Nová úroveň zabezpečení souborů PDF v aplikacích Adobe Reader

Komentáře

Transkript

Nová úroveň zabezpečení souborů PDF v aplikacích Adobe Reader
Zabezpečení produktů Adobe Oficiální zpráva
Nová úroveň zabezpečení souborů PDF
v aplikacích Adobe Reader® a Adobe Acrobat®
Řada produktů Acrobat X zvedá laťku
Obsah
1:Dokonalejší
zabezpečení aplikace
4:Těsnější integrace
s architekturami
operačních systémů
4:Nižší celkové náklady
na vlastnictví
5:Jednodušší nasazení
a správa
5:Zabezpečení obsahu
6:Závěr
Nové funkce zabezpečení
v aplikacích Adobe Reader X
a Adobe Acrobat X pomáhají
snížit rizika malwaru
v souborech PDF.
Aplikace Adobe Reader X a Adobe Acrobat X posouvají zabezpečení dokumentů PDF – a vašich dat –
na úplně novou úroveň. Jelikož aplikace Adobe Reader X a Adobe Acrobat X byly sestaveny především
s ohledem na zabezpečení, jsou díky nejmodernější technologii izolovaných prostorů a detailnějším
ovládacím prvkům, těsnější integraci s architekturou jak operačního systému Microsoft® Windows®, tak
Apple Mac OS X, jednodušším funkcím oprav a lepším nástrojům pro nasazení a správu bezpečnější.
Nové funkce aplikací Adobe Reader X a Adobe Acrobat X uživatelům umožňují snížit celkové náklady
na vlastnictví (TCO) ve srovnání s předchozími verzemi produktů Adobe Reader X a Adobe Acrobat X.
Naše týmy ASSET (Adobe Secure Software Engineering Team) a PSIRT (Product Security Incident
Response Team) navíc společně pracují na tom, aby vaše data byla při používání produktů Adobe
v naprostém bezpečí. Naše interní snahy ještě dále doplňuje zapojení společnosti Adobe v programu
aktivní ochrany Microsoft Active Protections Program (MAPP), který zajišťuje pokročilé sdílení informací
o zranitelných místech produktů s dodavateli zabezpečovacích softwarů, jako jsou prodejci antivirových
programů nebo programů na zjišťování a prevenci neoprávněných vniknutí, čímž celé odvětví
spolupracuje na snižování rizik vyplývajících ze zranitelných míst aplikací Adobe Acrobat X i Adobe
Reader X.
Dokonalejší zabezpečení aplikace
Ochranný režim v aplikaci Adobe Reader X
K vaší ochraně i ochraně vaší organizace před škodlivým kódem pokoušejícím se využít formát PDF
k zápisu do systému souborů v počítači nabízí společnost Adobe chráněný režim implementací
technologie izolovaných prostorů.
Chráněný režim je ve výchozím nastavení aktivován při každém spuštění aplikace Adobe Reader X
a pomáhá zabránit útočníkům v instalaci malwaru do systému uživatele a snižuje rizika narušení
zabezpečení. Chráněný režim konkrétně omezuje úroveň přístupu udělovanou programu, a chrání tak
počítače s operačním systémem Microsoft Windows před škodlivými soubory PDF, které by se mohly
pokusit o zápis do systému souborů počítače, o odstranění souborů nebo o jinou modifikaci systémových
informací.
Co je vytváření
izolovaných prostorů?
Vytváření izolovaných
prostorů je odborníky
na zabezpečení velmi
respektovaná metoda
vytváření omezeného
spouštěcího prostředí,
které umožňuje spouštění
programů s nízkými
oprávněními. Izolované
prostory chrání systémy
uživatelů před poškozením
nedůvěryhodnými
dokumenty, které obsahují
spustitelný kód. V kontextu
aplikace Adobe Reader
je nedůvěryhodným
obsahem jakýkoli soubor
PDF a procesy, které
vyvolává. Aplikace Adobe
Reader X považuje
všechny dokumenty PDF
za potenciálně poškozené
a veškeré zpracování, které
takové dokumenty PDF
vyvolávají, omezuje do
izolovaného prostoru.
OS
Zmocnitel uživatelů
Volání
Proces zprostředkování
aplikace Reader
Rozhraní API
IPC
Nová hranice důvěry
Pojmenované objekty
Zmocnitel PDF
Zobrazit
Vykreslovací
modul aplikace
Reader
Čtení/zápis
(omezený)
Proces karantény
Systém souborů
Registr
Společnost Adobe dále jako součást svých neustálých snah o integraci zabezpečení do každé fáze
životního cyklu produktů v rámci procesu SPLC (Secure Product Lifecycle) provádí pravidelné revize
existujícího kódu a posiluje jej, kdykoli je to možné, což dále zvyšuje zabezpečení aplikací a bezpečnost
vašich dat při používání produktů společnosti Adobe.
Chráněné zobrazení v aplikaci Adobe Acrobat X
Podobně jako chráněný režim v produktu Adobe Reader je v rámci implementace technologie izolovaných
prostorů pro sadu multimediálních funkcí produktů Adobe Acrobat k dispozici v aplikaci Acrobat X, verze 10.1
tzv. chráněné zobrazení. Podobně jako chráněný režim i chráněné zobrazení provádí spouštění nedůvěryhodných
programů (tedy jakýchkoli souborů PDF a procesů, které vyvolávají) v omezeném izolovaném prostoru na
ochranu před škodlivým kódem a jeho snahami zneužít formát PDF k zápisu do systému souborů v počítači.
Chráněné zobrazení považuje všechny soubory PDF za potenciálně škodlivé a jejich zpracování provede
v izolovaném prostoru, pokud výslovně nezadáte, že jde o důvěryhodný soubor. Přestože oba scénáře,
ve kterých uživatelé používají dokumenty PDF (v rámci samostatné aplikace Adobe Acrobat X i v rámci
prohlížeče), chráněné zobrazení podporují, zkušenost uživatele s touto funkcí v jednotlivých scénářích se
bude lišit.
Když otevřete potenciálně nebezpečný soubor v chráněném režimu v samostatné aplikaci Adobe
Acrobat X, zobrazí Acrobat v horní části okna zobrazení žlutý pruh zpráv (YMB). Tento pruh znamená,
že soubor není důvěryhodný, a připomene vám, že jste v chráněném zobrazení, ve kterém jsou mnohé
funkce aplikace Acrobat zakázané a interakce uživatele se souborem je omezena. Soubor je v zásadě
v režimu pouze ke čtení, přičemž chráněné zobrazení brání jakémukoli vloženému či připojenému
škodlivému obsahu v úmyslném poškození vašeho systému. Pokud souboru důvěřujete a chcete povolit
všechny funkce aplikace Adobe Acrobat X, stačí klepnout na tlačítko „Enable All Features“ (Povolit všechny
funkce) v pruhu YMB, aplikace ukončí chráněné zobrazení, přidá soubor do seznamu oprávněných
umístění aplikace Acrobat a bude jej nadále považovat za důvěryhodný. Každé následné otevření
důvěryhodného souboru PDF zruší omezení chráněného zobrazení.
Zabezpečení produktů Adobe Oficiální zpráva
2
Ovládací prvky JavaScript
v aplikacích Adobe
Pomocí ovládacích prvků
JavaScript v aplikacích
Adobe můžete také:
•zapnout nebo vypnout
modul JavaScript,
•povolit nebo zakázat
adresy URL vyvolané
modulem JavaScript,
•ovládat provádění kódu JavaScript s vysokými
oprávněními bez potřeby
dalších oprávnění,
•povolit JavaScript
s vysokými oprávněními
v ověřených
dokumentech.
Software společnosti
Adobe umožňuje
selektivně obejít tato
omezení u důvěryhodných
umístění, včetně souborů,
složek nebo hostitelů.
Pokud otevřete soubor PDF v prohlížeči, chráněné zobrazení umožňuje jednoduchou interakci
s dokumentem, u které není žlutý pruh zpráv potřeba. Namísto toho jsou v prostředí prohlížeče k dispozici
všechny funkce aplikace Adobe Reader spolu s funkcemi, které jsou povoleny ve chvíli, kdy autor
dokumentu používá produkt Acrobat k rozšíření funkcí i na uživatele aplikace Reader, včetně podepisování
stávajících formulářových polí, přidávání nových podpisových polí, ukládání dat ve formulářích apod.
Provádění kódu JavaScript
Řada produktů Adobe Acrobat X nabízí sofistikované a podrobné ovládací prvky pro správu provádění
kódu JavaScript v prostředích operačních systémů Windows a Mac OS X. Modul Adobe JavaScript Blacklist
Framework umožňuje použití kódu JavaScript v obchodních pracovních postupech a zároveň chrání
uživatele a systémy před útoky cílenými na specifická volání rozhraní API jazyka JavaScript.
Přidáním specifického volání rozhraní API jazyka JavaScript na černou listinu můžete blokovat jeho
provádění, aniž by bylo nutné zcela zakázat kódy JavaScript. Můžete také zabránit tomu, aby jednotliví
uživatelé zrušili vaše rozhodnutí blokovat specifické volání rozhraní API jazyka JavaScript, čímž můžete
pomoci v ochraně celého podniku před škodlivým kódem. V prostředí systému Windows je černá listina
udržována v registru systému Windows. V prostředí Mac OS X je uložena v souboru FeatureLockdown.
Konfigurace přístupu k jiným doménám
Řada produktů Adobe Acrobat X ve výchozím nastavení zakazuje neomezený přístup k jiným doménám
u klientů Microsoft Windows i Mac OS X, což útočníkům brání ve zneužívání souborů PDF k získání
přístupu k prostředkům v jiné doméně.
Využitím integrované podpory pro serverové soubory zásad platných pro všechny domény můžete aplikacím
Adobe Acrobat X a Adobe Reader X umožnit zpracovávat data z různých domén. Soubor zásad platných pro
všechny domény – dokument XML – je hostován na vzdálené doméně, uděluje přístup zdrojové doméně
a umožňuje aplikacím Adobe Acrobat X nebo Adobe Reader X pokračovat v transakci.
Podporu jiných domén v produktech společnosti Adobe bude potřeba povolit, pokud:
• potřebujete selektivní přístup k jiným doménám a chcete využít jiné funkce, například rozpoznávání na
základě digitálního certifikátu,
• chcete centrálně řídit oprávnění k přístupu k jiným doménám z jediného umístění na serveru,
• implementujete pracovní postupy, které pro vracení dat do formulářů obsahují žádosti o data z několika
domén, požadavky protokolu SOAP, odkazy na mediální datové proudy a požadavky Net.HTTP.
Uživatel otevře soubor
z jedné domény a tento
soubor se pokouší nahrát
data z další domény.
Klient řídí komunikaci
mezi doménami a.com
a b.com tím, že povoluje
spojení na základě
oprávnění souboru zásad
křížové domény.
1
Procházet
4
Odeslat
2
Oprávnění
dle zásad
3
Číst data
a.com
SWF, PDF, atd.
b.com/crossdomain.xml,
data formulářů, obsah, atd.
Uživatelsky přívětivé výstrahy zabezpečení
Řada produktů Adobe Acrobat X implementuje uživatelsky přívětivé výstrahy zabezpečení využívající
nerušivý žlutý pruh zpráv. Žlutý pruh zpráv nahrazuje tradiční dialogová okna, která zakrývala obsah na
stránce, takže uživatel vidí obsah stránky a může se snáze rozhodnout, jak na výstrahu bude reagovat.
V klientu aplikace Adobe Acrobat X nebo Adobe Reader X se žlutý pruh zpráv s varováním nebo chybovou
zprávou zobrazuje v horní části dokumentu. Uživatel se může rozhodnout, zda chce dokumentu důvěřovat
jednou, nebo vždy. Volba Vždy přidá dokument do seznamu oprávněných dokumentů dané aplikace.
Zabezpečení produktů Adobe Oficiální zpráva
3
Je-li povoleno zdokonalené zabezpečení a soubor PDF není v oprávněném umístění (tedy není důvěryhodný),
pak se žlutý pruh zpráv zobrazí, kdykoli se soubor PDF pokusí o spuštění potenciálně rizikové akce, například:
• vyvolání přístupu k různým doménám,
• spuštění kódu JavaScript,
• vyvolání adresy URL vyvolané kódem JavaScript,
• volání rozhraní API kódu JavaScript, který je na černé listině,
• vložení dat,
• vložení skriptů,
• přehrání vloženého, staršího multimediálního obsahu.
Tlačítko Options (Možnosti) umožňuje uživateli nastavit příslušnou důvěryhodnost jednou pro vždy.
Důvěryhodnost souborů, složek a hostitelů je možné předem nakonfigurovat také pro celý podnik,
aby se žlutý pruh zpráv nikdy nezobrazoval u důvěryhodných podnikových pracovních postupů.
Těsnější integrace s architekturami operačních systémů
Vždy aktivní zabezpečení
Jako další vrstvu obrany proti útokům, které se pokoušejí o ovládnutí počítačových systémů nebo
poškození paměti, využívá řada produktů Adobe Acrobat X integrované, vždy aktivní funkce zabezpečení
v operačních systémech Microsoft Windows a Mac OS X.
• Funkce Zabránění spuštění dat (DEP) brání umístění dat nebo nebezpečného kódu do míst v paměti,
jež jsou operačním systémem Windows definována jako „chráněná“. Společnost Apple nabízí podobnou
ochranu spustitelných souborů pro systém Mac OS X 10.6 v 64bitovém prohlížeči Safari.
• Funkce ASLR (Address Space Layout Randomization) skrývá umístění systémových komponent v paměti
a stránkovacím souboru, což útočníkům ztěžuje nalezení těchto komponent a zacílení útoku. Funkci
ASLR používá jak systém Windows, tak systém Mac OS X 10.6.
Konfigurace na úrovni registru a souboru plist
Řada produktů Adobe Acrobat X poskytuje celou řadu nástrojů pro správu nastavení zabezpečení, včetně
předvoleb na úrovni registru (Windows) a souboru plist (Mac OS). Tato nastavení umožňují konfigurovat
klienty, jak před tak po nasazení, jejichž funkcí pak bude:
• zapnout/vypnout rozšířené zabezpečení,
• zapnout/vypnout oprávněná umístění,
• určit předdefinovaná oprávněná umístění,
• zamknout určité funkce a deaktivovat uživatelské rozhraní aplikace tak, aby koncový uživatel nemohl
toto nastavení změnit,
• zakázat, povolit a jinak konfigurovat téměř jakoukoli jinou funkci související se zabezpečením.
Nižší celkové náklady na vlastnictví
Posílení zabezpečení softwaru
Vylepšené funkce zabezpečení, jako jsou chráněný režim v aplikaci Adobe Reader a chráněné zobrazení
v aplikaci Acrobat, jsou jen dvěma ukázkami z rozsáhlých investic do technické stránky produktů, které
společnost Adobe uskutečnila k posílení řady produktů Acrobat na ochranu před stávajícími i budoucími
hrozbami. Posílením zabezpečení softwaru před pokusy o útok dokáže společnost Adobe snížit a dokonce
eliminovat potřebu aktualizací mimopásmového zabezpečení a snížit naléhavost pravidelně plánovaných
aktualizací. Všechny tyto prvky zvyšují operační flexibilitu a snižují celkové náklady na vlastnictví, zvláště pak
v rozsáhlých prostředích s vysokými nároky na zajištění zabezpečení.
Podpora pro Microsoft SCCM/SCUP
S řadou produktů Adobe Acrobat X můžete efektivně importovat a zveřejňovat aktualizace prostřednictvím
nástroje Microsoft System Center Configuration Manager (SCCM). Operační systém Windows ve vašich
počítačích tak bude vždy aktuální s nainstalovanými posledními opravami a aktualizacemi.
Zabezpečení produktů Adobe Oficiální zpráva
4
Nová podpora pro katalogy nástroje Microsoft System Center Updates Publisher (SCUP) umožňuje
automatizovat aktualizace softwaru Adobe Acrobat X a Adobe Reader X v celé organizaci a také
zjednodušit počáteční nasazení softwaru. Nástroj SCUP může automaticky importovat jakoukoli
aktualizaci vydanou společností Adobe ihned, jakmile je k dispozici, a tak usnadnit a zefektivnit aktualizaci
nasazení aplikací Adobe Acrobat X a Adobe Reader X. Nová integrace s nástroji SCCM/SCUP pomáhá
snižovat celkové náklady na vlastnictví softwaru Adobe, jelikož opravy lze zavést napříč celou organizací,
jednodušeji a rychleji.
Podpora instalátoru balíčků Apple a vzdálených ploch Apple
V řadě produktů Adobe Acrobat X společnost Adobe implementovala standardní instalátor balíčků Apple
poskytovaný systémem Mac OS X a nevyužívá vlastní instalátor Adobe. Díky tomu lze snadněji nasadit
software Adobe Acrobat a Adobe Reader do počítačů Macintosh v podniku, protože počáteční nasazení
softwaru a následné aktualizace a opravy lze nyní spravovat z centrálního umístění pomocí softwaru pro
správu vzdálených ploch Apple.
Jednodušší nasazení a správa
Kumulativní, pravidelně plánované aktualizace a opravy
Společnost Adobe aktivně poskytuje pravidelné plánované aktualizace obsahující vylepšení funkcí
a opravy zabezpečení, aby vám pomohla udržovat váš software neustále v aktuálním stavu. V případě
potřeby rychlé reakce na nečekané útoky poskytuje společnost Adobe opravy i mimo plán. Společnost
Adobe rovněž maximálně využívá kumulativních oprav ke snížení úsilí a nákladů potřebných k zachování
aktuálnosti systémů a před vydáním oprav zabezpečení je agresivně testuje s cílem zajistit kompatibilitu se
stávajícími instalacemi a pracovními postupy.
Společnost Adobe rovněž nabízí tyto webové stránky o zabezpečení a oznamovací služby:
Nejnovější bulletiny zabezpečení a doporučení týkající se produktů společnosti Adobe najdete na stránce
www.adobe.com/support/security/
Nejnovější zprávy o bezpečnostních incidentech a opravách zranitelných míst najdete na blogu Adobe
PSIRT na adrese blogs.adobe.com/psirt/
Podrobnější informace o produktech a prvcích zabezpečení společnosti Adobe najdete v knihovně Adobe
Security Library na adrese www.adobe.com/go/learn_acr_appsecurity_cz
Průvodce přizpůsobením Adobe a AIM
Lepší kontroly nad nasazeními v rámci celé společnosti dosáhnete pomocí těchto nástrojů poskytovaných
společností Adobe:
• Průvodce přizpůsobením Adobe – nástroj, který lze zdarma stáhnout, umožňující přizpůsobit instalátor
aplikace Acrobat a konfigurovat její funkce ještě před nasazením.
• Aplikace AIM (Administrator’s Information Manager) – automaticky aktualizovaná, přizpůsobitelná
aplikace prostředí Adobe AIR® s přehledem předvoleb. Aplikace AIM také zahrnuje neustále rostoucí
seznam dalších zdrojů, které mohou být zajímavé pro správce podnikových sítí.
Zabezpečení obsahu
Kromě zabezpečení aplikací podporuje společnost Adobe také celou řadu standardních oborových
mechanismů, které pomáhají zabezpečit a ověřit informace uložené v dokumentech PDF, včetně
digitálních podpisů, správy práv a doporučených postupů pro dokumenty.
Digitální podpisy
Digitální podpisy ve srovnání s tradičními inkoustovými podpisy šetří čas a peníze a pomáhají autorům
a příjemcům dokumentů potvrdit integritu a autenticitu obsahu dokumentu. V aplikacích Adobe Reader X
a Adobe Acrobat X lze do dokumentu snadno přidat standardní digitální podpis, zkontrolovat platnost
podpisu a přidat oprávnění a omezení, jež budou ovládat pracovní postup podepsání.
Zabezpečení produktů Adobe Oficiální zpráva
5
Správa práv
Řada produktů Adobe Acrobat X ve spolupráci se softwarem Adobe LiveCycle® Rights Management ES2
poskytuje funkce správy práv, které umožňují chránit důvěrná data nebo jiné citlivé informace před únikem
mimo organizaci nebo do nepovolaných rukou. Tyto prvky vám umožní ovládat přístup, tisk, kopírování
a provádění úprav na úrovni dokumentu, uživatele nebo skupiny a dynamicky měnit zásady po celou dobu
životnosti dokumentu. Vzhledem k tomu, že zabezpečený přístup k obsahu může získat libovolný uživatel
s aplikací Adobe Reader, lze chráněné dokumenty snadno zobrazit a není nutné, aby si příjemce kupoval
nebo stahoval další produkty nebo zásuvné moduly.
Konzistentní doporučené postupy
Nová funkce Průvodce akcí v aplikaci Adobe Acrobat X umožňuje snadno vytvořit skripty pro procesy
s dokumenty a nasadit je v celé organizaci, což pomůže zajistit, aby při přípravě a ochraně dokumentů
určených pro veřejnost dodržovali všichni uživatelé stejné doporučené postupy.
Správa citlivých informací
Uživatelé mohou konzistentně a rychle odebírat citlivé informace ze souborů pomocí čištění jedním
tlačítkem a zdokonalených nástrojů pro redigování. Výkonné technologie šifrování využívající oborové
standardy umožňují koncovým uživatelům nastavením hesel a oprávnění kontrolovat přístup k libovolném
dokumentu PDF nebo zabránit jeho změnám.
Závěr
V řadě produktů Adobe Acrobat X posouvá společnost Adobe zabezpečení dokumentů PDF a vašich dat na
úplně novou úroveň. Od vylepšeného zabezpečení aplikací a podrobnějších ovládacích prvků přes těsnější
integraci s operačními systémy až po vylepšené nástroje pro nasazení a správu vždy platí, že aplikace
Adobe Acrobat X a Adobe Reader X byly výslovně vyvinuty se zabezpečením jako prioritou. Uživatelé
aplikací Adobe Reader X a Adobe Acrobat X využívají významné úspory v oblasti celkových nákladů na
vlastnictví ve srovnání s předchozími verzemi produktů Adobe Reader a Adobe Acrobat díky lepšímu
zabezpečení aplikace, těsnější integraci s operačními systémy, jednodušším opravám a dokonalejším
nástrojů pro nasazení a správu.
Aplikace Adobe Acrobat X a Adobe Reader X mají navíc podporu týmu odborníků na zabezpečení
produktů společnosti Adobe zvaného Adobe Secure Software Engineering Team (ASSET). Ve spolupráci
s týmem Adobe Product Security Incident Response Team (PSIRT) pomáhá tým ASSET zajistit bezpečnost
vašich dat, ať již používáte produkty společnosti Adobe kdekoli.
Další informace
Podrobnosti řešení: www.adobe.com/security
Adobe Systems s.r.o.
Radlická 714/113a
158 00 Praha 5
Česká republika
www.adobe.com, www.adobe.cz
Adobe, the Adobe logo, Acrobat, Adobe AIR, AIR, LiveCycle, and Reader are either registered trademarks or trademarks of Adobe Systems Incorporated in the United States
and/or other countries. Apple, Mac OS, and Macintosh are trademarks of Apple Inc., registered in the U.S. and other countries. Microsoft and Windows are either registered
trademarks or trademarks of Microsoft Corporation in the United States and/or other countries. All other trademarks are the property of their respective owners.
© 2011 Adobe Systems Incorporated. All rights reserved. Printed in Czech Republic
06/11

Podobné dokumenty