Tirsdag den 13. september var en vigtig dag for Adobe. Ikke nok med, at det er kvartalets faste patch-dag - som passer sammen med Microsofts månedlige patch-dag, som er den anden tirsdag i hver måned. På denne dag kan it-administratorer altså sætte kaffe over og regne med at arbejde sent - for alle opdateringerne fra det sidste kvartal (eller den sidste måned for Microsofts vedkommende) ruller ind på én gang.
Men det er en helt speciel tirsdag for Adobe denne gang. På den sidste patch-dag - den 14. juni - sendte Adobe en opdatering til alle Adobe Reader 10 brugere, som sørger for at programmerne fremover automatisk installerer patches - uden at spørge brugeren. Denne nye opdateringsfunktion til Adobe Reader og Acrobat kom allerede i april 2010, men indtil nu har det været brugeren selv, der skulle aktivere den.
Med opdateringen i juni blevr den automatiske opdatering aktiveret automatisk i alle Adobe Reader 10 installationer under Windows. Patch-dagen den 13. september er dermed også den første, hvor de fleste af opdateringerne installeres helt automatisk uden at brugeren behøver foretage sig noget.
Ridser i lakken
Derfor er det måske også meget passende, at Adobes sikkerhedstrateg Brad Arkin - hans officielle titel lyder Director of Product Security and Privacy - stiller op til interview med ComON på denne dag. Adobe har fået nogle ridser i lakken på det seneste. Hvis man går nogle få år tilbage, så var det Microsoft, der fik prygl for deres dårlige sikkerhed. Sådan er det ikke mere.
I den seneste kvartalsrapport fra Kaspersky Labs bliver Adobe udpeget som den store synder. På listen over de ti mest udbredte sikkerhedshuller dominerer software fra Adobe.
Brad Arkin har en forklaring - Adobe er ganske enkelt blevet offer for sin egen succes. Adobe Reader og Flash Player findes efterhånden på næsten alle computere. Det er næsten en milliard pc'er - og dermed et meget fristende mål. Samtidig har leverandører af operativsystemer og browsere efterhånden fået luget ud og fjernet de værste sikkerhedshuller.
"For mange år tilbage forsøgte man at angribe serverne. Så gik man efter operativsystemerne hos brugerne. Der var mange angreb med manipulerede vedhæftede filer - ofte PDF-dokumenter. Trusselsbilledet ændrer sig hele tiden. Nu ser vi mange angreb mod plug-ins til browsere. Det er nok ikke så overraskende, at man går efter de mest udbredte programmer. Vores software ligger på 98 procent af alle desktop-computere. Så det bør ikke overraske nogen, at vi også bliver udsat for angreb," siger Brad Arkin.
Han fortæller at Adobe har iværksat en række tiltag for at komme sikkerheds-problemerne til livs. Han er især stolt over den sikkerhedstræning, som alle firmaets udviklere skal gennemgå. Adobe har valgt at indføre et system med hvide, grønne, brune og sorte bælter. For at få et hvidt eller grønt bælte kræves kun basal sikkerhedstræning. Men de brune og sorte bælter kræver at man har afsluttet større sikkerhedsprojekter. Det giver respekt hos kollegerne og er med til at motivere medarbejderne.
Bredt samarbejde
Adobe sammenligner gerne sine tiltag med det, som Microsoft har gennemført. Softwarefirmaet har således en Secure Product Lifecycle (SPLC), der omfatter forskellige trin som sikkerhedstest af kode og vurdering af trusler. Den minder om Microsofts Security Development Lifecycle (SDL).
Brad Arkin lægger da også op til et bredt samarbejde i sikkerhedsbranchen for at komme problemerne til livs.
"Som teknologiselskaber står vi alle sammen overfor den samme udfordring. Der er nogle slemme fyre, som forsøger at angribe vores brugere. Derfor er det også så vigtigt, at vi kan finde ud af at arbejde sammen om at løse denne udfordring," siger han.
Det største problem for Adobe er, at mange brugere stadig sidder med forældede versioner af firmaets software. Hvis man har software på op mod én milliard computere, så kan man nok ikke forvente at alle sammen trækker med og bare automatisk klikker "Ja" når den kommer en ny version.
"For almindelige brugere kan det være svært at se, hvorfor man skal opdatere til en ny version, når programmet jo fungerer ganske udmærket. Det er ikke alle, der tænker på sikkerhed. Men det kan ikke siges tydeligt nok. Det er meget farligt at bruge software som ikke længere bliver understøttet," siger Brad Arkin.
Stille opdateringer
Senere i år er det Adobe Reader 8, der har nået slutningen af sin support-cyklus, og selvom der er et par år inden supporten til Reader 9 slutter, så ser Adobe gerne at folk kommer over på den næste version 10. Fra denne version er der automatiske "silent mode" opdateringer, hvor brugeren altså ikke behøver foretage sig noget.
Dét sikkerhedshul i Adobe Reader, som ligger på førstepladsen i listen fra Kaspersky Labs, blev da også lukket for et år siden. Men alligevel er sikkerhedshullet stadig åbent på 40 procent af alle computere - ganske enkelt fordi brugerne ikke har fået hentet opdateringen.
Brad Arkin peger på, at den næste store sikkerhedsudfordring kommer på de mobile enheder. Her stiger brugertallet enormt lige nu samtidig med at nye applikationer skyder frem som paddehatte - og med i kølvandet følger også hajerne. Så Adobe kan måske håbe på, at rovdyrene snart har spist sig mæt i PDF-læsere og Flash-afspillere og trækker videre til nye og mere givtige græsgange.
