Em 7 de junho, a Adobe encerrou uma vulnerabilidade crítica no Flash Player (
notícias ,
publicação da empresa ). A vulnerabilidade CVE-2018-5002 foi descoberta imediatamente por várias equipes de pesquisa da China - estamos falando sobre a execução remota de código arbitrário como resultado de um erro de estouro de buffer. Essa é uma vulnerabilidade de dia zero: no momento da descoberta, ela já era usada em ataques direcionados no Oriente Médio. Esse problema bastante sério é percebido como notícias de rotina simplesmente por causa do nome do produto afetado: bem, quem pode ser surpreendido pelo RCE rapidamente?
Somente este ano, esta é a segunda vulnerabilidade crítica de dia zero; a primeira foi
encerrada urgentemente em fevereiro. O Adobe Flash em geral se tornou um exemplo exemplar de software inseguro, está constantemente no topo dos aplicativos mais frequentemente atacados e não sai dessa classificação há anos. Ainda é comum entre os usuários, apesar de muitos anos de tentativas de substituí-lo por tecnologias objetivamente mais eficientes. Independentemente da tecnologia, o Flash se tornou parte integrante da história da Internet. Usando alguns links e um único gráfico, vamos tentar olhar para o Flash do ponto de vista da segurança e não apenas.
De um passado glorioso a um presente tristeO início da história do ancestral do Adobe Flash, o software de desenho SmartSketch, é um caso útil sobre como apostar no desenvolvimento de tecnologias promissoras diante da falta de informações. Imagine-se no ano de 1992-1993. Ainda não existe uma web como tal, a Internet é um brinquedo para cientistas e um clube fechado para os amantes da comunicação por correio e
notícias . Ao mesmo tempo, todas as tecnologias promissoras são descritas: existem padrões para PCs multimídia, para dispositivos vestíveis, existem primeiros conceitos para tablets. Não está claro que isso irá desenvolver e gerar dinheiro, e mais importante, em que ordem todas essas tecnologias serão acionadas. Os desenvolvedores do SmartSketch fizeram a aposta errada em um dos primeiros sistemas operacionais para computadores portáteis com tela de toque (
PenPoint ).
O sistema não estava à altura da versão comercial e o SmartSketch teve que ser rapidamente portado para o Mac OS e Windows, onde havia muitos programas de desenho. E a segunda decisão estratégica - reformular o projeto para criar animações e até garantir a possibilidade de publicação na Web - acabou sendo correta. Em 1996, um produto renomeado FutureSplash Animator foi lançado. Na mesma época, a Microsoft percebeu que o futuro está na Internet, começou a bombear projetos relevantes com orçamentos de marketing e desenvolvimento e a criar algo que só seria realmente útil em 10 a 15 anos - todos os tipos de televisão na web e outras coisas interativas. Interativo - isso inclui animação, e aqui os criadores do software mapearam e inundaram.
No mesmo ano de 1996, o projeto foi adquirido pela Macromedia (e renomeado Flash). No início do novo milênio, o plug-in gratuito do lado do cliente se tornou a extensão mais comum do navegador. Em 2005, a Macromedia foi vendida para a Adobe e, mesmo assim, não era apenas um software para criar objetos complexos da Web, mas uma plataforma de desenvolvimento de software, na qual o Flash Player se tornava apenas um método de entrega. Em algum lugar naquela época, era possível ver vislumbres de um futuro brilhante em que fabricantes de computadores, desenvolvedores de sistemas operacionais e até navegadores desempenham o papel de operadores de TV a cabo responsáveis pela instalação dos fios. As avós de verdade ganham ao mesmo tempo o conteúdo criado e entregue pela plataforma Flash, que é totalmente controlada pela Adobe. Ótimo, certo?
Talvez tudo fosse assim se não fosse o desenvolvimento de dispositivos móveis nos quais houvesse um cenário de interação diferente (uma caneta e dedos em vez de um mouse) e um hardware muito mais fraco que os PCs convencionais. O Flash estava presente, digamos, no Windows Mobile, mas a experiência foi mais ou menos. Em 2007, a Apple lançou o primeiro iPhone, um smartphone em que a visualização da Web completa se tornou mais ou menos conveniente. A ausência do Flash era frequentemente retratada como uma das sérias falhas do dispositivo: sem ele, no final do zero, era impossível transmitir vídeo e áudio de muitos recursos, usar alguns aplicativos de negócios e, é claro, era impossível reproduzir algum tipo de
fazenda divertida . Em 2010, imediatamente após o lançamento do iPad, que
também não possuía o Flash , Steve Jobs escreveu
uma carta aberta explicando por que o Flash nunca aparecerá nos dispositivos móveis da Apple.
Vou listar os principais argumentos de Jobs contra o Flash brevemente. Padrão fechado (Jobs afirma que a Apple também possui muitos
proprietários , mas os padrões da web devem estar abertos). O mecanismo WebKit desenvolvido pela Apple e usado em todos os lugares é dado como um contra-exemplo (os smartphones Nokia são mencionados na carta e, em seguida, ainda eram relevantes!).
Recursos e bateria: um exemplo é a implementação ineficiente do codec H.264 no Flash, que não permite o uso completo da decodificação de vídeo por hardware. Daí o aumento da carga no processador e meia hora de duração da bateria. Afiação no controle do mouse e incapacidade de trabalhar normalmente com os dedos. A falta de motivação da Adobe para otimizar aplicativos em Flash para iPhone e iPad. Por fim, foram mencionados segurança e confiabilidade (“a razão da queda dos computadores Macintosh número um”).
Oh, o que começou aqui . O diretor da Adobe, é claro,
respondeu : "papoulas" supostamente caem porque o eixo é uma curva. Sobre o consumo de bateria - é tudo mentira. E, é claro, "somos a favor de multiplataforma". Parece que o sonho de que o programa foi escrito uma vez e funcione em qualquer coisa - mesmo em um PC, mesmo em uma cafeteira, nunca foi realizado. Os problemas da codificação eficiente são resolvidos de alguma forma, simplesmente sem a Adobe e a plataforma Flash.
Foi uma ferramenta relativamente simples e conveniente por um tempo relativamente longo, com um mecanismo de entrega de trabalho para um grande público. E, em seguida, deixou de ser essa ferramenta: 25 de julho de 2017 A Adobe
anuncia a eliminação progressiva do suporte e desenvolvimento do Flash. O motivo é a aplicação universal desses mesmos padrões da web aberta. Desde então, começou a história do Flash como uma plataforma de zumbis AKA minas-bomba nos computadores de milhões de usuários.
Quão ruim é isso?A questão deve ser dividida em duas partes: quão ruim é tudo pessoalmente com você e quão ruim é tudo com o Adobe Flash, em princípio, do ponto de vista da segurança? É fácil responder a primeira pergunta por conta própria: acesse a
página do site da Adobe com o widget para verificar a versão do Flash Player. No meu caso, o navegador Chrome primeiro pediu permissão para executar o Flash e depois mostrou que eu tenho a versão mais recente, com um zirodei corrigido de 7 de junho. Tudo parece estar bem: o fabricante do navegador (Chrome) suporta automaticamente a relevância do plug-in Flash. Por outro lado, é bem possível desativar completamente essa funcionalidade: para um usuário comum, uma oferta para iniciar o Flash ao carregar uma página não causará perguntas especiais. E há muitas situações em que até a versão mais recente do plug-in é criticamente vulnerável.
Quão ruim é o Flash Player em geral? O banco de dados de vulnerabilidades do CVE fornece uma visão geral.
No Flash Player, no momento da publicação, havia informações sobre 1047 vulnerabilidades desde 2005. O maior número de vulnerabilidades foi adicionado ao banco de dados em 2015 e 2016, assim como a Adobe
anunciou um aumento radical na segurança da plataforma. O programa Adobe Reader, que também é frequentemente usado para ataques cibernéticos, possui 368 vulnerabilidades registradas no mesmo banco de dados CVE - quase três vezes menos. 86% das vulnerabilidades do Flash Player no banco de dados do CVE são classificadas como níveis de segurança 9 a 10, ou seja, são vulnerabilidades críticas. 79% são sinalizados diretamente como causando a execução de código arbitrário.
Preço de software não seguroNão posso dizer que concordo com a carta de Steve Jobs sobre o Flash. Não se esqueça de que foi escrito em 2010, quando foi difícil assistir a um vídeo no YouTube em HTML5 sem dançar com um pandeiro (o Flash geralmente era
desativado apenas em 2015). Perder o Flash é uma história de negócios sobre uma tecnologia que começou a perder terreno muito antes de se tornar quase o software atacado com mais freqüência.
E imagine-se no lugar da Adobe: mais de 13 anos, a tecnologia trouxe muito dinheiro à empresa. Por várias razões, a tecnologia está na hora de descansar, mas por mais três anos gerará receita - devido ao desejo do setor de garantir a compatibilidade. O desenvolvimento é interrompido, o investimento é zero, há renda, beleza! Mas não, algumas soluções técnicas (adotadas há muito tempo) ou apenas uma supervisão de segurança me obrigam a gastar dinheiro e recursos consideráveis na manutenção de uma forma minimamente decente de um produto que não o merece mais. Mas é necessário: caso contrário, danos à reputação e até custos legais.
Seria interessante ler as memórias de alguém com a análise: como isso aconteceu? Também é aconselhável com dicas sobre como evitar isso no futuro. Até o momento, podemos concluir que o investimento em segurança é necessário quase antes do início do desenvolvimento do produto. Você pode, é claro, pensar que outras pessoas já estarão cobrando as ombreiras que foram originalmente criadas, após o recebimento de lucros e bônus. Mas essa não é uma abordagem séria. Como abordar com responsabilidade o desenvolvimento de software para formação de sistemas em nossos dias? Descubra em 10-15 anos?
Isenção de responsabilidade: as opiniões expressas neste resumo nem sempre coincidem com a posição oficial da Kaspersky Lab. Caros editores, geralmente recomendam tratar qualquer opinião com ceticismo saudável.