Segurança do Adobe Acrobat e Reader White paper
Por que devo me preocupar com a segurança
do aplicativo PDF?
O que você precisa saber para minimizar os riscos
Índice
2: A s falhas de programas
são uma brecha para
o ataque
2:Adote um software que
utilize correções de
sistema operacional para
minimizar os riscos
3: Como avaliar a
abordagem de segurança
de um fornecedor
4: Segurança da família
Adobe Acrobat X e
testes de fornecedores
independentes
5: Resumo
Em um estudo realizado em 2010 em cinco países da América do Norte, EMEA e Ásia, pesquisadores
do Instituto Ponemon concluíram que o custo médio decorrente de uma violação de dados para as
organizações ultrapassava o valor de US$ 4 milhões, ou seja, aumento de 18% em comparação ao ano
anterior. Outro estudo realizado por 45 organizações norte-americanas constatou que os crimes na
Internet tiveram pelo menos um ataque bem-sucedido por semana, gerando um custo anual médio por
empresa de US$ 3,8 milhões, totalizando US$ 52 milhões. Para os criminosos virtuais é cada vez mais fácil
de atingir as empresas; porém, é cada vez mais difícil prendê-los ou processá-los. Atualmente, as
empresas travam uma batalha contra esses criminosos, cujos objetivos são roubar dados, derrubar
sistemas, destruir a reputação das empresas ou simplesmente mostrar suas habilidades de hacker.
Um dos meios de ataque preferidos dos hackers também é o preferido das empresas para veicular dados,
documentos e propriedade intelectual: os tipos de arquivos adotados universalmente. Com a
incorporação de código malicioso nos arquivos, os criminosos tentam acessar os sistemas. O PDF tornouse um dos tipos de arquivo mais adotados em todo o mundo por ser um padrão de publicação disponível
gratuitamente. Muitos desenvolvedores usam esse padrão para criar suas próprias ferramentas de PDF,
o que abre ainda mais brechas para os criminosos virtuais. Como os hackers tentam explorar os pontos
fracos dos programas para criação e exibição de arquivos PDF, as empresas agora precisam ter mais
cuidado ao decidir qual software será usado em seus ambientes.
Este white paper discute as consequências de uma violação, as medidas de segurança que você deve
procurar nos aplicativos para evitar ataques e as características de um fornecedor que garantem a
segurança do software. Este documento também apresenta os resultados de testes de segurança
independentes para demonstrar como os softwares Adobe® Acrobat® X e Adobe Reader® X superam as
outras soluções de PDF do mercado quando se trata de proteger organizações de ataques que podem ter
consequências desastrosas. Ele explica por que as empresas precisam avaliar a segurança dos aplicativos
adotados para exibir e criar arquivos PDF utilizando os mesmos critérios rigorosos com que avaliam os
principais aplicativos de seus negócios e fazendo as seguintes perguntas, entre outras precauções:
• Quais correções do sistema operacional estão inclusas no software? O software inclui medidas para
evitar que uma falha seja explorada?
• Quais processos são utilizados (do desenvolvimento de produtos ao controle de qualidade) para
solucionar as crescentes ameaças à segurança?
• Como o fornecedor oferece segurança sem afetar a funcionalidade?
• O que acontece após o lançamento? O fornecedor continua a aprimorar ativamente a segurança
do produto?
• Qual é o nível de envolvimento do fornecedor com a comunidade de segurança mais ampla?
Sem esse nível de rigor, as organizações ficam expostas a riscos extraordinários.
As falhas de programas são uma brecha para o ataque
Um dos métodos mais comuns utilizados pelos hackers é alimentar os arquivos corrompidos de um
sistema, causando uma falha nesse sistema e geralmente fazendo com que o destinatário do documento
acredite que o arquivo corrompido é genuíno. As falhas interrompem e interferem na produtividade, mas
sozinhas não causam grandes danos. O maior problema ocorre quando hackers tentam explorar as falhas
de corrupção da memória. Se uma falha apresentar uma brecha que possa ser explorada, esses criminosos
poderão inserir um código malicioso para ser executado no sistema. É isso que possibilita aos hackers
roubarem dados como números de cartão de crédito, instalarem malware, excluírem arquivos ou
modificarem outras informações do sistema em uma máquina que não tenha uma defesa em camadas
adequada. Esse tipo de ataque não é exclusivo a arquivos PDF; há anos hackers usam essa forma de
ataque em aplicativos da Web, sistemas operacionais e qualquer tipo comum de software e arquivo.
O impacto causado por uma tentativa de ataque pode ser mínimo se as organizações têm o software
certo. Caso contrário, as consequências podem ser desastrosas. Sua reputação e sua marca podem sofrer
danos irreparáveis. Seus clientes podem perder a confiança e migrar para a concorrência. Você também
pode ser legalmente responsabilizado pelas falhas e se deparar com os pesados custos de processos
legais, multas e acordos.
Infelizmente, esses casos extremos não são incomuns. Uma simples busca por notícias retornará
inúmeras histórias de organizações que foram vítimas de falhas de segurança. Pode parecer que os
hackers visam somente as organizações com mais destaque, porém, as empresas menores e as
organizações governamentais são alvos cada vez mais frequentes e os hackers estão em busca de tipos
específicos de dados.
Adote um software que utilize correções de sistema operacional para
minimizar os riscos
Especialistas em segurança concordam que a melhor defesa é profunda e em camadas, pois ela oferece
proteção em várias frentes, utilizando ferramentas incorporadas ao aplicativo e ao sistema operacional.
Todas as correções a seguir devem estar presentes em qualquer solução de PDF que você considere
adotar em sua organização. Uma solução com apenas alguns desses recursos não oferece o mesmo
nível de segurança de uma que tenha uma combinação de todos eles.
Área restrita em aplicativos
Na área restrita, o sistema operacional cria um ambiente confinado para a execução de programas com
poucos direitos ou privilégios. As áreas restritas evitam que os sistemas dos usuários sejam prejudicados
por documentos não confiáveis que podem conter código executável. Esse método de controle de acesso
trabalha atribuindo níveis de integridade. Um processo criado com baixa integridade é muito limitado
quanto aos objetos que podem ser acessados. Outros mecanismos que são, em geral, usados para oferecer
uma área restrita em aplicativo incluem tokens restritos e limites de objetos de trabalho.
Prevenção à execução de dados
O recurso de prevenção à execução de dados (DEP) evita que dados ou códigos perigosos sejam inseridos
nos locais da memória que são considerados protegidos pelo sistema operacional Windows®. O DEP
realiza verificações de memória de hardware e software.
Memória não executável
O DEP de hardware gera uma exceção quando um código é executado em um local de memória não
executável (NX). As CPUs compatíveis ativam o bit NX, marcando áreas de memória específicas como
não executáveis.
Tratamento de exceções com estrutura segura
O recurso DEP aplicado a software verifica a veracidade das exceções lançadas em um programa para
evitar que códigos maliciosos aproveitem a funcionalidade de tratamento de exceções. Isso é conhecido
como SafeSEH, ou tratamento de exceções com estruturação segura.
Segurança do Adobe Acrobat e Reader White paper
2
Randomização de layout do espaço de endereço
Mesmo com o DEP habilitado, a execução de código pode ocorrer por meio do redirecionamento de uma
chamada de função para o endereço de uma área da memória executável no processo. Para evitar esses
ataques, é possível utilizar a ASLR, ou randomização de layout do espaço de endereço. Essa técnica oculta
locais de memória e de arquivos de paginação dos componentes do sistema, dificultando a localização
desses componentes e protegendo-os de ataques. O Windows e o Mac OS X v10.6 usam a ASLR.
Cookies de pilha
O recurso de verificação de segurança do buffer (Buffer Security Check) é uma opção de compilador em
que um cookie de pilha é inserido para evitar a exploração de estouros de buffer em pilha. Esse cookie
que atua em todo o programa é copiado entre as variáveis locais e o endereço de retorno. O compilador
adiciona o código ao prólogo e ao epílogo das funções para interromper a execução, caso o cookie
seja modificado.
Das 12 soluções de PDF testadas, o Adobe Reader X e o Adobe Acrobat X são as únicas que oferecem
todas as cinco camadas críticas de segurança para evitar a exploração de falhas no Windows.
Produtividade
Área restrita
Cookies
de pilha
NX
ASLR
SafeSEH
Adobe Reader X
✓
✓
✓
✓
✓
Adobe Acrobat X
✓
✓
✓
✓
✓
Outros recursos de segurança
O Acrobat e o Reader oferecem muitos outros recursos de correção, inclusive proteções entre domínios
e whitelist e blacklist do JavaScript. As proteções entre domínios corrigem especificamente ataques com
base em script entre sites, que têm prevalecido na Web. A whitelist permite que organizações habilitem
o JavaScript somente para os fluxos de trabalho confiáveis; e a blacklist protege usuários de ataques
direcionados a chamadas de API JavaScript específicas.
Como avaliar a abordagem de segurança de um fornecedor
O maior desafio enfrentado pelas equipes de TI é que a segurança é um alvo móvel. Novas ameaças
surgem diariamente. Por esse motivo, ao avaliar a segurança do software PDF, é necessário considerar
o que o fornecedor inclui no produto inicialmente e quais são as ações tomadas por ele para garantir a
integridade da segurança do software ao longo do tempo. Manter a segurança do software sob vigilância
significa testar e corrigir incessantemente defeitos de segurança enquanto desenvolve novas proteções
contra um cenário de ameaças altamente volátil.
Como um fornecedor deve lidar com o desenvolvimento e os testes de software?
• Equipes de engenharia dedicadas à segurança — a segurança deve estar integrada em cada estágio
do ciclo de vida do produto.
• Revisões proativas de segurança e código — a análise e a revisão proativas de incidentes, bem como a
proteção de códigos já existentes, estimulam ainda mais os aprimoramentos de segurança do aplicativo.
• Participação em programas de segurança líderes do setor — o compartilhamento de vulnerabilidades
de produtos com os provedores de software de segurança, como os fornecedores de antivírus e
prevenção/detecção de invasões, permite que o setor trabalhe em conjunto para minimizar os riscos de
vulnerabilidades.
Como o fornecedor deve viabilizar o processo de atualização?
• Cronogramas previsíveis de aplicação de patches — a aplicação de patches diminui a produtividade da
TI e do usuário. Portanto, é uma tarefa que deve ocorrer segundo um cronograma previsível e não muito
frequente, por exemplo, no mesmo dia de cada mês ou trimestre.
• Configuração simples pós-implantação — uma solução de software deve aproveitar os benefícios
das ferramentas que atuam no nível do sistema operacional, como a Política de grupo do Windows
e a Property List (Lista de propriedades) do Mac OS, que facilitam os processos de modificação de
configurações pós-implantação.
Segurança do Adobe Acrobat e Reader White paper
3
• Suporte a ferramentas de implantação — em organizações que precisam atualizar milhares de
máquinas, o suporte a ferramentas de implantação é essencial. Em particular, o suporte aos mais
recentes sistemas de gerenciamento de software, como Microsoft SCCM e Microsoft SCUP, pode facilitar
e agilizar a atualização de software em toda a organização.
Como o fornecedor deve dar suporte ao software após o lançamento?
• Aprimoramentos contínuos — os fornecedores devem continuar trabalhando de forma proativa para
tornar o software mais robusto e à prova de ataques, não apenas responder às ameaças existentes.
As atualizações ocasionais devem distribuir esses aprimoramentos.
• Colaboração no setor — é importante que os fornecedores se envolvam de forma ativa com a
comunidade de segurança para ficarem a par das últimas ameaças e dos novos recursos para lidar
com elas.
Como o fornecedor deve responder às falhas de segurança?
• Transparência — os fornecedores devem estar disponíveis para lidar com problemas de segurança e
mostrar as medidas que estão sendo tomadas para tornar o software mais robusto. Os fornecedores que
levam a segurança a sério publicam e respondem proativamente às ameaças, também conhecidas como
exposições e vulnerabilidades comuns, em bancos de dados internacionalmente reconhecidos, como o
National Vulnerability Database. A falta de divulgação de vulnerabilidades não significa que um produto
não possa ser explorado por hackers. Isso pode indicar que o fornecedor que lançou o produto não
adota uma abordagem produtiva para lidar com a segurança.
Segurança da família Adobe Acrobat X e testes de fornecedores
independentes
A engenharia do Acrobat X e Reader X considera toda a segurança e incorpora técnicas de segurança
líderes do setor.
Os produtos Adobe superam outras soluções de PDF nos testes de segurança
Em dezembro de 2011, a empresa de consultoria de segurança de terceiros iSEC realizou um teste de
comparação de produtos em 12 soluções para exibir, criar ou editar documentos PDF. O resultado foi
publicado no relatório PDF Product Comparison (Comparação entre produtos de PDF).
Os responsáveis pelos testes incluíram em cada produto o mesmo conjunto de arquivos intencionalmente
corrompidos para tentar induzir falhas. Quando ocorriam falhas, elas eram automaticamente classificadas
como exploráveis ou não exploráveis.
Mesmo em casos pouco comuns, em que o teste pode ser realizado para causar uma falha, nenhuma falha
do Reader X ou do Acrobat X foi classificada como explorável. Só foi possível induzir o Reader X e o
Acrobat X a falhar 7 e 13 vezes, respectivamente. Em comparação, outros leitores de PDF falharam até
134 vezes e outros gravadores de PDF, 132 vezes, em um grande volume de arquivos PDF de teste. Os
responsáveis pelos testes atribuíram esse resultado de zero falhas exploráveis a um conjunto completo de
correções do sistema operacional e defesas em camada encontradas no Reader X e no Acrobat X, inclusive
área restrita de aplicativo, memória NX, ASLR, SafeSEH e cookies em pilha. Por outro lado, alguns leitores
de PDF testados sem essas correções do sistema operacional tiveram até 16 falhas exploráveis, e alguns
gravadores de PDF tiveram até 22 falhas exploráveis.
Em testes de fornecedores independentes, o Reader X e o Acrobat X não tiveram nenhuma falha
explorável depois da inclusão de arquivos corrompidos. Recursos como a área restrita evitam a
exploração das falhas.
Solução
Número de falhas
exploráveis
Adobe Reader X
0
Adobe Acrobat X
0
Segurança do Adobe Acrobat e Reader White paper
4
A Adobe investe em segurança e reduz as atualizações de segurança fora de banda
Os aprimoramentos de segurança fazem parte dos extensos investimentos da Adobe em engenharia para
ajudar a proteger a família de produtos Adobe contra ameaças atuais e emergentes. Com o fortalecimento
contínuo do software contra tentativas de ataque, a Adobe pode ajudar a reduzir ou até mesmo eliminar a
necessidade de atualizações de segurança fora de banda e diminuir a urgência de atualizações agendadas
regularmente. Dessa forma, é possível aumentar a flexibilidade operacional e reduzir o custo total de
propriedade, principalmente em grandes ambientes que requerem a mais alta segurança.
Quando os patches são lançados, a integração da Adobe com as principais ferramentas de gerenciamento
ajuda a garantir que os desktops gerenciados com Windows tenham sempre os patches e as atualizações
de segurança mais recentes, e que os patches propriamente ditos sejam rápidos e simples.
Resumo
Já que arquivos PDF podem ser usados para ataques, as ferramentas PDF com menor custo de
licenciamento e implantação, sem critérios cuidadosos de segurança, são coisas do passado. Quando a
reputação e a sobrevivência de uma organização dependem da capacidade de suas defesas de segurança
resistir a ataques repetidos, é fundamental que os fornecedores de aplicativos tenham o mais alto padrão
de segurança.
A Adobe oferece extensas correções que ajudam a impedir os ataques de atingirem seu alvo:
• Inovação tecnológica para a área restrita
• Whitelist e blacklist JavaScript
• Acesso entre domínios desabilitado
• Recursos de patches simplificados
• Ferramentas aprimoradas de implantação e administração
A Adobe investe continuamente em seus produtos por muito tempo após o lançamento para torná-los
ainda mais robustos, dando aos seus clientes a certeza de que suas medidas de segurança sempre se
adaptarão à dinâmica do cenário de ameaças.
Adobe Systems Incorporated
345 Park Avenue
San Jose, CA 95110-2704
USA
www.adobe.com/br
Adobe, o logotipo da Adobe, Acrobat e Reader são marcas registradas ou comerciais da Adobe Systems Incorporated nos Estados Unidos e/ou em outros países. Mac OS é uma
marca comercial da Apple Inc., registrada nos Estados Unidos e em outros países. Windows é marca registrada ou comercial da Microsoft Corporation nos Estados Unidos e/ou
em outros países. Todas as outras marcas comerciais são de propriedade de seus respectivos proprietários.
© 2012 Adobe Systems Incorporated. All rights reserved. Printed in Brazil.
1/12