Pada 7 Juni, Adobe menutup kerentanan kritis di Flash Player (
berita ,
posting perusahaan ). Kerentanan CVE-2018-5002 ditemukan segera oleh beberapa tim peneliti dari Tiongkok - kita berbicara tentang eksekusi kode arbitrase jarak jauh sebagai akibat dari kesalahan buffer overflow. Ini adalah kerentanan nol hari: pada saat ditemukan, sudah digunakan dalam serangan yang ditargetkan di Timur Tengah. Masalah yang agak serius ini dianggap sebagai berita rutin hanya karena nama produk yang terpengaruh: baik, siapa yang dapat dikejutkan oleh RCE dalam sekejap?
Tahun ini saja, ini adalah kerentanan zero-day kritis kedua, yang pertama
ditutup pada Februari. Adobe Flash secara umum telah menjadi contoh teladan dari perangkat lunak tidak aman, secara konsisten di atas aplikasi yang paling sering diserang, dan tidak meninggalkan peringkat ini selama bertahun-tahun. Ini masih umum di antara pengguna, meskipun bertahun-tahun upaya untuk menggantinya dengan teknologi yang lebih efisien secara objektif. Terlepas dari teknologi, Flash telah menjadi bagian integral dari sejarah Internet. Menggunakan beberapa tautan dan bagan tunggal, mari kita coba melihat Flash dari sudut pandang keamanan dan tidak hanya.
Dari masa lalu yang gemilang ke masa kini yang menyedihkanSejarah awal leluhur Adobe Flash, perangkat lunak menggambar SmartSketch, adalah kasus yang berguna tentang bagaimana bertaruh pada pengembangan teknologi yang menjanjikan dalam menghadapi kurangnya informasi. Bayangkan saja diri Anda pada tahun 1992-1993. Masih belum ada web seperti itu, Internet adalah mainan bagi para ilmuwan dan klub tertutup bagi pecinta komunikasi dalam surat dan
berita . Pada saat yang sama, semua teknologi yang menjanjikan dijelaskan: ada standar untuk PC multimedia, untuk perangkat yang dapat dipakai, ada konsep tablet pertama. Tidak jelas apakah ini akan mengembangkan dan menghasilkan uang, dan yang paling penting, dalam urutan apa semua teknologi ini akan menembak. Pengembang SmartSketch pertama kali membuat kesalahan pada salah satu OS pertama untuk komputer portabel dengan layar sentuh (
PenPoint ).
Sistem ini tidak sesuai dengan rilis komersial, dan SmartSketch harus dengan cepat dipindahkan ke Mac OS dan Windows, di mana ada banyak program menggambar. Dan keputusan strategis kedua - untuk menggunakan kembali proyek untuk membuat animasi, dan bahkan untuk memastikan kemungkinan penerbitan di web - ternyata benar. Pada tahun 1996, sebuah produk berganti nama menjadi FutureSplash Animator dirilis. Sekitar waktu yang sama, Microsoft menyadari bahwa masa depan terletak di Internet, mulai memompa proyek-proyek yang relevan dengan anggaran untuk pemasaran dan pengembangan dan menciptakan sesuatu yang akan benar-benar dapat digunakan hanya dalam 10-15 tahun - semua jenis televisi web dan hal-hal interaktif lainnya. Interaktif - ini termasuk animasi, dan di sini pencipta peta perangkat lunak dan banjir.
Pada tahun 1996 yang sama, proyek diakuisisi oleh Macromedia (dan berganti nama menjadi Flash). Pada awal milenium baru, plug-in sisi klien gratis telah menjadi ekstensi browser yang paling umum. Pada tahun 2005, Macromedia dijual ke Adobe, dan itupun bukan hanya perangkat lunak untuk membuat objek web yang kompleks, tetapi lebih pada platform pengembangan perangkat lunak, di mana Flash Player hanya menjadi metode pengiriman. Di suatu tempat jauh di masa lalu orang bisa melihat sekilas masa depan yang cerah di mana produsen komputer, pengembang sistem operasi dan bahkan browser memainkan peran operator TV kabel yang bertanggung jawab untuk meletakkan kabel. Nenek sungguhan pada saat yang sama menghasilkan konten yang dibuat dan dikirim melalui platform Flash, dan sepenuhnya dikendalikan oleh Adobe. Bagus kan?
Mungkin semuanya akan terjadi jika bukan karena pengembangan perangkat seluler di mana ada skenario interaksi yang berbeda (pena dan jari daripada mouse) dan perangkat keras yang jauh lebih lemah daripada PC konvensional. Flash hadir, katakanlah, di Windows Mobile, tetapi pengalamannya biasa-biasa saja. Pada tahun 2007, Apple merilis iPhone pertama, sebuah smartphone di mana melihat web penuh menjadi lebih atau kurang nyaman. Absennya Flash sering digambarkan sebagai salah satu kelemahan serius perangkat: tanpanya, pada titik nol, tidak mungkin untuk melakukan streaming video dan audio dari banyak sumber, menggunakan beberapa aplikasi bisnis, dan, tentu saja, tidak mungkin memainkan semacam
peternakan yang menyenangkan . Pada 2010, segera setelah rilis iPad, yang
juga tidak memiliki Flash , Steve Jobs menulis
surat terbuka yang menjelaskan mengapa Flash tidak akan pernah muncul di perangkat seluler Apple.
Saya akan mencantumkan argumen utama Jobs terhadap Flash secara singkat. Standar tertutup (Pekerjaan menyatakan bahwa Apple juga memiliki banyak
kepemilikan , tetapi standar web harus terbuka). Mesin WebKit yang dikembangkan oleh Apple dan digunakan di mana-mana diberikan sebagai contoh tandingan (smartphone Nokia disebutkan dalam surat itu, dan kemudian itu masih relevan!).
Sumber daya dan baterai: contohnya adalah implementasi yang tidak efisien dari codec H.264 di Flash, yang tidak memungkinkan penggunaan penuh decoding video perangkat keras. Karenanya peningkatan beban pada prosesor dan masa pakai baterai setengah jam. Menajamkan kontrol mouse dan ketidakmampuan untuk bekerja secara normal dengan jari. Kurangnya motivasi Adobe untuk mengoptimalkan aplikasi Flash untuk iPhone dan iPad. Akhirnya, baik keamanan dan keandalan disebutkan ("alasan jatuhnya komputer Macintosh nomor satu").
Oh, apa yang dimulai di sini . Direktur Adobe, tentu saja,
menjawab : "bunga poppy" konon jatuh karena porosnya adalah kurva. Tentang konsumsi baterai - itu semua bohong. Dan, tentu saja, "kami untuk multi-platform". Tampaknya mimpi bahwa program ini ditulis sekali dan kemudian bekerja pada apa pun - bahkan pada PC, bahkan pada pembuat kopi, tidak pernah terwujud. Masalah pengkodean yang efisien entah bagaimana diselesaikan, hanya tanpa Adobe dan platform Flash.
Itu adalah alat yang relatif sederhana dan nyaman untuk waktu yang relatif lama, dengan mekanisme pengiriman yang berfungsi untuk audiens yang besar. Dan kemudian berhenti menjadi alat seperti itu: 25 Juli 2017 Adobe
mengumumkan penghentian pengembangan dan dukungan Flash. Alasannya adalah aplikasi universal dari standar web terbuka yang sama. Sejak itu, sejarah Flash sebagai platform zombie ranjau bom waktu AKA di komputer jutaan pengguna dimulai.
Seberapa buruk itu?Pertanyaannya harus dibagi menjadi dua bagian: seberapa buruk semuanya pribadi dengan Anda dan seberapa buruk segalanya dengan Adobe Flash, pada prinsipnya, dari sudut pandang keamanan? Pertanyaan pertama mudah dijawab sendiri: buka
halaman situs Adobe dengan widget untuk memeriksa versi Flash Player. Dalam kasus saya, browser Chrome pertama meminta izin untuk menjalankan Flash, dan kemudian menunjukkan bahwa saya memiliki versi terbaru, dengan zirodei yang ditambal pada 7 Juni. Semuanya tampak baik-baik saja: pabrikan browser (Chrome) secara otomatis mendukung relevansi plugin Flash. Di sisi lain, sangat mungkin untuk mematikan fungsi ini sama sekali: untuk pengguna biasa, tawaran untuk meluncurkan Flash saat memuat halaman tidak akan menimbulkan pertanyaan khusus. Dan ada banyak situasi di mana bahkan versi terbaru dari plugin sangat rentan.
Seberapa buruk Flash Player pada umumnya? Basis data kerentanan CVE memberikan gambaran umum.
Ada untuk Flash Player pada saat publikasi ada informasi tentang 1047 kerentanan sejak 2005. Jumlah kerentanan terbesar ditambahkan ke database pada 2015 dan 2016, seperti Adobe
mengumumkan peningkatan radikal dalam keamanan platform. Program Adobe Reader, yang juga sering digunakan untuk serangan cyber, memiliki 368 kerentanan yang tercatat dalam basis data CVE yang sama - hampir tiga kali lebih sedikit. 86% kerentanan Flash Player di basis data CVE diklasifikasikan sebagai tingkat keamanan 9-10, mis. Ini adalah kerentanan kritis. 79% ditandai secara langsung sebagai penyebab kode arbitrer dieksekusi.
Harga perangkat lunak tidak amanSaya tidak bisa mengatakan bahwa saya setuju dengan surat Steve Jobs tentang Flash. Jangan lupa bahwa itu ditulis pada tahun 2010, ketika sulit untuk menonton video di YouTube dalam HTML5 tanpa menari dengan rebana (Flash pada umumnya
dimatikan hanya pada tahun 2015). Losing Flash adalah kisah bisnis tentang teknologi yang mulai kehilangan tempat jauh sebelum menjadi perangkat lunak yang paling sering diserang.
Dan bayangkan diri Anda di tempat Adobe: lebih dari 13 tahun, teknologi telah menghasilkan banyak uang bagi perusahaan. Untuk sejumlah alasan, teknologi ini waktunya untuk beristirahat, tetapi untuk tiga tahun berikutnya akan menghasilkan pendapatan - karena keinginan industri untuk memastikan kompatibilitas. Pembangunan dihentikan, investasi nol, ada penghasilan, keindahan! Tapi tidak, beberapa solusi teknis (sudah lama diadopsi) atau hanya pengawasan keamanan memaksa saya untuk menghabiskan banyak uang dan sumber daya untuk mempertahankan dalam bentuk produk yang layak minimal yang tidak lagi layak mendapatkannya. Tapi itu perlu: kalau tidak merusak reputasi, dan bahkan biaya hukum.
Akan menarik untuk membaca ingatan seseorang dengan analisis: bagaimana hal itu terjadi? Juga disarankan dengan tips tentang cara menghindari ini di masa depan. Sejauh ini, kita hanya dapat menyimpulkan bahwa investasi dalam keamanan diperlukan hampir sebelum dimulainya pengembangan produk. Anda tentu saja dapat berpikir bahwa beberapa orang lain sudah akan menyapu jamban yang awalnya didirikan, setelah keuntungan dan bonus diterima. Tapi ini bukan pendekatan yang serius. Bagaimana secara bertanggung jawab mendekati pengembangan perangkat lunak pembentuk sistem di zaman kita? Cari tahu dalam 10-15 tahun?
Penafian: Pendapat yang diungkapkan dalam intisari ini mungkin tidak selalu bertepatan dengan posisi resmi Kaspersky Lab. Para editor yang terhormat umumnya merekomendasikan untuk memperlakukan setiap pendapat dengan skeptis yang sehat.