Por que devo me preocupar com a segurança do aplicativo PDF?

Transcrição

1 Por que devo me preocupar com a segurança do aplicativo PDF? O que você precisa saber para minimizar os riscos Índice 2: As falhas de programas são uma brecha para o ataque 2: Adote um software que utilize correções de sistema operacional para minimizar os riscos 3: Como avaliar a abordagem de segurança de um fornecedor 4: Segurança da família Adobe Acrobat X e testes de fornecedores independentes 5: Resumo Em um estudo realizado em 2010 em cinco países da América do Norte, EMEA e Ásia, pesquisadores do Instituto Ponemon concluíram que o custo médio decorrente de uma violação de dados para as organizações ultrapassava o valor de US$ 4 milhões, ou seja, aumento de 18% em comparação ao ano anterior. Outro estudo realizado por 45 organizações norte-americanas constatou que os crimes na Internet tiveram pelo menos um ataque bem-sucedido por semana, gerando um custo anual médio por empresa de US$ 3,8 milhões, totalizando US$ 52 milhões. Para os criminosos virtuais é cada vez mais fácil de atingir as empresas; porém, é cada vez mais difícil prendê-los ou processá-los. Atualmente, as empresas travam uma batalha contra esses criminosos, cujos objetivos são roubar dados, derrubar sistemas, destruir a reputação das empresas ou simplesmente mostrar suas habilidades de hacker. Um dos meios de ataque preferidos dos hackers também é o preferido das empresas para veicular dados, documentos e propriedade intelectual: os tipos de arquivos adotados universalmente. Com a incorporação de código malicioso nos arquivos, os criminosos tentam acessar os sistemas. O PDF tornouse um dos tipos de arquivo mais adotados em todo o mundo por ser um padrão de publicação disponível gratuitamente. Muitos desenvolvedores usam esse padrão para criar suas próprias ferramentas de PDF, o que abre ainda mais brechas para os criminosos virtuais. Como os hackers tentam explorar os pontos fracos dos programas para criação e exibição de arquivos PDF, as empresas agora precisam ter mais cuidado ao decidir qual software será usado em seus ambientes. Este white paper discute as consequências de uma violação, as medidas de segurança que você deve procurar nos aplicativos para evitar ataques e as características de um fornecedor que garantem a segurança do software. Este documento também apresenta os resultados de testes de segurança independentes para demonstrar como os softwares Adobe Acrobat X e Adobe Reader X superam as outras soluções de PDF do mercado quando se trata de proteger organizações de ataques que podem ter consequências desastrosas. Ele explica por que as empresas precisam avaliar a segurança dos aplicativos adotados para exibir e criar arquivos PDF utilizando os mesmos critérios rigorosos com que avaliam os principais aplicativos de seus negócios e fazendo as seguintes perguntas, entre outras precauções: Quais correções do sistema operacional estão inclusas no software? O software inclui medidas para evitar que uma falha seja explorada? Quais processos são utilizados (do desenvolvimento de produtos ao controle de qualidade) para solucionar as crescentes ameaças à segurança? Como o fornecedor oferece segurança sem afetar a funcionalidade? O que acontece após o lançamento? O fornecedor continua a aprimorar ativamente a segurança do produto? Qual é o nível de envolvimento do fornecedor com a comunidade de segurança mais ampla? Sem esse nível de rigor, as organizações ficam expostas a riscos extraordinários.

2 As falhas de programas são uma brecha para o ataque Um dos métodos mais comuns utilizados pelos hackers é alimentar os arquivos corrompidos de um sistema, causando uma falha nesse sistema e geralmente fazendo com que o destinatário do documento acredite que o arquivo corrompido é genuíno. As falhas interrompem e interferem na produtividade, mas sozinhas não causam grandes danos. O maior problema ocorre quando hackers tentam explorar as falhas de corrupção da memória. Se uma falha apresentar uma brecha que possa ser explorada, esses criminosos poderão inserir um código malicioso para ser executado no sistema. É isso que possibilita aos hackers roubarem dados como números de cartão de crédito, instalarem malware, excluírem arquivos ou modificarem outras informações do sistema em uma máquina que não tenha uma defesa em camadas adequada. Esse tipo de ataque não é exclusivo a arquivos PDF; há anos hackers usam essa forma de ataque em aplicativos da Web, sistemas operacionais e qualquer tipo comum de software e arquivo. O impacto causado por uma tentativa de ataque pode ser mínimo se as organizações têm o software certo. Caso contrário, as consequências podem ser desastrosas. Sua reputação e sua marca podem sofrer danos irreparáveis. Seus clientes podem perder a confiança e migrar para a concorrência. Você também pode ser legalmente responsabilizado pelas falhas e se deparar com os pesados custos de processos legais, multas e acordos. Infelizmente, esses casos extremos não são incomuns. Uma simples busca por notícias retornará inúmeras histórias de organizações que foram vítimas de falhas de segurança. Pode parecer que os hackers visam somente as organizações com mais destaque, porém, as empresas menores e as organizações governamentais são alvos cada vez mais frequentes e os hackers estão em busca de tipos específicos de dados. Adote um software que utilize correções de sistema operacional para minimizar os riscos Especialistas em segurança concordam que a melhor defesa é profunda e em camadas, pois ela oferece proteção em várias frentes, utilizando ferramentas incorporadas ao aplicativo e ao sistema operacional. Todas as correções a seguir devem estar presentes em qualquer solução de PDF que você considere adotar em sua organização. Uma solução com apenas alguns desses recursos não oferece o mesmo nível de segurança de uma que tenha uma combinação de todos eles. Área restrita em aplicativos Na área restrita, o sistema operacional cria um ambiente confinado para a execução de programas com poucos direitos ou privilégios. As áreas restritas evitam que os sistemas dos usuários sejam prejudicados por documentos não confiáveis que podem conter código executável. Esse método de controle de acesso trabalha atribuindo níveis de integridade. Um processo criado com baixa integridade é muito limitado quanto aos objetos que podem ser acessados. Outros mecanismos que são, em geral, usados para oferecer uma área restrita em aplicativo incluem tokens restritos e limites de objetos de trabalho. Prevenção à execução de dados O recurso de prevenção à execução de dados (DEP) evita que dados ou códigos perigosos sejam inseridos nos locais da memória que são considerados protegidos pelo sistema operacional Windows. O DEP realiza verificações de memória de hardware e software. Memória não executável O DEP de hardware gera uma exceção quando um código é executado em um local de memória não executável (NX). As CPUs compatíveis ativam o bit NX, marcando áreas de memória específicas como não executáveis. Tratamento de exceções com estrutura segura O recurso DEP aplicado a software verifica a veracidade das exceções lançadas em um programa para evitar que códigos maliciosos aproveitem a funcionalidade de tratamento de exceções. Isso é conhecido como SafeSEH, ou tratamento de exceções com estruturação segura. 2

3 Randomização de layout do espaço de endereço Mesmo com o DEP habilitado, a execução de código pode ocorrer por meio do redirecionamento de uma chamada de função para o endereço de uma área da memória executável no processo. Para evitar esses ataques, é possível utilizar a ASLR, ou randomização de layout do espaço de endereço. Essa técnica oculta locais de memória e de arquivos de paginação dos componentes do sistema, dificultando a localização desses componentes e protegendo-os de ataques. O Windows e o Mac OS X v10.6 usam a ASLR. Cookies de pilha O recurso de verificação de segurança do buffer (Buffer Security Check) é uma opção de compilador em que um cookie de pilha é inserido para evitar a exploração de estouros de buffer em pilha. Esse cookie que atua em todo o programa é copiado entre as variáveis locais e o endereço de retorno. O compilador adiciona o código ao prólogo e ao epílogo das funções para interromper a execução, caso o cookie seja modificado. Das 12 soluções de PDF testadas, o Adobe Reader X e o Adobe Acrobat X são as únicas que oferecem todas as cinco camadas críticas de segurança para evitar a exploração de falhas no Windows. Produtividade Área restrita Cookies de pilha NX ASLR SafeSEH Adobe Reader X Adobe Acrobat X Outros recursos de segurança O Acrobat e o Reader oferecem muitos outros recursos de correção, inclusive proteções entre domínios e whitelist e blacklist do JavaScript. As proteções entre domínios corrigem especificamente ataques com base em script entre sites, que têm prevalecido na Web. A whitelist permite que organizações habilitem o JavaScript somente para os fluxos de trabalho confiáveis; e a blacklist protege usuários de ataques direcionados a chamadas de API JavaScript específicas. Como avaliar a abordagem de segurança de um fornecedor O maior desafio enfrentado pelas equipes de TI é que a segurança é um alvo móvel. Novas ameaças surgem diariamente. Por esse motivo, ao avaliar a segurança do software PDF, é necessário considerar o que o fornecedor inclui no produto inicialmente e quais são as ações tomadas por ele para garantir a integridade da segurança do software ao longo do tempo. Manter a segurança do software sob vigilância significa testar e corrigir incessantemente defeitos de segurança enquanto desenvolve novas proteções contra um cenário de ameaças altamente volátil. Como um fornecedor deve lidar com o desenvolvimento e os testes de software? Equipes de engenharia dedicadas à segurança a segurança deve estar integrada em cada estágio do ciclo de vida do produto. Revisões proativas de segurança e código a análise e a revisão proativas de incidentes, bem como a proteção de códigos já existentes, estimulam ainda mais os aprimoramentos de segurança do aplicativo. Participação em programas de segurança líderes do setor o compartilhamento de vulnerabilidades de produtos com os provedores de software de segurança, como os fornecedores de antivírus e prevenção/detecção de invasões, permite que o setor trabalhe em conjunto para minimizar os riscos de vulnerabilidades. Como o fornecedor deve viabilizar o processo de atualização? Cronogramas previsíveis de aplicação de patches a aplicação de patches diminui a produtividade da TI e do usuário. Portanto, é uma tarefa que deve ocorrer segundo um cronograma previsível e não muito frequente, por exemplo, no mesmo dia de cada mês ou trimestre. Configuração simples pós-implantação uma solução de software deve aproveitar os benefícios das ferramentas que atuam no nível do sistema operacional, como a Política de grupo do Windows e a Property List (Lista de propriedades) do Mac OS, que facilitam os processos de modificação de configurações pós-implantação. 3

4 Suporte a ferramentas de implantação em organizações que precisam atualizar milhares de máquinas, o suporte a ferramentas de implantação é essencial. Em particular, o suporte aos mais recentes sistemas de gerenciamento de software, como Microsoft SCCM e Microsoft SCUP, pode facilitar e agilizar a atualização de software em toda a organização. Como o fornecedor deve dar suporte ao software após o lançamento? Aprimoramentos contínuos os fornecedores devem continuar trabalhando de forma proativa para tornar o software mais robusto e à prova de ataques, não apenas responder às ameaças existentes. As atualizações ocasionais devem distribuir esses aprimoramentos. Colaboração no setor é importante que os fornecedores se envolvam de forma ativa com a comunidade de segurança para ficarem a par das últimas ameaças e dos novos recursos para lidar com elas. Como o fornecedor deve responder às falhas de segurança? Transparência os fornecedores devem estar disponíveis para lidar com problemas de segurança e mostrar as medidas que estão sendo tomadas para tornar o software mais robusto. Os fornecedores que levam a segurança a sério publicam e respondem proativamente às ameaças, também conhecidas como exposições e vulnerabilidades comuns, em bancos de dados internacionalmente reconhecidos, como o National Vulnerability Database. A falta de divulgação de vulnerabilidades não significa que um produto não possa ser explorado por hackers. Isso pode indicar que o fornecedor que lançou o produto não adota uma abordagem produtiva para lidar com a segurança. Segurança da família Adobe Acrobat X e testes de fornecedores independentes A engenharia do Acrobat X e Reader X considera toda a segurança e incorpora técnicas de segurança líderes do setor. Os produtos Adobe superam outras soluções de PDF nos testes de segurança Em dezembro de 2011, a empresa de consultoria de segurança de terceiros isec realizou um teste de comparação de produtos em 12 soluções para exibir, criar ou editar documentos PDF. O resultado foi publicado no relatório PDF Product Comparison (Comparação entre produtos de PDF). Os responsáveis pelos testes incluíram em cada produto o mesmo conjunto de arquivos intencionalmente corrompidos para tentar induzir falhas. Quando ocorriam falhas, elas eram automaticamente classificadas como exploráveis ou não exploráveis. Mesmo em casos pouco comuns, em que o teste pode ser realizado para causar uma falha, nenhuma falha do Reader X ou do Acrobat X foi classificada como explorável. Só foi possível induzir o Reader X e o Acrobat X a falhar 7 e 13 vezes, respectivamente. Em comparação, outros leitores de PDF falharam até 134 vezes e outros gravadores de PDF, 132 vezes, em um grande volume de arquivos PDF de teste. Os responsáveis pelos testes atribuíram esse resultado de zero falhas exploráveis a um conjunto completo de correções do sistema operacional e defesas em camada encontradas no Reader X e no Acrobat X, inclusive área restrita de aplicativo, memória NX, ASLR, SafeSEH e cookies em pilha. Por outro lado, alguns leitores de PDF testados sem essas correções do sistema operacional tiveram até 16 falhas exploráveis, e alguns gravadores de PDF tiveram até 22 falhas exploráveis. Em testes de fornecedores independentes, o Reader X e o Acrobat X não tiveram nenhuma falha explorável depois da inclusão de arquivos corrompidos. Recursos como a área restrita evitam a exploração das falhas. Solução Número de falhas exploráveis Adobe Reader X 0 Adobe Acrobat X 0 4

5 A Adobe investe em segurança e reduz as atualizações de segurança fora de banda Os aprimoramentos de segurança fazem parte dos extensos investimentos da Adobe em engenharia para ajudar a proteger a família de produtos Adobe contra ameaças atuais e emergentes. Com o fortalecimento contínuo do software contra tentativas de ataque, a Adobe pode ajudar a reduzir ou até mesmo eliminar a necessidade de atualizações de segurança fora de banda e diminuir a urgência de atualizações agendadas regularmente. Dessa forma, é possível aumentar a flexibilidade operacional e reduzir o custo total de propriedade, principalmente em grandes ambientes que requerem a mais alta segurança. Quando os patches são lançados, a integração da Adobe com as principais ferramentas de gerenciamento ajuda a garantir que os desktops gerenciados com Windows tenham sempre os patches e as atualizações de segurança mais recentes, e que os patches propriamente ditos sejam rápidos e simples. Resumo Já que arquivos PDF podem ser usados para ataques, as ferramentas PDF com menor custo de licenciamento e implantação, sem critérios cuidadosos de segurança, são coisas do passado. Quando a reputação e a sobrevivência de uma organização dependem da capacidade de suas defesas de segurança resistir a ataques repetidos, é fundamental que os fornecedores de aplicativos tenham o mais alto padrão de segurança. A Adobe oferece extensas correções que ajudam a impedir os ataques de atingirem seu alvo: Inovação tecnológica para a área restrita Whitelist e blacklist JavaScript Acesso entre domínios desabilitado Recursos de patches simplificados Ferramentas aprimoradas de implantação e administração A Adobe investe continuamente em seus produtos por muito tempo após o lançamento para torná-los ainda mais robustos, dando aos seus clientes a certeza de que suas medidas de segurança sempre se adaptarão à dinâmica do cenário de ameaças. Adobe Systems Incorporated 345 Park Avenue San Jose, CA USA Adobe, o logotipo da Adobe, Acrobat e Reader são marcas registradas ou comerciais da Adobe Systems Incorporated nos Estados Unidos e/ou em outros países. Mac OS é uma marca comercial da Apple Inc., registrada nos Estados Unidos e em outros países. Windows é marca registrada ou comercial da Microsoft Corporation nos Estados Unidos e/ou em outros países. Todas as outras marcas comerciais são de propriedade de seus respectivos proprietários Adobe Systems Incorporated. All rights reserved. Printed in Brazil. 1/12