"Code die al die tijd rock-solid is geweest", vertelt security-topman Brad Arkin van Adobe. Hij legt de dilemma's van het bedrijf uit in een interview met Webwereld. Adobe worstelt nog altijd met security-gaten, zero-days, patches en noodpatches. Maar dat heeft Arkin niet zijn baan gekost. Op de vraag waarom hij nog niet ontslagen is, antwoordt hij: "Ik heb in juni zelfs nog promotie gekregen." Waarop hij meteen zegt dat dat eigenlijk alleen neerkomt op de toevoeging 'senior' aan zijn titel.

Veelgebruikt is veelgeplaagd

Twee jaar terug is Arkin, toen nog security-consultant, juist aangetrokken voor de geheel nieuw geschapen post van security-hoofd binnen Adobe. Reader en Flash zijn dus maar twee delen van zijn gebied, maar vormen wel een grote werklast.

"Veel, zo'n 90 procent, van de internet-connected computers wereldwijd draait de Flash-player. Zo'n 90 procent daarvan is Windows-pc's." Arkin vertelt dat grofweg dezelfde verhoudingen gelden voor de PDF-leessoftware Reader van het bedrijf. "De Creative Suite is iets heel anders; dat wordt veel minder gebruikt. Daarom zie je ook geen aanvallen op Photoshop, omdat dat geen interessant doelwit is."

Security serieus nemen

Sinds zijn aantreden, in augustus 2008, heeft Adobe security in de eigen organisatie naar een hoger plan getild. "Mijn teams hebben veel kortere lijnen met de ceo." Daarnaast is Adobe, als een van de weinige leveranciers die geen security-producten aanbiedt, echt actief in de security- en hackerswereld.

"We bezoeken conferenties zoals Black Hat, ook met een eigen stand. En daar is niet alleen iemand als ik, maar juist onze core-engineers. En we doen mee aan security-initiatieven zoals MAPP (van Microsoft - red.) en BSIMM." Bij Microsofts MAPP-programma meldt Adobe lekken in zijn software via de Windows-producent aan diens security-partners. BSIMM is een industrie-initiatief om veiligere methodes voor software-ontwikkeling te ontwikkelen.

Sandboxing

De inmiddels opgedane kennis van en ervaring met beter ontwikkelen, werpt langzaam vruchten af. Een belangrijke daarbij is de isolatie die Adobe heeft ingebouwd in de aankomende volgende versie X (10 in het Romeins) van Reader. Die zogeheten sandboxing scheidt componenten en PDF-documenten in Reader van elkaar. Dit moet malware inperken als dat eenmaal een beveiligingsgat heeft misbruikt. Het besmetten of overnemen van de pc is dan niet meer mogelijk; daarvoor moet na succesvol misbruik van een lek ook nog eens de muur van de sandbox worden geslecht.

De sandboxing komt echter alleen voor de volgende versie, en niet voor de huidige versie 9 en voorganger 8. Laatstgenoemde is ook nog in gebruik, dus de overgang naar 10 zal ook niet in één keer rond zijn. Arkin erkent dit, hoewel hij stelt dat oudere versies nauwelijks in gebruik zijn in de consumentenmarkt. Daarvoor heeft Adobe, voor zowel Reader 9 als 8, een automatische updater geïntroduceerd. Wat juist vanwege de beveiliging is ontwikkeld.

Zakelijke markt is traag

De zakelijke markt is wel flink trager in het updaten en upgraden: "Bedrijven zijn conservatiever, die wachten soms één of twee jaar. Vaak wachten ze op versie x.1 voordat ze overstappen op een major nieuwe versie." Adobe werkt er ook samen met zakelijke gebruikers aan om de nieuwe Reader-versie zo snel en breed mogelijk in gebruik te krijgen.

Om de gratis PDF-leessoftware Reader niet te laten wachten op een latere upgrade van de betaalde PDF-bewerkingssoftware Acrobat heeft Adobe ervoor gezorgd dat de nieuwe Reader-versie goed is te gebruiken in combinatie met de vorige Acrobat-versie. "Dit wordt de snelste uptake van Reader, en Acrobat, tot op heden."

Schone lei niet mogelijk

Het inpassen van de nieuwe sandboxing-technologie in de bestaande programmacode van de vorige Reader-versies zou veel ontwikkel- en vooral testwerk kosten. Toepassing van sandboxing op de oudere code zou dermate lang duren dat er weer een volgende versie uitkomt tegen de tijd dat de 'retrofitting' klaar is. "Dat ingenieurswerk kunnen we beter besteden aan ander security-werk."

Voor versie 10 kon Adobe redelijk van begin af aan werken; aan nieuwe code. Toch zit ook daarin nog oudere code. Op de vraag of de softwareproducent niet echt met een schone lei kan beginnen, geeft Arkin eenzelfde antwoord als op de sandbox-vraag: dat duurt te lang. "Mensen vragen ons dat wel eens: of we niet overnieuw kunnen beginnen. Maar dat is niet in, zeg twee jaar te doen." Overigens is er geen sprake van sandboxing voor de ook veelgeplaagde en veelgebruikte Flash Player, stelt Adobe.

Code schragen

Arkin benadrukt dat er aan Reader X al meer ingenieurswerk is besteed, voor de beveiliging. "We hebben daarin ook 'code hardening' gepleegd; onder meer door 'bad functions' te identificeren, die uit te schakelen of er veilige alternatieven voor te ontwikkelen." Ook dat heeft veel testwerk gekost: miljoenen PDF's zijn getest, vertelt Arkin.

Daarnaast verfijnt Adobe de reeds in gebruik zijnde optie om kwaadaardige JavaScript-code te blacklisten. "Dat hebben we in oktober 2009 gelanceerd en is in december in gebruik genomen." Voor veel bedrijven is het geheel uitschakelen van JavaScript geen optie, omdat dat software en workflowprocessen 'saboteert', legt Arkin uit. De blacklisting-optie maakt het mogelijk om per api (application program interface) JavaScript-code te blokkeren, voor niet-gebruikte functies die mogelijk gevaar opleveren. "Dat kan per stuk, en is gewoon met (beheertool - red.) Windows group policy in te stellen."

Moeilijke tijden

Ondanks de vorderingen is er voorlopig geen rust voor de security-teams van Adobe. Reader X is weliswaar veiliger, maar versies 9 en 8 blijven nog ondersteund. "We ondersteunen voor Reader de huidige versie, de vorige major versie en dat dan vijf jaar vanaf het uitbrengen daarvan." Dus moeten de ontwikkelaars straks patches maken en testen voor drie verschillende versies, op verschillende (versies van) besturingssystemen, in verschillende browsers, en in diverse talen.

"Een derde major versie geeft ons 50 procent meer werk." Dat zegt Arkin uit ervaring; Adobe heeft eerder een tijd versies 7, 8 en 9 tegelijk ondersteund. De support op Reader (en Acrobat) 7 is in december vorig jaar afgelopen. In oktober 2011 verloopt de support op Reader 8. Arkin en zijn mensen kijken daar naar uit, bekent hij.