El 7 de junio, Adobe cerró una vulnerabilidad crítica en Flash Player (
noticias ,
publicación de la compañía ). La vulnerabilidad CVE-2018-5002 fue descubierta de inmediato por varios equipos de investigación de China: estamos hablando de la ejecución remota de código arbitrario como resultado de un error de desbordamiento del búfer. Esta es una vulnerabilidad de día cero: en el momento del descubrimiento, ya se usaba en ataques dirigidos en Oriente Medio. Este problema bastante grave se percibe como una noticia de rutina simplemente por el nombre del producto afectado: bueno, ¿a quién puede sorprender RCE en un instante?
Solo este año, esta es la segunda vulnerabilidad crítica de día cero; la primera se
cerró urgentemente en febrero. Adobe Flash en general se ha convertido en un ejemplo ejemplar de software inseguro, está constantemente en la cima de las aplicaciones atacadas con mayor frecuencia y no deja esta calificación durante años. Todavía es común entre los usuarios, a pesar de muchos años de intentos de reemplazarlo con tecnologías objetivamente más eficientes. Independientemente de la tecnología, Flash se ha convertido en una parte integral de la historia de Internet. Usando un par de enlaces y un solo gráfico, tratemos de ver Flash desde un punto de vista de seguridad y no solo.
De un pasado glorioso a un triste presenteLa historia temprana del antepasado de Adobe Flash, el software de dibujo SmartSketch, es un caso útil sobre cómo apostar por el desarrollo de tecnologías prometedoras ante la falta de información. Imagínese en el año 1992-1993. Todavía no hay una web como tal, Internet es un juguete para los científicos y un club cerrado para los amantes de la comunicación por correo y
noticias . Al mismo tiempo, se describen todas las tecnologías prometedoras: hay estándares para PC multimedia, para dispositivos portátiles, hay primeros conceptos de tabletas. No está claro que esto se desarrolle y genere dinero, y lo más importante, en qué orden se dispararán todas estas tecnologías. Los desarrolladores de SmartSketch primero hicieron la apuesta equivocada en uno de los primeros sistemas operativos para computadoras portátiles con pantalla táctil (
PenPoint ).
El sistema no estuvo a la altura del lanzamiento comercial, y SmartSketch tuvo que ser portado rápidamente a Mac OS y Windows, donde había muchos programas de dibujo. Y la segunda decisión estratégica, reutilizar el proyecto para crear animaciones e incluso garantizar la posibilidad de publicar en la web, resultó ser correcta. En 1996, se lanzó un producto renombrado FutureSplash Animator. Casi al mismo tiempo, Microsoft se dio cuenta de que Internet era el futuro, comenzó a impulsar proyectos relevantes con presupuestos para marketing y desarrollo y crear algo que sería realmente útil solo en 10-15 años: todo tipo de televisión web y otras cosas interactivas. Interactivo: esto incluye animación, y aquí los creadores del mapa del software se inundaron.
En el mismo 1996, el proyecto fue adquirido por Macromedia (y renombrado Flash). Al comienzo del nuevo milenio, el complemento gratuito del lado del cliente se ha convertido en la extensión de navegador más común. En 2005, Macromedia se vendió a Adobe, e incluso entonces no era solo un software para crear objetos web complejos, sino más bien una plataforma de desarrollo de software, en la que Flash Player se convirtió en un método de entrega. En algún lugar, en aquel entonces, se podían vislumbrar un futuro brillante en el que los fabricantes de computadoras, los desarrolladores de sistemas operativos e incluso los navegadores desempeñan el papel de operadores de televisión por cable responsables de tender los cables. Las abuelas reales al mismo tiempo ganan en contenido creado y entregado a través de la plataforma Flash, y Adobe lo controla por completo. Genial, verdad?
Quizás todo sería así si no fuera por el desarrollo de dispositivos móviles en los que hubiera un escenario de interacción diferente (un lápiz y dedos en lugar de un mouse) y un hardware mucho más débil que las PC convencionales. Flash estuvo presente, por ejemplo, en Windows Mobile, pero la experiencia fue regular. En 2007, Apple lanzó el primer iPhone, un teléfono inteligente en el que ver la web completa se ha vuelto más o menos conveniente. La ausencia de Flash a menudo se describió como uno de los defectos más graves del dispositivo: sin él, al final del cero, era imposible transmitir video y audio desde muchos recursos, usar algunas aplicaciones comerciales y, por supuesto, no se podía jugar a ninguna
granja divertida . En 2010, inmediatamente después del lanzamiento del iPad, que
tampoco tenía Flash , Steve Jobs escribió
una carta abierta explicando por qué Flash nunca aparecerá en los dispositivos móviles de Apple.
Enumeraré brevemente los principales argumentos de Jobs contra Flash. Estándar cerrado (Jobs afirma que Apple también tiene muchos
propietarios , pero los estándares web deben estar abiertos). El motor WebKit desarrollado por Apple y utilizado en todas partes se da como un contraejemplo (los teléfonos inteligentes Nokia se mencionan en la carta, ¡y aún así era relevante!).
Recursos y batería: un ejemplo es la implementación ineficiente del códec H.264 en Flash, que no permite el uso completo de la decodificación de video por hardware. De ahí el aumento de la carga en el procesador y la media hora de duración de la batería. Afilado en el control del mouse y la incapacidad de trabajar normalmente con los dedos. La falta de motivación de Adobe para optimizar las aplicaciones Flash para iPhone y iPad. Finalmente, se mencionaron tanto la seguridad como la confiabilidad ("la razón de la caída de las computadoras Macintosh número uno").
Oh, que empezó aquí . El director de Adobe, por supuesto,
respondió : "las amapolas" supuestamente caen porque el eje es una curva. Sobre el consumo de batería: todo es mentira. Y, por supuesto, "estamos para multiplataforma". Parece que el sueño de que el programa se escriba una vez y luego funcione en cualquier cosa, incluso en una PC, incluso en una cafetera, nunca se realizó. Los problemas de la codificación eficiente se resuelven de alguna manera, simplemente sin Adobe y la plataforma Flash.
Fue una herramienta relativamente simple y conveniente durante un tiempo relativamente largo, con un mecanismo de entrega funcional para una gran audiencia. Y luego dejó de ser una herramienta de este tipo: 25 de julio de 2017 Adobe
anuncia la eliminación gradual del desarrollo y soporte de Flash. La razón es la aplicación universal de esos mismos estándares web abiertos. Desde entonces, comenzó la historia de Flash como una plataforma zombie, también conocida como mina de bombas de tiempo en las computadoras de millones de usuarios.
Que tan malo esLa pregunta debe dividirse en dos partes: ¿qué tan malo es todo personalmente con usted y qué tan malo es todo con Adobe Flash, en principio, desde un punto de vista de seguridad? La primera pregunta es fácil de responder por su cuenta: vaya a la
página del sitio de Adobe con el widget para verificar la versión de Flash Player. En mi caso, el navegador Chrome primero solicitó permiso para ejecutar Flash, y luego mostró que tengo la última versión, con un zirodei parcheado del 7 de junio. Todo parece estar bien: el fabricante del navegador (Chrome) admite automáticamente la relevancia del complemento Flash. Por otro lado, es bastante posible desactivar esta funcionalidad por completo: para un usuario normal, una oferta para iniciar Flash al cargar una página no causará preguntas especiales. Y hay muchas situaciones en las que incluso la última versión del complemento es extremadamente vulnerable.
¿Qué tan malo es Flash Player en general? La base de datos de vulnerabilidades CVE proporciona una descripción general. Para Flash Player, en el momento de la publicación, había información sobre 1047 vulnerabilidades desde 2005. La mayor cantidad de vulnerabilidades se agregó a la base de datos en 2015 y 2016, justo cuando Adobe
anunció un aumento radical en la seguridad de la plataforma. El programa Adobe Reader, que también se usa a menudo para ataques cibernéticos, tiene 368 vulnerabilidades registradas en la misma base de datos CVE, casi tres veces menos. El 86% de las vulnerabilidades de Flash Player en la base de datos de CVE están clasificadas como niveles de seguridad 9-10, es decir, son vulnerabilidades críticas. El 79% se marca directamente como causante de la ejecución de código arbitrario.
Precio del software inseguroNo puedo decir que estoy de acuerdo con la carta de Steve Jobs sobre Flash. No olvide que fue escrito en 2010, cuando era difícil ver un video en YouTube en HTML5 sin bailar con una pandereta (Flash generalmente
se apagaba solo en 2015). Perder Flash es una historia de negocios sobre una tecnología que comenzó a perder terreno mucho antes de que se convirtiera en el software atacado con mayor frecuencia.
E imagínese en el lugar de Adobe: más de 13 años, la tecnología le ha traído a la compañía mucho dinero. Por varias razones, la tecnología es hora de descansar, pero durante otros tres años generará ingresos, debido al deseo de la industria de garantizar la compatibilidad. El desarrollo se suspende, la inversión es cero, hay ingresos, belleza! Pero no, algunas soluciones técnicas (de larga adopción) o simplemente una supervisión de seguridad me obligan a gastar dinero y recursos considerables en mantener en una forma mínimamente decente un producto que ya no lo merece. Pero es necesario: de lo contrario, dañará la reputación e incluso los costos legales.
Sería interesante leer los recuerdos de alguien con análisis: ¿cómo sucedió? También es aconsejable con consejos sobre cómo evitar esto en el futuro. Hasta ahora, solo podemos concluir que es necesario invertir en seguridad casi antes del inicio del desarrollo del producto. Puede, por supuesto, pensar que algunas otras personas ya estarán rastrillando las jambas que se instalaron originalmente, después de recibir ganancias y bonos. Pero este no es un enfoque serio. ¿Cómo abordar de manera responsable el desarrollo de software de formación de sistemas en nuestro tiempo? ¿Descubrir en 10-15 años?
Descargo de responsabilidad: las opiniones expresadas en este resumen pueden no coincidir siempre con la posición oficial de Kaspersky Lab. Los estimados editores generalmente recomiendan tratar cualquier opinión con escepticismo saludable.