Artikel top billede

Sådan vil Adobe beskytte dig

Adobe-software er installeret på næsten alle verdens computere og er derfor et oplagt mål for hackere. Læs her, hvordan Adobe vil beskytte dig.

Tirsdag den 13. september var en vigtig dag for Adobe. Ikke nok med, at det er kvartalets faste patch-dag - som passer sammen med Microsofts månedlige patch-dag, som er den anden tirsdag i hver måned. På denne dag kan it-administratorer altså sætte kaffe over og regne med at arbejde sent - for alle opdateringerne fra det sidste kvartal (eller den sidste måned for Microsofts vedkommende) ruller ind på én gang.

Men det er en helt speciel tirsdag for Adobe denne gang. På den sidste patch-dag - den 14. juni - sendte Adobe en opdatering til alle Adobe Reader 10 brugere, som sørger for at programmerne fremover automatisk installerer patches - uden at spørge brugeren. Denne nye opdateringsfunktion til Adobe Reader og Acrobat kom allerede i april 2010, men indtil nu har det været brugeren selv, der skulle aktivere den.

Med opdateringen i juni blevr den automatiske opdatering aktiveret automatisk i alle Adobe Reader 10 installationer under Windows. Patch-dagen den 13. september er dermed også den første, hvor de fleste af opdateringerne installeres helt automatisk uden at brugeren behøver foretage sig noget.

Ridser i lakken

Derfor er det måske også meget passende, at Adobes sikkerhedstrateg Brad Arkin - hans officielle titel lyder Director of Product Security and Privacy - stiller op til interview med ComON på denne dag. Adobe har fået nogle ridser i lakken på det seneste. Hvis man går nogle få år tilbage, så var det Microsoft, der fik prygl for deres dårlige sikkerhed. Sådan er det ikke mere.

I den seneste kvartalsrapport fra Kaspersky Labs bliver Adobe udpeget som den store synder. På listen over de ti mest udbredte sikkerhedshuller dominerer software fra Adobe.

Brad Arkin har en forklaring - Adobe er ganske enkelt blevet offer for sin egen succes. Adobe Reader og Flash Player findes efterhånden på næsten alle computere. Det er næsten en milliard pc'er - og dermed et meget fristende mål. Samtidig har leverandører af operativsystemer og browsere efterhånden fået luget ud og fjernet de værste sikkerhedshuller.

"For mange år tilbage forsøgte man at angribe serverne. Så gik man efter operativsystemerne hos brugerne. Der var mange angreb med manipulerede vedhæftede filer - ofte PDF-dokumenter. Trusselsbilledet ændrer sig hele tiden. Nu ser vi mange angreb mod plug-ins til browsere. Det er nok ikke så overraskende, at man går efter de mest udbredte programmer. Vores software ligger på 98 procent af alle desktop-computere. Så det bør ikke overraske nogen, at vi også bliver udsat for angreb," siger Brad Arkin.

Han fortæller at Adobe har iværksat en række tiltag for at komme sikkerheds-problemerne til livs. Han er især stolt over den sikkerhedstræning, som alle firmaets udviklere skal gennemgå. Adobe har valgt at indføre et system med hvide, grønne, brune og sorte bælter. For at få et hvidt eller grønt bælte kræves kun basal sikkerhedstræning. Men de brune og sorte bælter kræver at man har afsluttet større sikkerhedsprojekter. Det giver respekt hos kollegerne og er med til at motivere medarbejderne.

Bredt samarbejde

Adobe sammenligner gerne sine tiltag med det, som Microsoft har gennemført. Softwarefirmaet har således en Secure Product Lifecycle (SPLC), der omfatter forskellige trin som sikkerhedstest af kode og vurdering af trusler. Den minder om Microsofts Security Development Lifecycle (SDL).

Brad Arkin lægger da også op til et bredt samarbejde i sikkerhedsbranchen for at komme problemerne til livs.

"Som teknologiselskaber står vi alle sammen overfor den samme udfordring. Der er nogle slemme fyre, som forsøger at angribe vores brugere. Derfor er det også så vigtigt, at vi kan finde ud af at arbejde sammen om at løse denne udfordring," siger han.

Det største problem for Adobe er, at mange brugere stadig sidder med forældede versioner af firmaets software. Hvis man har software på op mod én milliard computere, så kan man nok ikke forvente at alle sammen trækker med og bare automatisk klikker "Ja" når den kommer en ny version.

"For almindelige brugere kan det være svært at se, hvorfor man skal opdatere til en ny version, når programmet jo fungerer ganske udmærket. Det er ikke alle, der tænker på sikkerhed. Men det kan ikke siges tydeligt nok. Det er meget farligt at bruge software som ikke længere bliver understøttet," siger Brad Arkin.

Stille opdateringer

Senere i år er det Adobe Reader 8, der har nået slutningen af sin support-cyklus, og selvom der er et par år inden supporten til Reader 9 slutter, så ser Adobe gerne at folk kommer over på den næste version 10. Fra denne version er der automatiske "silent mode" opdateringer, hvor brugeren altså ikke behøver foretage sig noget.

Dét sikkerhedshul i Adobe Reader, som ligger på førstepladsen i listen fra Kaspersky Labs, blev da også lukket for et år siden. Men alligevel er sikkerhedshullet stadig åbent på 40 procent af alle computere - ganske enkelt fordi brugerne ikke har fået hentet opdateringen.

Brad Arkin peger på, at den næste store sikkerhedsudfordring kommer på de mobile enheder. Her stiger brugertallet enormt lige nu samtidig med at nye applikationer skyder frem som paddehatte - og med i kølvandet følger også hajerne. Så Adobe kan måske håbe på, at rovdyrene snart har spist sig mæt i PDF-læsere og Flash-afspillere og trækker videre til nye og mere givtige græsgange.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Webinar: Tør du håndtere cyberberedskabet på egen hånd?

Der er akut behov for at øge visibilitet, indsigt og overblik, hvis man som virksomhed skal have en chance for at afværge og minimere skaden ved cyberangreb. Trusselsbilledet udvikler sig imidlertid så hastigt, at opgaven let vokser selv større virksomheder, med en eller flere dedikerede IT-sikkerhedsansvarlige, over hovedet. Bliv klogere på dette seminar.

22. september 2021 | Læs mere


GDPR i dagligdagen: Vedligeholdelse og tilsyn

Det er efterhånden ved at være noget tid siden, at vi blev introduceret til GDPR, og alle organisationer har med tiden fået styr på dataflow og håndteringen af persondata i organisationen. Mange valg har skulle træffes og det har krævet mange ressourcer. Få overblik over de seneste nye tiltag og udmeldinger fra Datatilsynet samt overblik over de seneste regler, og hvordan du håndterer dem.

23. september 2021 | Læs mere


Årets CISO 2021

I både offentlige og private organisationer er der behov for at uddanne, rekruttere og fastholde de bedste it-sikkerhedsfolk, fordi sikkerhedsudfordringerne konstant forandres. Derfor sætter vi fokus på best practice inden for it-sikkerhed, og vi vil samtidig fremhæve de personer i Danmark, der gør et ekstra stykke arbejde for at styrke den digitale sikkerhed. Vi hylder derfor årets CISO 2021 på denne konference.

05. oktober 2021 | Læs mere






Premium
"Hvorfor skal folk bruge tid på alt det nye, hvis man som organisation belønner dem for alt det, som allerede virker?"
"De fleste store virksomheder kæmper med at integrere nye ideer og opfindelser i deres store maskine. Oftest fordi de har så travlt med de stærke løsninger, som de allerede har."
CIO
“Der har simpelthen været for få gråhårede medarbejdere involveret i den her udviklingsproces. Folk der ved, hvad der skal til”
"Vi havde ansat nogle unge mennesker i sandaler og med langt skæg for at bryde med det traditionelle it-setup. De her vakse unge mennesker fik også ret hurtigt bygget en supersmart applikation til virksomheden. Men den brager ned, da vi ruller den ud, og den fylder cirka 1,5 procent af alle transaktioner."
Job & Karriere
35-årig kvinde gik amok på hjemmekontoret efter fyring: ”De fjernede ikke min adgang, så jeg slettede p-drevet lol”
En 35-årig kvinde står anklaget for at have slettet 21,3 gigabyte data fra fællesdrevet efter, at hun blev fyret. Nu risikerer hun op til 10 års fængsel.
White paper
En opskrift på succes: Automatisér, byg videre på den eksisterende infrastruktur – og sæt kurs mod skyen
Læs hvordan en koncern satsede på en adoptiv, clouddreven fremtid – med udgangspunkt i standardisering, fleksibiitet og den eksisterende infrastruktur.