tekemän tutkimuksen mukaan tietomurtojen keskimääräiset organisaatioille aiheutuneet kustannukset ovat kasvaneet neljään miljoonaan Yhdysvaltain dollariin, mikä tarkoittaa 18 % kasvua edellisestä vuodesta. Toisessa tutkimuksessa tutkittiin 45 Yhdysvalloissa toimivaa yritystä. Sen mukaan tietoverkkorikokset johtivat joka viikko keskimäärin yhteen onnistuneeseen hyökkäykseen, jonka vuosikustannuksen mediaani oli 3,8 miljoonaa dollaria yritystä kohden. Kalleimmassa tapauksessa vuosikustannus oli 52 miljoonaa dollaria. Tietoverkkorikollisten yrityksiin kohdistuva toiminta on helpottunut, mutta heidän kiinnisaamisensa tai syytteeseen asettamisensa on monimutkaistunut. Nykyisin yritykset kohtaavat taistelevia tietoverkkorikollisia, joiden tarkoituksena on varastaa tietoja, kaataa tietojärjestelmiä, vahingoittaa yrityksen mainetta tai yksinkertaisesti vain esittää hakkerointitaitoja. Yksi hakkereiden suosikkihyökkäysvälineistä sattuu olemaan yritysten suosikkityöväline tietojen, dokumenttien ja aineettoman omaisuuden hallintaan: yleisesti käytössä olevat tiedostotyypit. Hakkereiden tarkoituksena on päästä järjestelmiin upottamalla tiedostoihin haitallista koodia. PDF-muodosta on tullut yksi näistä yleisesti omaksutuista tiedostotyypeistä, koska se on vapaasti saatavana oleva julkaisustandardi. Monet kehittäjät ovat käyttäneet standardia omien PDF-työkalujensa luontiin, mikä on tarjonnut tietoverkkorikollisille lisää mahdollisuuksia. Koska hakkerit yrittävät hyödyntää PDF-tiedostojen luontiin ja tarkasteluun käytettyjen ohjelmien heikkouksia, yritysten on oltava valppaita päättäessään, mitä ohjelmistoja sallitaan sen tietoverkkoympäristöön. Tässä White paper -julkaisussa käsitellään tietomurron seurauksia, sovellustietoturvan toimenpiteitä, joita käyttäjä voi tehdä hyökkäysten torjumiseksi, ja ohjelmiston myyjäyritysten ominaisuuksia, joiden avulla saavutetaan suojattu ohjelmisto. Siinä kerrotaan myös kolmannen osapuolen tietoturvatestauksen tuloksista. Niiden mukaan Adobe Acrobat X- ja Adobe Reader X -ohjelmisto ovat muita markkinoilla olevia PDFratkaisuja tehokkaampia organisaatioiden suojauksessa hyökkäyksiltä, jotka voisivat johtaa katastrofaalisiin seurauksiin. Siinä selvitetään, miksi yritysten on arvioitava PDF-tiedostojen tarkasteluun ja luontiin käytettyjen sovellusten tietoturvaa samalla tavalla kuin ne arvioivat liiketoiminnan kannalta kaikkein kriittisimpiä sovelluksia kysymällä muun muassa seuraavaa: Mitä käyttöjärjestelmän (OS) riskien lievennystoimia ohjelmistoon on sisällytetty? Onko ohjelmistossa menetelmiä, joiden avulla voidaan estää järjestelmän kaatumisen hyödyntäminen? Minkälaisia prosesseja on kehitetty tuotekehityksestä laadunvarmistukseen kehittyviin tietoturvauhkiin vastaamiseen? Toimittaako myyjä tietoturvaa uhraamatta toiminnallisuutta? Mitä tapahtuu julkistuksen jälkeen? Jatkaako ohjelmiston myyjä aktiivista tuotteen tietoturvan kehitystä? Missä määrin ohjelmiston myyjä osallistuu laajempaan tietoturvayhteisöön? Ilman tämäntasoista tarkastelua organisaatiot altistavat itsensä uskomattomille riskeille. Ohjelmiston kaatumiset luovat mahdollisuuden hyökkäykselle Yksi yleisimmistä hakkereiden käyttämistä lähestymistavoista on syöttää järjestelmään korruptoituneita tiedostoja, jotka aiheuttavat kaatumisen. Yleensä korruptoituneet tiedostot pääsevät järjestelmään, kun dokumentin vastaanottaja huijataan luulemaan vioittunutta tiedostoa aidoksi. Kaatumiset keskeyttävät toimintaa ja häiritsevät tuottavuutta, mutta ne eivät sinällään ole kovin vahingollisia. Suurempi ongelma syntyy, kun hyökkääjät yrittävät hyödyntää muistin vioittumista. Jos kaatuminen tarjoaa aukon, jota

hyökkääjät pääsevät hyödyntämään onnistuneesti, he voivat lisätä haitallista koodia järjestelmän käyttämiseksi. Tällä tavalla hyökkääjät voivat varastaa tietoja, kuten luottokorttien numeroita, asentaa haittaohjelmia, tuhota tiedostoja tai muuttaa muita järjestelmätietoja koneessa, jossa ei ole asianmukaisesti kerrostettua suojausta. Tämän tyyppinen hyökkäys ei ole lainkaan ainutlaatuinen PDF-tiedostotyypille; hakkerit ovat käyttäneet sitä jo vuosia web-sovelluksia, käyttöjärjestelmiä ja mitä tahansa tavallista ohjelmisto- tai tiedostotyyppiä vastaan. Hyökkäysyrityksen vaikutus voi olla minimaalinen, jos organisaatioilla on oikea ohjelmisto. Muuten seuraukset voivat olla katastrofaalisia. Maineesi ja brändisi voi kärsiä vahinkoa, jota ei voi korjata. Asiakkaat voivat menettää luottamuksensa ja kääntyä kilpailijoittesi puoleen. Voit olla myös oikeudellisessa vastuussa tietomurroista ja joutua vastaamaan suurista oikeudenkäyntikuluista, rangaistussakoista ja korvauksista. Valitettavasti nämä pahimmat mahdolliset lopputulokset eivät ole harvinaisia. Yksinkertainen uutishaku milloin tahansa tuo esiin useita tarinoita organisaatioista, jotka ovat kärsineet tietomurroista. Voi vaikuttaa siltä, että hyökkääjät kohdistavat toimintansa vain näkyvimpiin yrityksiin, mutta kohteina ovat yhä useammin myös pienemmät yritykset ja julkisen hallinnon organisaatiot. Hakkerit keskittyvät tiettyihin tietotyyppeihin. Hae ohjelmistoja, jotka käyttävät täydellisesti käyttöjärjestelmän lievennystoimia riskin pienentämiseksi Tietoturva-asiantuntijat ovat laajalti yhtä mieltä siitä, että paras puolustus on yksityiskohtainen kerrostettu puolustus, koska se suojaa useilla rintamilla käyttämällä työkaluja, jotka on rakennettu sekä sovellukseen että käyttöjärjestelmään. Kaikkien seuraavien riskien lievennystoimien on oltava olemassa missä tahansa PDF-ratkaisussa, jota arvioit organisaatiollesi. Ratkaisu, jossa on vain joitakin näistä ominaisuuksista, ei tuota sellaista tietoturvatasoa, jonka kaikki nämä ominaisuudet yhdessä tuottavat. Sovellushiekkalaatikko Hiekkalaatikon avulla käyttöjärjestelmä luo toimiville ohjelmille rajoitetun suoritusympäristön vähäisillä oikeuksilla. Hiekkalaatikot suojaavat käyttäjien järjestelmiä, jotta suoritettavaa koodia mahdollisesti sisältävät epäluotettavat dokumentit eivät vahingoita niitä. Tämä pääsyn hallinnan menetelmä toimii määrittämällä eheystasot. Prosessi, joka luodaan alhaisella eheydellä, on hyvin rajoitettu niiden objektien suhteen, joita voi käyttää. Muita mekanismeja, joita käytetään usein sovellushiekkalaatikon luontiin, ovat rajoitetut tunnukset ja työobjektirajoitukset. Tietojen suorituksen esto Tietojen suorituksen esto (Data Execution Prevention, DEP) estää datan tai vaarallisen koodin sijoituksen muistipaikkoihin, jotka on määritetty Windows -käyttöjärjestelmän suojaamiksi. DEP tuottaa laitteiston ja ohjelmiston muistitarkistuksia. Muu kuin suoritettava muisti Laitteisto-DEP synnyttää poikkeuksen, kun koodi suoritetaan muusta kuin suoritettavasta (NX) muistipaikasta. Tuetut keskusyksiköt tekevät tämän ottamalla käyttöön NX-bitin, joka merkitsee tietyt muistin alueet ei-suoritettaviksi. Turvallinen jäsennelty poikkeusten käsittely Ohjelmistovahvistettu DEP tarkistaa ohjelmassa syntyvien poikkeusten kelpoisuuden estämään sitä, että haitallinen koodi hyödyntää poikkeusten käsittelyn toimintoja. Tätä kutsutaan turvalliseksi jäsennellyksi poikkeusten käsittelyksi (safe structured exception handling, SafeSEH). Osoitetilan asettelun satunnaistus Vaikka DEP on otettu käyttöön, koodia voidaan silti suorittaa suuntaamalla toiminto ottamaan yhteyden prosessin suoritettavan muistialueen osoitteeseen. Jotta voidaan estää kyseiset hyökkäykset, voidaan käyttää osoitetilan asettelun satunnaistusta (address space layout randomization, ASLR). Tämä tekniikka piilottaa muistin ja järjestelmäkomponenttien sivutiedoston paikat, mikä tekee kyseisten komponenttien löytämisen vaikeaksi hyökkääjille. Sekä Windows- että Mac OS X v10.6 -käyttöjärjestelmät käyttävät ASLR-tekniikkaa. 2

Pinon evästeet Puskurin tietoturvatarkistus on kääntäjävaihtoehto. Siinä pyritään estämään pinopohjaisen puskurin ylivuoto syöttämällä pinon eväste. Tämä ohjelman laajuinen eväste kopioidaan paikallisten muuttujien ja palautusosoitteen välillä. Kääntäjä lisää sitten koodin toiminnon alustukseen ja lopetukseen suorituksen estämiseksi, jos evästettä on muutettu. Adobe Reader X ja Adobe Acrobat X olivat 12 testatusta ratkaisusta ainoat ratkaisut, joissa on kaikki viisi kriittistä tietoturvatasoa. Näiden avulla voidaan estää järjestelmän kaatumisen hyväksikäyttö Windowsissa. Tuottavuus Hiekkalaatikko Pinon evästeet NX ASLR SafeSEH Adobe Reader X Adobe Acrobat X Muut tietoturvaominaisuudet Acrobatissa ja Readerissä on monia muita riskien lievennystoimintoja, kuten toimialueiden väliset suojaukset sekä JavaScriptin sallittujen ja kiellettyjen kohteiden luettelo. Toimialueiden väliset suojaukset lieventävät erityisesti sivustojen välisiä komentosarjapohjaisia hyökkäyksiä, jotka ovat yleistyneet Internetissä. Whitelisting-toiminnon avulla organisaatiot voivat sallia JavaScriptin luotetuille työnkuluille. Blacklisting suojaa käyttäjiä hyökkäyksiltä, jotka kohdistuvat erityisiin JavaScript API -kutsuihin. Kuinka arvioida myyjän lähestymistapaa tietoturvaan IT-tiimien suurin tietoturvahaaste on se, että tietoturva muuttuu koko ajan. Joka päivä syntyy uusia uhkia. Sen vuoksi PDF-ohjelmiston turvallisuutta arvioitaessa on välttämätöntä ottaa huomioon sekä se, mitä myyjä sisällyttää tuotteeseen alustavasti että se, mitä myyjä tekee varmistaakseen ohjelmiston vankan tietoturvan ajan kuluessa. Jotta yritys säilyy valppaana ohjelmistojen tietoturva-asioissa, tämä tarkoittaa hellittämätöntä testausta ja vikojen korjausta ja samalla uusien suojausten kehitystä, jotta voidaan puolustautua nopeasti muuttuvaa uhkaympäristöä vastaan. Kuinka myyjän tulee lähestyä ohjelmistokehitystä ja -testausta? Tietoturvaan erikoistuneet suunnittelutiimit Tietoturva on integroitava tuotteen elinkaaren jokaisessa vaiheessa. Ennakoivat tietoturvan ja koodin tarkistukset Ennakoiva tapausten analyysi ja tarkastelu sekä nykyisen koodin vahvistus edistävät sovelluksen tietoturvaparannuksia. Osallistuminen alan johtaviin tietoturvaohjelmiin Kun tuotteiden haavoittuvuustietoja jaetaan ajoissa tietoturvaohjelmistojen tuottajien kanssa, kuten virustorjuntaohjelmistojen ja tietomurtojen havaintoon ja estoon erikoistuneet toimijat, teollisuus pystyy työskentelemään yhdessä ja haavoittuvuusriskin vähentämiseksi. Kuinka myyjän on tuettava päivitysprosessia? Ennustettavat korjausaikataulut Ohjelmistokorjaukset alentavat IT-osaston ja loppukäyttäjien tuottavuutta. Sen vuoksi niiden on tapahduttava ennustettavalla aikataululla eikä kovin usein esimerkiksi aina samana kuukauden tai vuosineljänneksen päivänä. Yksinkertainen konfigurointi käyttöönoton jälkeen Ohjelmistoratkaisun on hyödynnettävä OS-tason työkaluja, kuten ryhmäkäytäntö Windowsissa ja ominaisuuslista Mac OS:ssa. Nämä yksinkertaistavat asetusten muutosprosesseja käyttöönoton jälkeen. Käyttöönottotyökalujen tuki Organisaatioissa, joiden on päivitettävä tuhansia koneita, käyttöönottotyökalujen tuki on kriittinen. Erityisesti uusimpien ohjelmistonhallinnan järjestelmien, kuten Microsoft System Center Configuration Manager (SCCM) ja Microsoft System Center Updates Publisher (SCUP), tuki voi yksinkertaistaa ja tehostaa ohjelmistopäivityksiä kaikkialla organisaatiossa. 3

Kuinka myyjän on tuettava ohjelmistoa julkistuksen jälkeen? Jatkuvat parannukset Myyjän on jatkettava ennakoivaa työtä, joka tekee ohjelmistosta kestävämmän ja hyökkäysvarmemman, eikä vain vastattava olemassa oleviin uhkiin. Parannukset on julkaistava osana ajoittaisia päivityksiä. Teollisuuden yhteistyö On tärkeää, että myyjät osallistuvat aktiivisesti tietoturvayhteisöön, jotta he pysyvät viimeisimpien uhkien ja niiden käsittelyn innovaatioiden tasalla. Kuinka myyjän on vastattava tietoturvavikoihin? Läpinäkyvyys Myyjien on oltava avoimia tietoturva-asioista ja niistä toimista, joita he ovat tehneet ohjelmiston vahvistamiseksi. Myyjät, jotka suhtautuvat tietoturvaan vakavasti, julkaisevat tietoja uhkista ennakoivasti ja vastaavat uhkiin tunnetaan myös nimellä Common Vulnerabilities and Exposures (CVE) kansainvälisesti arvostetuissa tietokannoissa, kuten National Vulnerability Database (NVD). Haavoittuvuuksista tiedotuksen puute ei tarkoita, etteivätkö hakkerit pääse hyödyntämään tuotetta. Se voi pikemminkin tarkoittaa, että tuotteen julkistanut toimittaja ei suhtaudu tietoturvaan ennakoivasti. Adobe Acrobat X -tuoteperheen tietoturvan ja puolueettoman kolmannen osapuolen testitulokset Acrobat X:n ja Reader X:n ja suunnittelussa on otettu huomioon turvallisuus, ja niissä on käytetty alan johtavia tietoturvatekniikoita. Adoben ohjelmistot ovat muita PDF-ratkaisuja tehokkaampia tietoturvatesteissä Joulukuussa 2011 kolmannen osapuolen tietoturvakonsultointiyritys isec suoritti tuotevertailutestauksen 12 ratkaisulle, joiden avulla tarkastellaan, luodaan tai muokataan PDF-dokumentteja. Testin tulokset on julkaistu raportissa, PDF-tuotevertailu. Testaajat syöttivät kuhunkin tuotteeseen saman sarjan tarkoituksellisesti korruptoituneita tiedostoja, joiden tarkoituksena oli synnyttää vikoja. Kun kaatuminen tapahtui, se luokiteltiin automaattisesti hyödynnettäväksi tai ei-hyödynnettäväksi. Jopa niissä harvoissa tapauksissa, joissa testaus aiheutti kaatumisen, yhtäkään Reader X:n tai Acrobat X:n kaatumista ei luokiteltu hyödynnettäväksi. Reader X ja Acrobat X voitiin kaataa vastaavasti vain seitsemän ja 13 yksittäistä kertaa. Vertailuna muut PDF-lukuohjelmat kaatuivat jopa 134 yksittäistä kertaa ja muut PDF-kirjoitusohjelmat kaatuivat jopa 132 kertaa laajalla PDF-testitiedostojen joukolla. Testaajat tulivat siihen tulokseen, että hyödynnettävien kaatumisten puuttuminen johtui Reader X:n ja Acrobat X:n täydellisestä sarjasta käyttöjärjestelmän riskin lievennystoimia ja kerrostetusta puolustuksesta, kuten hiekkalaatikot, NX-muisti, ASLR, SafeSEH ja pinon evästeet. Joissakin testatuista PDF-lukuohjelmista, joissa ei ole tehty näitä käyttöjärjestelmän riskien lievennystoimia, tapahtui jopa 16 hyödynnettävää kaatumista, ja joissakin PDF-kirjoitusohjelmissa tapahtui jopa 22 hyödynnettävää kaatumista. Puolueettomassa kolmannen osapuolen testauksessa Reader X:lle ja Acrobat X:lle ei tapahtunut yhtään hyödynnettävää kaatumista, kun niihin syötettiin vioittuneita tiedostoja. Tietoturvaominaisuudet, kuten hiekkalaatikot, estävät mahdollisen hyödyntämisen kaatumistapauksissa. Ratkaisu Hyödynnettävien kaatumisten määrä Adobe Reader X 0 Adobe Acrobat X 0 4

Adobe investoi tietoturvaan ja vähentää ylimääräisiä päivityksiä Tietoturvaparannukset ovat osa laajoja teknisiä investointeja, joita Adobe on tehnyt Acrobat-tuoteperheen vahvistamiseksi nykyisiltä ja tulevilta uhilta. Kun Adobe tekee ohjelmistosta jatkuvasti vahvemman hyökkäysyrityksiä vastaan, se voi vähentää tai jopa poistaa tarpeen ylimääräisiin päivityksiin ja pienentää säännöllisesti ajoitettujen päivitysten kiireellisyyttä. Tämä lisää operatiivista joustavuutta ja pienentää kokonaiskustannuksia erityisesti laajoissa ympäristöissä, joilla on tiukat tietoturvavaatimukset. Kun korjauksia tarvitaan, Adoben integraatio johtavien hallintatyökalujen kanssa varmistaa sen, että hallituissa Windows-työasemissa on aina uusimmat tietoturvakorjaukset ja -päivitykset. Lisäksi korjaukset ovat nopeita ja yksinkertaisia. Yhteenveto Koska PDF-tiedostotyyppiä voidaan käyttää hyökkäyksiin, nykyisin ei enää voi turvallisesti lisensoida ja ottaa käyttöön alhaisimman kustannuksen PDF-työkaluja ilman huolellista tietoturvan tarkistusta. Kun organisaation maine ja selviytyminen riippuvat tietoturvapuolustuksen kyvystä kestää toistuvia hyökkäyksiä, on kriittistä, että organisaatiot vaativat sovellustoimittajilta korkeaa laatua. Adobe tarjoaa laajoja riskien lievennystoimia, joiden avulla voidaan estää hyökkäyksiä saavuttamasta kohdettaan: Uusin hiekkalaatikkoteknologia JavaScript-luettelo sallituista ja kielletyistä kohteista Toimialueiden välisen käytön poisto käytöstä Selkeät päivitysominaisuudet Parannetut käyttöönotto- ja hallintatyökalut Adobe jatkaa myös tuotteisiinsa investointia pitkän aikaa tuotteen julkistuksen jälkeen. Tällä varmistetaan, että niistä tulee entistä kestävämpiä. Näin asiakkaat voivat luottaa siihen, että heidän tietoturvatoimenpiteensä mukautuvat koko ajan muuttuvaan ympäristöön. Adobe Systems Nordic AB Box 47, 164 93 Kista, Sverige www.adobe.fi, www.adobe.com Adobe, the Adobe logo, Acrobat, and Reader are either registered trademarks or trademarks of Adobe Systems Incorporated in the United States and/or other countries. Mac OS is a trademark of Apple Inc., registered in the U.S. and other countries. Windows is either a registered trademark or a trademark of Microsoft Corporation in the United States and/or other countries. All other trademarks are the property of their respective owners. 2012 Adobe Systems Incorporated. All rights reserved. Printed in Finland. 2/12

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute