Minulý týden se opět ukázalo, jak nebezpečný software se nachází v počítačích lidí, kteří vůbec netuší, že ho tam v zásadě mají. A už vůbec netuší, že by ho měli co nejrychleji odstranit. Řeč je o Flashi a o tom, že Adobe přiznalo bezpečnostní díru ve Flashi jen den po uvedení nové verze. Ale také o tom, že Flash je chronicky děravý software, který Adobe prostě nedokáže udržet bezpečný.
Firma Trend Micro minulý týden v souvislosti s novou chybou Flashe upozornila, že 0day zranitelnost, o které je řeč, už aktivně používali a používají hackeři. Podařilo se také zjistit, že byla využita v útoku proti jednomu z ministerstev v blíže neurčené zemi. Trend Micro také dost jasně řekli, že jakkoliv s Adobe pracují na nápravě, měla by firma Flash konečně ukončit.
Není to vůbec zbytečná poznámka nebo něco, co by nemělo opodstatnění. Flash se stal středem aktivit společnosti Hacking Team (viz Jaké exploity objednala česká policie? Maily Hacking Teamu jsou na WikiLeaks). Studie záplavy uniklých dokumentů i zdrojových kódů ukázala, že Hacking Team měli k dispozici řadu pomůcek využívajících právě Flash, včetně široce dostupné zranitelnosti.
Mozilla tehdy dokonce Flash kompletně deaktivovala, ale bohužel to udělala pouze na krátkou dobu a po „opravách“ od Adobe opět Flash ve Firefoxu povolila. Ale i bezpečnostní šéf Facebooku Alex Stamos tehdy žádal, aby Adobe určilo jasné datum, kdy Flash přestane existovat.
99 % počítačů na internetu
Adobe tvrdí, že Flash v sobě má 99 % počítačů na internetu (a to buďme rádi, že telefony a tablety ho už obsahovat nemohou, až na nějaké ty počáteční snahy o Flash na Androidu). Pokud bychom těmto číslům věřili (pocházejí z průzkumu v roce 2011 a od té doby Adobe nové údaje nezveřejnilo), znamenalo by to, že 99 % počítačů na internetu je napadnutelných.
Hacknutelných, ovládnutelných, zneužitelných. Jejich vlastníci buď vůbec nebudou tušit, k čemu jejich počítač ve skutečnosti slouží, nebo se jim jednoho dne může zobrazit vyděračská hláška nějakého toho ransomware a přijdou o všechno, co v počítači měli.
Doby, kdy nejzranitelnějším prvkem počítače byl prohlížeč, jsou dávno za námi. Dnes je to Flash (a v závěsu za ním ještě Java), kudy se útočník často dostane ke kýženému cíli. Více si o tom lze přečíst například v Operation Pawn Storm.
Co se stane, když odstraníte z počítače Flash
Zkuste si to, prostě odstraňte z počítače Flash (nestačí ho deaktivovat, je nutné ho opravdu odinstalovat), vrátit ho v nejhorším případě můžete vždy. Když už budete v odstraňování, zbavte se i Javy. Jedině tak zjistíte, zda nepoužíváte něco, kde Flash (či Javu) nutně potřebujete. Ale také tak můžete zjistit, kterému výrobci softwaru nebo poskytovateli služeb máte začít psát výzvy, aby změnil přístup a neohrožoval vaši bezpečnost.
Ano, s překvapením zjistíte, že existuje bankovní dům, který má bankovnictví napsané ve Flashi. Nepochopitelné a krajně nezodpovědné, neuvěřitelný hazard s bezpečností klientů.
Zjistíte, že na webu České televize stále používají flashový přehrávač, ačkoliv na tabletech se bez flashe obejdou. Stejná nezodpovědnost i přes to, že tady lze některé důvody použití Flashe chápat.
Zjistíte ale také třeba to, že pro Minecraft nepotřebujete Javu. Ale bohužel také to, že pokud potřebujete vyvíjet pro Android, tak celé IDE je na Javě postavené. Flash vám bude chybět také na pár webech fotografů, kteří stále nepochopili, že už není rok 2000. A nepustíte si některou ze stovek či tisíců flashových her pro děti.
Flash už dnes pro reklamy nedává smysl
Jedno je ale dobré zopakovat. Dokud Flash či Javu opravdu neodstraníte, tak nezjistíte, zda to bez nich půjde. A zároveň, dokud je máte v počítači a přistupujete na internet, tak vás kdekoliv mohou napadnout útočníci. To kdekoliv je zde podstatné, protože útoky se dnes dějí běžně i na zcela důvěryhodných webech – útočný kód se tam dostává přes inzertní systémy či hacknuté weby.
YouTube? Vimeo a další weby s videem? Tam už se nemáte čeho obávat, už poměrně dlouho vyměnily flashové přehrávače za HTML 5.
Jedním z argumentů pro používání Flashe je paradoxně stále internetová inzerce (blokování reklam vás mimochodem proti útokům přes Flash 100% neochrání), kde se Flash stal velmi rozšířeným nástrojem. Jenže, Chrome dnes flashové inzeráty nespouští, musíte si je aktivovat ručně. A nespustí ani další flashové věci natažené do neaktivního tabu či okna.
Řada inzertních sítí se Flashi už také brání a odmítá takovouto inzerci přijímat. Inzerentům a agenturám nakonec nezbude nic jiného, než přestat nesmyslné a zbytečně se hýbající inzeráty vytvářet nebo přejít na HTML 5.
ČLÁNKY DO MAILU