"Er is een verschuiving in het threat-landschap: applicaties, zoals die van Adobe, worden feller en sneller aangevallen. Er komen meer zero-days", erkent Arkin ronduit. In de praktijk heeft Adobe niet alleen een slechte reputatie voor de vele lekken in zijn software, maar ook voor de soms lange ontwikkeltijd van patches. Het bedrijf heeft allang beterschap beloofd en Arkin legt uit waarom dat niet zomaar even is gebeurd.

Advies: mijden

De PDF- en Flash-software van Adobe is afgelopen zomer al afgeraden voor zakelijk gebruik. Die waarschuwing de veelgehackte software te mijden, kwam van de onafhankelijke security-instantie SANS Institute. "Ik denk dat organisaties Adobe moeten vermijden als het ook maar enigszins mogelijk is", stelde president Stephen Nortcutt van het SANS Technology Institute. Een andere optie is het gebruik van Adobe's programmatuur zoveel mogelijk te beperken.

De geplaagde softwareleverancier reageerde eerst sussend tegenover Webwereld. Het gros van zijn software wordt niet geraakt door de security-problemen met PDF en Flash, luidde de verklaring. Later krijgt Webwereld van Arkin een kijkje in de keuken.

Hij is sinds augustus 2008 bij Adobe als directeur verantwoordelijk voor product security en privacy. Dat komt in de praktijk neer op leiding geven aan de it securitygroep van Adobe, die is onderverdeeld in twee groepen: het Adobe Secure Software Engineering Team (ASSET) en het Product Security Incident Response Team (PSIRT). Eerstgenoemde moet de Adobe-code bewaken, terwijl het tweede team snel moet reageren op lekken en exploits daarvoor.

Serverimpact

"We doen ons best, maar moeten ook aandacht hebben voor serversoftware, voor de datatoegang en de workflow van bedrijven." Hij verwijst daarmee naar de zakelijke software die Adobe levert en waar de veel gehackte PDF Reader en Flash-player op aanhaken. Wijzigen van de clientsoftware heeft gevolgen - voor de code in en de aansluiting op - de serversoftware.

De security-topman van Adobe stelt dat er sinds begin dit jaar wel verbeteringen zijn doorgevoerd. "We hadden toen veel moeite met security; een patch kwam niet zo snel uit als we wilden." Door de lange ontwikkeltijd in februari voor een patch, waar sommigen toen niet op wilden wachten, heeft Adobe het ontwikkelproces herzien.

'We waren traag'

"We deden er te lang over. De oorzaak daarvan zit in de historie van Adobe-software. De reguliere ontwikkel- en releasecyclus was lang; 9 tot 12 maanden. En dan kwamen er nog alle talen plus de verschillende platformen en de verschillende Windows-versies", somt Arkin op. "De focus lag niet op snelheid, maar op 'het correct doen'."

Arkin verschuilt zich niet achter de complexiteit van lekken of patches. "De meeste bugs zijn, op code-level, relatief klein. Dus de fix ook. Maar je hebt het risico van complexe bugs." Exploits daarentegen zijn vaak wel complex. "Dat komt ook door de 'beperkende maatregelen' die wij inbouwen in onze software." Voor sommige exploits moeten malwaremakers "door wel 5 hoepels springen".

Meest gehackt

Die moeite is het echter wel waard. Het grote aantal gebruikers speelt daarbij een rol, geeft Arkin aan. "Flash en de PDF Reader zijn de meestgebruikte software ter wereld. Het gebruik is groter dan dat van Windows." Beide Adobe-applicaties draaien immers ook op Mac OS X en Linux en staan zo volgens Adobe op praktisch elke computer. Arkin legt uit dat die platformonafhankelijkheid de aantrekkelijkheid van het doelwit voor malwaremakers verhoogt.

Daarmee scoort Adobe hoog in de diverse ranglijsten voor securityproblemen, zoals de top 20 van het SANS Institute en nu ook de eindejaarslijst van securityleverancier Bit9. Laatstgenoemde roept Adobe-software uit tot de meest lekke van 2009. Die lijst op basis van officieel erkende kwetsbaarheden is wel enigszins omstreden, meldt Security.nl. Zo ontbreekt Microsoft-software omdat Bit9 als criterium hanteert dat eindgebruikers patches zelf moeten installeren.

Bedankt Microsoft

Adobe heeft die dubieuze eer niet alleen aan zichzelf te danken. Een kwestie die de leverancier dit jaar ook parten heeft gespeeld, is het lek in de ATL-library van Microsoft. Dat gat in ontwikkelcode van de Windows-leverancier bleek vele andere applicaties te raken, waaronder die van Adobe.

"Wij hebben op 10 juli van dat lek gehoord van Microsoft. We wisten toen niet welke producten dat raakte. Dus moesten we ons hele productportfolio, van zo'n 200 applicaties, bekijken of het gat daarin zat." Arkin vertelt dat Adobe op vrijdag al wel 100 applicaties kon uitsluiten en dat er maandag nog 2 of 3 dozijn 'verdachte producten' over waren. "Ik had toen eigenlijk vakantie. Mijn vrouw was niet blij."

Hij benadrukt dat security-ontwikkelaars van Microsoft toen 24 uur per dag, 7 dagen in de week, bereikbaar waren. "Uiteindelijk bleek de ATL-bug slechts 2 producten te raken: Shockware en Flash." Dus wel weer van die veelgebruikte consumentensoftware van Adobe. Arkin vertelt dat die respectievelijk op 23 en 30 juli zijn gepatcht. "Microsoft heeft de bug op 28 juli publiekelijk bekend gemaakt."

Sneller patch maken

"Het is sinds begin dit jaar flink verbeterd. We hebben sindsdien ook een paar keer kunnen oefenen." Arkin claimt dat Adobe nu een 'turnaround' heeft van 15 dagen; dus er net iets meer dan 2 weken over doet om een patch te ontwikkelen en te testen na de eerste valide melding daarvan. In juli dit jaar is Adobe al in het hemd gezet toen bleek dat een kritiek lek in Flash al 7 maanden bekend was bij het bedrijf.

De flink aangetrokken 'turnaround' betekent echter niet dat een patch ook altijd meteen uitkomt na het verstrijken van die periode. Naast het nu omgegooide interne ontwikkelproces heeft Adobe nog te maken met de veelheid aan uitvoeringen, maar ook versies van zijn software.

"Voor Flash ondersteunen we de huidige plus de vorige versie. Voor de PDF Reader en Acrobat loopt de support voor 2 'grote' versies plus dan 5 jaar." Dat heeft te maken met het gebruik door grote bedrijven, die niet zomaar upgraden. "De support voor Reader en Acrobat versie 7 verloopt eind dit jaar", verzucht Arkin. Voor Adobe is die software vergelijkbaar met Internet Explorer 6 voor Microsoft; oud en complex om te ondersteunen, maar nog altijd in gebruik.

Volgende zero-day

Maar het leed is nog niet geleden. Midden deze maand is er een nieuw gat ontdekt. Eentje waarvoor nog geen patch is, waardoor het dus een zero-day gat is. Adobe werkt aan een patch en brengt die komende maand uit, in zijn reguliere patchronde. Het misbruik van dit nieuwe lek zou nog niet breed aan de orde zijn.

Bovendien, zo blogt Arkin, zou het versneld ontwikkelen en uitbrengen van een patch voor dit beveilingsgat uitstel betekenen voor andere patches die Adobe nu maakt. En dat heeft het bedrijf al eerder meegemaakt. Twee noodpatches in juli hebben de geplande patchronde van september een maand opgeschort.

Nieuwe updatetool

Maar er zijn stappen om de beveiliging beter en vooral geautomatiseerd aan te pakken. Adobe heeft in oktober samen met patches een automatische updatetool meegeleverd in de patchronde van dit kwartaal. Die updater staat nog niet aan, maar dat gebeurt volgens plan in januari wanneer de definitieve versie meegaat in de volgende ronde patches, meldt Arkin aan Webwereld.

Een goed voornemen voor het nieuwe jaar. Of deze stappen in 2010 Adobe in staat stellen de slechte security-reputatie van zich af te schudden, moet nog blijken. De malwaremakers zitten ook niet stil.