Az elmúlt években az Adobe alkalmazásai egyre gyakrabban kerültek a számítógépes bűnözés célkeresztjébe. Különösen a Flash, a Reader és az Acrobat szoftverek váltak kedveltté a támadók körében. Ez persze nem meglepő, hiszen ezen alkalmazások rengeteg számítógépen találhatók meg, így egy-egy sebezhetőség kihasználásával jelentős károkozásra nyílhat lehetőség. Biztonsági hibák pedig akadtak bőven, amiért az Adobe-ot meglehetősen sok kritika érte. Ezért a cég már 2009-ben úgy határozott, hogy radikális lépéseket tesz annak érdekében, hogy a szoftverei biztonságát fokozza.
Az Adobe alapvetően kétféle módon kívánta elérni, hogy az alkalmazásaiban csökkenjen a sérülékenységek száma. Egyrészt a fejlesztési folyamatait újragondolta, másrészt védelmi technológiákat fejlesztett ki, illetve épített be a szoftvereibe. Ez utóbbira a legjobb példa a Reader X-ben is megtalálható sandbox, amely a sebezhetőségek kockázatait csökkenti azáltal, hogy a támadók rendszerekhez való hozzáférését korlátozza.
A kulcsfontosságú képzés Brad Arkin, az Adobe adatvédelemért és termékbiztonságért felelős igazgatója elmondta, hogy a biztonság megteremtése mind a fejlesztők, mind a cég vezetői számára kulcsfontosságú. Az Adobe 2009-ben gondolta újra a fejlesztési folyamatait annak érdekében, hogy a nulladik napi sérülékenységekkel szembe tudjon szállni. Az újjászervezés részét képezte az oktatás, és olyan új eljárások kidolgozása is, amelyek segítségével a forráskódokban hatékonyabban válhattak kimutathatóvá az esetleges problémák. A cég egy négyszintű képzési rendszert dolgozott ki. Az első két szint online tréningeket és vizsgákat foglal magában, míg a másik kettő több hónapos projektekben való részvételt is megkövetel.
A fejlesztőkkel sem könnyű
Arkin elismerte, hogy sokszor a fejlesztőkkel sem könnyű elfogadtatni, hogy a biztonság megteremtése a feladatuk része. Azt kell belátni, hogy sokkal egyszerűbb - és nem utolsó sorban olcsóbb - a megelőzésre helyezni a hangsúlyt, mint később heti hat napon keresztül, napi 14 órában az egyes problémák elhárításán dolgozni. Azzal az igazgató is tisztában van, hogy a megtett intézkedések önmagukban még nem fogják megváltoztatni a tipikus biztonsági réseket, de egy szemléletváltást hoztak a fejlesztésbe, aminek köszönhetően a fejlesztők jobban fókuszálhatnak a problémás területekre.
Új utakat keresnek a támadók
"A támadóknak egyre nehezebb dolguk van a puffertúlcsordulási hibák kihasználásának tekintetében, ami az olyan védelmi technológiáknak is köszönhető, mint amilyen például az ASLR. Azonban ez nem jelenti azt, hogy a kiberbűnözök feladnák a küzdelmet, és legális állás után néznének. Ehelyett inkább könnyebb támadási lehetőséget keresnek. Véleményem szerint ez a DoS, azaz a szolgáltatásmegtagadás lesz. Ebből ugyanis legalább annyi pénzt kereshetnek, mint például a nulladik napi sérülékenységekhez kifejlesztett exploitok értékesítéséből" - mondta Brad Arkin.
A biztonsági igazgató megemlítette, hogy az Adobe nem mondott le azon terveiről, hogy a Reader X-ben is helyet kapó sandbox technológiát továbbfejlessze. Várhatóan ebben az évben elkészül az a változat, amely már nemcsak az írási, hanem az olvasási műveleteket is képes lesz korlátozni. Erre azért van nagy szükség, mert így nemcsak a kártékony kódok futtatása lenne nehezebb, hanem például az adatlopást is hatékonyabban lehetne meggátolni.
