Perché è consigliabile preoccuparsi della sicurezza delle applicazioni PDF?

Transcript

1 Perché è consigliabile preoccuparsi della sicurezza delle applicazioni PDF? Informazioni essenziali per ridurre al minimo i rischi Sommario 2: Opportunità di attacco generate dall arresto anomalo dei programmi 2: Importanza di cercare software che sfruttino appieno le misure di prevenzione del sistema operativo per ridurre i rischi 3: Come valutare l approccio alla sicurezza di un fornitore 4: Sicurezza della famiglia di prodotti Adobe Acrobat X e risultati dei test condotti da terze parti indipendenti 5: Riepilogo Nell ambito di uno studio condotto nel 2010 in cinque paesi del Nord America, dell area EMEA e dell Asia, i ricercatori del Ponemon Institute hanno riscontrato che il costo organizzativo medio di una violazione dei dati aveva raggiunto i 4 milioni di dollari, con un aumento del 18% rispetto all anno precedente. Un altro studio, condotto su 45 organizzazioni con sede negli Stati Uniti, ha riscontrato che la criminalità informatica ha completato con successo circa un attacco ogni settimana, pari a un costo medio annuo di 3,8 milioni di dollari all anno per azienda, fino a raggiungere i 52 milioni di dollari. Le aziende stanno diventando un bersaglio più facilmente accessibile per i criminali informatici, ma arrestare e perseguire questi soggetti non è altrettanto semplice. Oggi le aziende devono fronteggiare agguerriti aggressori informatici determinati a rubare dati, provocare arresti anomali dei sistemi e danneggiare la loro reputazione oppure semplicemente intenzionati a mettere in mostra le proprie abilità di intrusione. Uno dei veicoli di attacco preferiti dagli hacker corrisponde al veicolo preferito dalle aziende per la gestione dei dati, dei documenti e della proprietà intellettuale: i tipi di file universalmente adottati. Incorporando codice dannoso nei file, gli aggressori tentano di ottenere accesso ai sistemi. Il formato PDF è diventato uno di questi tipi di file universalmente adottati, grazie al fatto che si tratta di uno standard riconosciuto e disponibile gratuitamente. Molti sviluppatori hanno utilizzato questo standard per creare i propri strumenti PDF, offrendo una grande opportunità ai criminali informatici. Dal momento che gli hacker tentano di sfruttare i punti deboli dei programmi per la creazione e visualizzazione di file PDF, le aziende oggi sono tenute a prestare estrema attenzione nel momento in cui scelgono il software da introdurre nel proprio ambiente. Questo documento tecnico analizza le conseguenze di una violazione, le misure di sicurezza delle applicazioni che è necessario individuare per prevenire gli attacchi e le caratteristiche del fornitore per un software sicuro. Inoltre, vengono presentati i risultati di alcuni test di sicurezza condotti da terze parti, a dimostrazione del fatto che Adobe Acrobat X e Adobe Reader X offrono prestazioni migliori rispetto ad altre soluzioni PDF presenti sul mercato per quanto riguarda la protezione delle organizzazioni da attacchi che potrebbero provocare conseguenze disastrose. Nel documento vengono illustrati i motivi per cui le aziende devono valutare la sicurezza delle applicazioni utilizzate per la creazione e visualizzazione di file PDF con la stessa meticolosità adottata nella valutazione delle principali applicazioni business-critical. Tra le altre cose, è necessario porsi le seguenti domande: Quali sono le misure di prevenzione del sistema operativo integrate nel software? Il software include misure che impediscano di sfruttare un arresto anomalo? Quali tipi di processi vengono applicati, dallo sviluppo del prodotto al QA, per affrontare le minacce alla sicurezza in costante evoluzione? Il fornitore come garantisce la sicurezza senza sacrificare la funzionalità? Cosa succede dopo il rilascio? Il fornitore continua a migliorare la sicurezza del prodotto in modo attivo? Qual è il livello di coinvolgimento del fornitore nella community globale dedicata alla sicurezza? In assenza di un tale livello di controllo, le organizzazioni si espongono a notevoli rischi.

2 Opportunità di attacco generate dall arresto anomalo dei programmi Uno degli approcci maggiormente adottati dagli hacker consiste nel fornire al sistema file corrotti che ne causano l arresto anomalo, generalmente facendo credere al destinatario di un documento che un file corrotto sia autentico. Gli arresti anomali sono fattori di disturbo e interferiscono con la produttività, ma di per sé non sono altamente distruttivi. Il problema maggiore si presenta quando gli aggressori tentano di sfruttare i difetti dovuti alla corruzione della memoria. Se un arresto anomalo offre un apertura sfruttabile con successo, gli aggressori possono inserire codice dannoso da eseguire nel sistema e potranno quindi rubare dati quali numeri di carte di credito, installare malware, eliminare file o modificare altre informazioni di sistema su un computer che non dispone di un adeguata difesa a più livelli. Questo genere di attacco non interessa esclusivamente il tipo di file PDF, considerato che per anni è stato utilizzato dagli hacker contro applicazioni web, sistemi operativi e qualsiasi software e tipo di file comune. Un tentativo di attacco può avere un impatto minimo se le organizzazioni dispongono di software adeguati. In caso contrario, le conseguenze possono essere disastrose, con danni irreparabili alla propria reputazione e al marchio. I clienti possono perdere la fiducia e rivolgersi alla concorrenza e l azienda può persino essere considerata legalmente responsabile per eventuali violazioni e dover sostenere notevoli costi per spese di giustizia, multe disciplinari e liquidazioni. Sfortunatamente, questi scenari estremi non sono inusuali. Una semplice ricerca nelle notizie di un giorno qualsiasi rivelerà numerosi casi di organizzazioni che hanno subito violazioni della sicurezza. Potrebbe sembrare che nel mirino degli aggressori siano solo le organizzazioni più conosciute, ma anche le aziende di dimensioni più piccole e gli enti pubblici vengono attaccati sempre più spesso e gli hacker puntano a tipi di dati specifici. Importanza di cercare software che sfruttino appieno le misure di prevenzione del sistema operativo per ridurre i rischi Gli esperti di sicurezza ritengono che la soluzione migliore sia costituita da una difesa dettagliata a più livelli, che garantisce una protezione su più fronti attraverso strumenti integrati sia nell applicazione sia nel sistema operativo. Qualsiasi soluzione PDF presa in considerazione per la propria organizzazione deve presentare tutte le misure di prevenzione elencate di seguito. Una soluzione che include solo alcune di queste funzionalità non garantisce il livello di sicurezza offerto dalla combinazione di tutte queste funzionalità. Sandbox dell applicazione Grazie al sandboxing, il sistema operativo crea un ambiente dedicato in cui eseguire i programmi caratterizzati da un basso livello di diritti o privilegi. I processi di sandboxing proteggono i sistemi degli utenti dai danni provocati da documenti non affidabili che potrebbero contenere codice eseguibile. Questo metodo di controllo degli accessi funziona mediante l assegnazione di livelli di integrità. Se un processo viene creato con un livello di integrità basso, vi saranno forti restrizioni agli oggetti accessibili. Altri meccanismi frequentemente utilizzati per fornire all applicazione un sistema di sandboxing includono i token di accesso con restrizioni e i limiti dell oggetto operazione. Criteri di Protezione esecuzione programmi I criteri di Protezione esecuzione programmi impediscono l introduzione di dati o codice dannoso nelle posizioni di memoria definite come protette dal sistema operativo Windows e offrono controlli della memoria a livello di hardware e software. Memoria non eseguibile I criteri di Protezione esecuzione programmi applicati a livello di hardware generano un eccezione quando viene eseguito del codice da una posizione di memoria non eseguibile (NX). Le CPU supportate eseguono questa operazione abilitando il bit NX, che contrassegna determinate regioni di memoria come non eseguibili. Gestione sicura delle eccezioni tramite SafeSEH I criteri di Protezione esecuzione programmi applicati a livello di software verificano la validità delle eccezioni generate in un programma per evitare che il codice dannoso possa sfruttare la funzionalità di gestione delle eccezioni: si tratta dei gestori sicuri SafeSEH (Safe Structured Exception Handling). 2

3 Funzionalità ASLR (Address Space Layout Randomization) Anche se i criteri di Protezione esecuzione programmi sono abilitati, è comunque possibile eseguire codice reindirizzando una chiamata di funzione all indirizzo di un area di memoria eseguibile nel processo. Per impedire tali attacchi, è possibile utilizzare la funzionalità ASLR (Address Space Layout Randomization). Questa tecnica nasconde la memoria e le posizioni del file di paging dei componenti di sistema, ostacolando l individuazione di tali componenti da parte degli aggressori. Sia Windows che Mac OS X v utilizzano il sistema ASLR. Cookie di sicurezza Il Controllo protezione buffer è un opzione del compilatore che consente di inserire un cookie nello stack allo scopo di impedire lo sfruttamento dei sovraccarichi di un buffer basato su stack. Questo cookie a livello di programma viene copiato tra le variabili locali e l indirizzo di ritorno. Successivamente, il compilatore aggiunge il codice al prologo e all epilogo delle funzioni per bloccarne l esecuzione qualora il cookie venga modificato. Delle 12 soluzioni PDF testate, solo Adobe Reader X e Adobe Acrobat X offrono tutti e cinque i livelli critici di protezione per impedire lo sfruttamento di un arresto anomalo su Windows. Produttività Sandbox Cookie di sicurezza NX ASLR SafeSEH Adobe Reader X Adobe Acrobat X Ulteriori funzionalità di sicurezza Acrobat e Reader offrono molte altre funzionalità preventive, tra cui le protezioni tra domini e la possibilità di creare whitelist e blacklist per JavaScript. Le protezioni tra domini rappresentano una prevenzione specifica contro gli attacchi basati su cross-scripting, fenomeno in costante aumento nel web. La creazione di whitelist offre alle organizzazioni la possibilità di abilitare JavaScript solo per i propri flussi di lavoro affidabili, mentre la creazione di blacklist protegge gli utenti da attacchi rivolti a chiamate API JavaScript specifiche. Come valutare l approccio alla sicurezza di un fornitore Il problema principale che i team IT devono affrontare è costituito dal fatto che la sicurezza è un bersaglio mobile. Considerato che ogni giorno insorgono nuove minacce, quando si valuta la sicurezza dei software PDF è necessario esaminare sia le caratteristiche integrate nel prodotto iniziale dal fornitore sia il modo in cui il fornitore garantisce una protezione affidabile del software nel tempo. Prestare attenzione alla sicurezza del software significa testarne e correggerne i difetti senza sosta, sviluppando allo stesso tempo nuove protezioni per difendersi in un panorama di minacce in rapida evoluzione. Il fornitore come deve affrontare lo sviluppo e il testing dei software? Team tecnici dedicati alla sicurezza: l integrazione delle misure di sicurezza deve caratterizzare ogni fase del ciclo di vita del prodotto. Controlli proattivi sulla sicurezza e sul codice: l analisi e il controllo delle richieste di supporto, nonché il rafforzamento del codice esistente, costituiscono un ulteriore incentivo per il miglioramento delle applicazioni a livello di sicurezza. Partecipazione a programmi di sicurezza leader di settore: la condivisione avanzata delle informazioni sulle vulnerabilità dei prodotti con i fornitori di applicazioni software per la protezione, quali antivirus, strumenti di rilevamento delle intrusioni e tecnologie di prevenzione, consente al settore di collaborare alla riduzione del rischio di vulnerabilità. Il fornitore come deve supportare il processo di aggiornamento? Rilascio di patch pianificato: poiché il rilascio di patch diminuisce la produttività dei tecnici informatici e dell utente finale, è necessario pianificare tale attività con cadenza regolare e non troppo frequente, ad esempio scegliendo un giorno prestabilito di ogni mese o trimestre. Facile configurazione dopo l implementazione: le soluzioni software devono sfruttare gli strumenti a livello di sistema operativo, ad esempio i Criteri di gruppo in Windows e l Elenco proprietà in Mac OS, che semplificano le procedure di modifica delle impostazioni dopo l implementazione. 3

4 Supporto per strumenti di implementazione: per le organizzazioni che devono aggiornare migliaia di computer, il supporto per strumenti di implementazione è di fondamentale importanza. In particolare, il supporto per i più recenti sistemi di gestione software, ad esempio Microsoft System Center Configuration Manager (SCCM) e Microsoft System Center Updates Publisher (SCUP), può rendere più semplice ed efficiente l aggiornamento dei software all interno dell organizzazione. Il fornitore come deve supportare il software dopo il rilascio? Miglioramenti continui: i fornitori devono continuare a lavorare in modo proattivo per rendere il software più affidabile e immune agli attacchi, piuttosto che limitarsi a rispondere alle minacce esistenti. I miglioramenti devono essere distribuiti mediante aggiornamenti occasionali. Collaborazione nel settore: è importante che i fornitori siano coinvolti in modo attivo nella community dedicata alla sicurezza per mantenersi aggiornati sulle minacce più recenti e sulle tecniche innovative per fronteggiarle. Il fornitore come deve comportarsi con i bug di sicurezza? Trasparenza: i fornitori devono rendere noti i problemi di sicurezza e le misure adottate per rendere il proprio software più affidabile. I fornitori che affrontano seriamente la questione della sicurezza pubblicano le minacce, denominate anche Common Vulnerabilities and Exposures, e forniscono le relative soluzioni in database riconosciuti a livello internazionale come il National Vulnerability Database. La mancata comunicazione di eventuali vulnerabilità non implica che il prodotto non possa essere sfruttato dagli hacker. Al contrario, tale comportamento potrebbe essere sintomatico dell errato approccio alla sicurezza da parte del fornitore che ha rilasciato il prodotto. Sicurezza della famiglia di prodotti Adobe Acrobat X e risultati dei test condotti da terze parti indipendenti Progettati con particolare attenzione alla sicurezza, Acrobat X e Reader X includono tecniche di sicurezza leader di settore. Adobe supera altre soluzioni PDF nei test di sicurezza Nel mese di dicembre 2011, la società di consulenza sulla sicurezza isec ha condotto una serie di test per l analisi comparativa di 12 soluzioni per la visualizzazione, la creazione o la modifica di documenti PDF. Tale analisi è stata pubblicata nella relazione intitolata PDF Product Comparison (Confronto di prodotti PDF). I tester hanno sottoposto a ciascun prodotto il medesimo gruppo di file volutamente corrotti, allo scopo di provocare malfunzionamenti. I conseguenti arresti anomali sono stati classificati automaticamente come sfruttabili o non sfruttabili. Nelle rare occasioni in cui il test ha provocato l arresto anomalo di Reader X o Acrobat X, non si è verificato alcun caso classificato come sfruttabile. Reader X e Acrobat X hanno subito, rispettivamente, solo 7 e 13 arresti anomali univoci. A confronto, altri lettori di PDF hanno subito fino a 134 arresti anomali univoci, mentre altre applicazioni di scrittura in PDF ne hanno subiti fino a 132 nell ambito di un ampio corpus di file PDF di prova. I tester hanno attribuito il risultato di Reader X e Acrobat X, pari a nessun arresto anomalo sfruttabile, alla presenza di un insieme completo di misure di prevenzione del sistema operativo e difese a più livelli, tra cui l utilizzo di sandbox, la memoria non eseguibile, la funzionalità ASLR, i gestori sicuri SafeSEH e i cookie di sicurezza. Dall altro lato, alcuni lettori di PDF in cui non erano presenti tali misure di prevenzione del sistema operativo hanno subito fino a 16 arresti anomali sfruttabili, mentre alcune applicazioni di scrittura in PDF ne hanno subiti ben 22. Nei test condotti da terze parti indipendenti, Reader X e Acrobat X hanno subito 0 arresti anomali sfruttabili a seguito della ricezione di file corrotti. Le funzionalità di sicurezza, quali l utilizzo di sandbox, impediscono di sfruttare eventuali arresti anomali di queste applicazioni. Soluzione Numero di arresti anomali sfruttabili Adobe Reader X 0 Adobe Acrobat X 0 4

5 Adobe investe nella sicurezza e riduce gli aggiornamenti di sicurezza fuori banda I miglioramenti in termini di sicurezza fanno parte degli enormi investimenti a livello di engineering effettuati da Adobe per rafforzare la famiglia di prodotti Acrobat nei confronti di minacce attuali e future. Rendendo il software sempre più resistente ai tentativi di attacco, Adobe può ridurre, se non eliminare, la necessità di aggiornamenti di sicurezza fuori banda e limitare l urgenza di aggiornamenti a intervalli regolari. Ciò consente di incrementare la flessibilità operativa e di diminuire il costo totale di proprietà, in particolare negli ambienti di grandi dimensioni con elevati requisiti di garanzia in materia di sicurezza. Quando le patch vengono rese disponibili, l integrazione di Adobe con i principali strumenti di gestione fa sì che i desktop Windows gestiti dall utente dispongano sempre delle versioni più recenti di aggiornamenti e patch di sicurezza, e che le patch stesse siano semplici e veloci da applicare. Riepilogo Poiché il tipo di file PDF può essere utilizzato per generare attacchi, è finita da tempo l era in cui era possibile acquistare e implementare lo strumento PDF che costava meno, senza controllarne attentamente gli aspetti di sicurezza. Quando la reputazione e la permanenza sul mercato di un azienda dipendono dalla solidità dimostrata dalle difese per la sicurezza a fronte di attacchi ripetuti, è fondamentale esigere standard superiori da parte dei fornitori delle applicazioni. Adobe offre un ampia gamma di misure di prevenzione per impedire che eventuali attacchi vadano a buon fine: Tecnologia di sandboxing all avanguardia Creazione di whitelist e blacklist per JavaScript Accesso disabilitato tra domini diversi Funzionalità di correzione ottimizzate Strumenti di implementazione e amministrazione migliorati Inoltre, Adobe continua a investire nei propri prodotti anche dopo il rilascio, per renderli sempre più affidabili, garantendo ai clienti che le misure di sicurezza verranno costantemente adattate al panorama di minacce in continua evoluzione. Adobe Systems Incorporated 345 Park Avenue San Jose, CA USA Adobe, the Adobe logo, Acrobat, and Reader are either registered trademarks or trademarks of Adobe Systems Incorporated in the United States and/or other countries. Mac OS is a trademark of Apple Inc., registered in the U.S. and other countries. Windows is either a registered trademark or a trademark of Microsoft Corporation in the United States and/or other countries. All other trademarks are the property of their respective owners Adobe Systems Incorporated. All rights reserved. Printed in Italy. 1/12