Miljoenen kwetsbare installaties, een favoriete aanvalsvector voor cybercriminelen en een negatief gebruiksadvies van het SANS Instituut, toch maakt Adobe zich geen zorgen dat bedrijven en thuisgebruikers massaal concurrenten zoals Foxit Reader gaan opzoeken. Het bedrijf stond zelfs te kijken van de waarschuwing, zo laat het Security.nl weten. Het is bij Adobe nog steeds onduidelijk wat de aanleiding voor het negatieve advies van SANS was. Hoewel er in verschillende artikelen aan beveiligingslekken gerelateerd werd, waren die al gepatcht, merkt marketing manager Paul van Keeken op. "Het is niet zo zeer de vraag of je je software 100% veilig kunt maken, maar wat je kunt doen om als bedrijf veilig te zijn en je je klanten kunt beschermen en hun veiligheid garanderen."

Van Keeken wijst naar de verbeteringen die het bedrijf onlangs aankondigde, zoals het verbeteren van code om te voorkomen dat cybercriminelen die misbruiken. Aan de andere kant is men ook een proces gestart om de oude legacy code te controleren. Op die manier hoopt men beveiligingslekken die eerder over het hoofd gezien zijn toch nog te pakken. Ook zegt Adobe de rapportage van incidenten en communicatie naar systeem engineers in het geval van een lek te verbeteren.

Wat betreft het op reguliere basis uitbrengen van patches heeft men bewust aansluiting bij Microsoft gezocht. "Daarmee kunnen we de voorspelbaarheid en comfort voor een systeembeheerder verder verbeteren." Op het verwijt dat Adobe de afgelopen jaren een slecht "track record" had, wijst Van Keeken naar het grote marktaandeel dat Adobe heeft. Daarnaast zou de problematiek Adobe nu echt aansporen om de klanten te gaan beschermen. "We worden vaker getest dan
ons lief is, maar dat is part of the game."

Toch liep Adobe qua beveiliging de afgelopen jaren regelmatig achter de feiten aan. Het gaat dan met name om de frequentie waarin er zero-day lekken in de software ontdekt en misbruikt werden, terwijl een patch weken en soms maanden op zich liet wachten, maar ook het aanbieden van een lekke versie op de eigen website. Van Keeken laat weten dat beveiliging al geruime tijd een plek bij Adobe heeft. Zo heeft het al langer dan een jaar twee aparte teams die zich met de ontwikkeling van veilige code en respons op problemen bezighouden. "We hebben lessen geleerd met de aanvallen die op ons afkwamen dat we meer moeten communiceren. Wat dat betreft steken we de hand in onze eigen boezem."

Lichtgewicht
Een veel gehoord kritiekpunt van onderzoekers en reden dat er zoveel lekken in de software ontdekt worden, is dat die zaken als JavaScript en andere functies ondersteunt. Adobe zou veel problemen kunnen afvangen als het een lichtgewicht PDF-lezer zou ontwikkelen die alleen maar PDF's kan lezen. Volgens Colin van Oosterhout, business development manager Acrobat, zijn er de afgelopen jaren verschillende tools verschenen die als Adobe alternatief kunnen dien. In tegenstelling tot deze lezers probeert Adobe de meerwaarde van het PDF document te benutten, met name binnen grote ondernemingen en overheden. Zo is het mogelijk om PDF-invulformulieren te gebruiken die informatie meteen in een database zetten.

Daarnaast gaat het ook om het toegankelijk maken van PDF-bestanden. Van Oosterhout noemt dat er in Adobe Reader verschillende functies zitten om bestanden ook voor mensen met een visuele en motorische handicap toegankelijk te maken. "Het is veel meer dan alleen een client om PDF'jes mee te bekijken en te printen." De software maakt ook het maken van opmerkingen en werken met elektronische formulieren en digitale handtekeningen mogelijk. "In die zin is het bijna onmogelijk voor Adobe om een lightversie te ontwikkelen, omdat we die functies wel bij onze corporate en overheids klanten willen brengen."

Begrip voor alternatieven
Van Oosterhout begrijpt dan ook goed dat mensen die alleen PDF'jes willen lezen, een alternatief gebruiken. "Als iemand alleen de representatie van een PDF bestand binnen de browser of applicatie wil hebben, dan is het prima om een alternatief voor Adobe Reader te gebruiken." Binnen bedrijven gebruikt men echter de meerwaarde van Adobe Reader, zo gaat Van Oosterhout verder, wat meteen ook de spagaat aangeeft waar Adobe in zit. Het richt zich op twee verschillende markten met verschillende behoeften. Het is in dat kader wrang dat grote bedrijven met hun patchbeleid en wens voor allerlei features, ervoor zorgen dat miljoenen thuisgebruikers die minder alert met patchen zijn, de dupe worden.

De Business development manager merkt nogmaals op dat voor eindgebruikers die alleen PDF'jes willen bekijken er honderden alternatieven zijn. "Wil je echter een workflow opzetten, dan kom je uiteindelijk bij Adobe Reader uit." Voor bedrijven die vanwege alle berichten zich zorgen maken, maar niet willen overstappen, is er de mogelijkheid om zaken als JavaScript uit te schakelen.

Patchbeleid
Ondanks alle goede bedoelingen van Adobe, zijn er vele miljoenen gebruikers die de software niet updaten. Van Oosterhout laat weten dat Adobe tot 3 versies terug van de software ondersteuning biedt. Om de 18 maanden verschijnt er gemiddeld een nieuwe versie. Inmiddels beschikt men ook over een auto-update feature. Die is echter vrijblijvend, waardoor gebruikers updates kunnen negeren. Adobe is niet plan om dit verplicht in te schakelen. "Ook hier is er een verschil hoe eindgebruikers en bedrijven ermee omgaan." Veel bedrijven staan het automatisch updaten van software niet toe, gaat Van Oosterhout verder. Een "stille" update functie zoals Google Chrome hanteert, zit er dan ook niet in.