在保证安全性方面,Adobe需要不断从微软的错误中吸取经验教训。如果你是一个黑客,打算入侵某个网络系统,最常采用的攻击方式就是利用该网络中最普遍存在的某个软件的漏洞,而漏洞率较高,同时又不经常更新的软件就是你的首选。在2002年,你选择的这个软件很可能是微软的Windows系统。而如今,所选择的很可能是比Windows漏洞更多,更脆弱的Adobe Reader 或Flash Player。
根据安全软件厂商F-Secure的统计,当前近半数的攻击所利用的都是Acrobat Reader这个网民们最常用的PDF阅读器。而基于web的PDF文件攻击在去年前三个半月的统计数量为128例,今年同期则上升到了超过2300例
另外,越来越多的零日漏洞在补丁发布前就被公布出来。从而使得那些使用含有漏洞的软件的用户,就像靶子一样在互联网上等待着黑客的攻击,直到出现安全补丁。
用于互联网视频浏览和富媒体应用的Flash Player软件的插件中就包含有这样的零日漏洞。而在今年春天的一起案例中,Adobe Reader爆出的零日漏洞迫使安全专家们建议广大用户临时关闭浏览器的JavaScript功能,以避免受到攻击。
近日在Black Hat 安全大会上,一位匿名的安全研究人员表示:“由于日前针对PDF的零日漏洞数量太多,使得大型银行开始讨厌Adobe了。”
F-Secure 在2008年跟踪了1967起攻击案例,其中最常见的攻击类型是针对Microsoft Word的.doc文档的攻击。
这一系列令人惊讶的数字使得F-Secure 的首席研究员Mikko Hypponen 在四月份的RSA 大会上强烈建议Adobe Reader用户转换其它品牌的PDF文件阅读器。
Hypponen 还表示,Adobe “在各方面都需要向微软学习”。不论是在 Black Hat 大会上还是在Defcon安全会议上,大部分参与者都持同样观点。
卡巴斯基高级反病毒研究员Roel Schouwenberg表示:“Adobe就是下一个微软,他们都是很迟钝的意识到自己的产品有多么大的普及率,作为行业代表,我们必须敦促Adobe努力改善软件安全问题。”
而Adobe的一位经理表示,问题的根源是Adobe的软件普及率太大。
Adobe 产品安全和隐私经理Brad Arkin在一次采访中表示:“考虑到诸如Reader和Flash Player这样的产品在全球电脑的普及率已经到了相当高的程度,成为黑客攻击目标也是很自然的事情"。
专家普遍认为,微软也处于同样的境地,而且很多方面仍然没有改进,而唯一的区别是这两个企业对于安全的回应态度不同。
微软:走过的路,做过的事
2002年1月,比尔盖茨启动了Trustworthy Computing 计划,将系统安全作为了公司未来发展的首要问题。由于之前对于病毒及软件安全漏洞的策略不佳,导致微软不得不在很长一段时间里与负面压力以及公众舆论进行斗争。
微软首先提出了软件开发生命周期(Software Development Lifecycle)项目,用来将安全性融入软件开发过程,随后这一项目成为了行业标准。其努力程度值得称赞。
现在轮到Adobe开始为它的软件安全性努力奋斗了。
F-Secure的Hypponen在Black Hat的一次采访中表示:“微软是补丁管理的模范,他们不得不那样做。而他们真的做到了。现在Flash和Reader无所不在,而针对微软系统进行攻击越来越难,于是攻击者们都将枪口瞄准了更容易攻击的靶子。”
另外,他和其他专家还认为, Adobe的补丁过程不如微软迅速和安全,因此更加容易导致黑客攻击。
坦率的讲,Adobe的行动方向是对的。鉴于Reader的零日漏洞, Adobe在五月决定启动基于季度的补丁发布方案 ,而具体的发布时间则与微软的周四补丁发布日相同。
在Adobe发布声明的同时, Adobe的 Arkin也表示,公司正在审查“我们安全团队从漏洞发布到补丁推出的全部通信记录以及补丁代码本身等一切有关内容”。他还许诺,用户可以“看到更多及时 的有关补丁的信息,更快的实现补丁安装,以及同步为多个版本的软件进行补丁修复工作。”
据Arkin 表示,Adobe也是第一家能够针对微软的活动模板库进行软件补丁修复的第三方厂商。
他说:“我们搜罗了Adobe的全部产品库中超过200中产品,检测哪些产品会受到漏洞的影响,在最近加入了针对Shockwave Player 和 Flash Player的修补工作。”
Arkin 还表示,在4月27日获知针对Reader和Acrobat系列的零日漏洞后,已经在其后的两周时间内给出了升级补丁。在前不久还针对Flash Player中存在的问题发布了升级补丁。对于补丁发布时间窗,Arkin 表示“我们很满意目前的性能表现。”
除了针对当前出现的漏洞外,Adobe 还在检查老版本软件中存在的漏洞,并寻求多种改进产品的方式。Arkin 认为“Adobe融合了微软和其它公司在应对此类问题上的最佳方式。”
不过,某个匿名的安全研究人员也在抱怨,认为从架构角度看,某些Adobe的产品与操作系统间的连接有些过度。他表示:“为什么在非信任数据环境下工作的软件能够直接访问我们的受信数据呢?”这一问题实际是指 Adobe Reader能够直接读写硬盘数据的能力。
对此问题,Arkin 认为,程序的功能需要程序在文件系统上进行保存和打开文件的操作,这就必须要对硬盘进行物理读写访问:“Web浏览器都具备在文件系统上进行存储的功能,”而这两种程序的特权是类似的。
安全公司Counterpane 的首席技术官Bruce Schneier 认为,抛开这些与安全相抵触的功能不谈,由于Adobe的产品已经成了黑客的攻击重点,市场压力就足以使Adobe发生改变了。“不管公司是否重视安全 性,这种改变都是必须的,因为这完全是商业决策。我觉得Adobe应该意识到,他们可以以安全为卖点进行产品推广”
IOActive 渗透测试部门经理Dan Kaminsky赞扬Adobe能够正确面对安全问题,将安全作为未来的工作重点,并进行“自我调整”。他还补充说:“PDF的漏洞最近才被爆出,要记 住,任何软件开发团队都需要一定的时间来解决这种问题。”另外他还提到,Flash 9要比 Flash 8安全的多。
“有没有某些产品是Adobe应该封锁的?是的,他们有没有这样做呢?确实这样做了。既然他们能对Flash这样做,就也能够对Reader这样做。毕竟树大招风,枪打出头鸟。”
