adobe
Na początku 2021 roku Adobe Flash oficjalnie przestał istnieć. Chociaż zasmuciło to niektórych fanów starszych gier przeglądarkowych, większość ekspertów od bezpieczeństwa informacji odetchnęła z ulgą. Świat miał przygotować się do życia bez tej wybitnej, lecz już martwej technologii.
Jednak czy naprawdę jesteśmy gotowi? Okazuje się, że nie wszyscy przestawili się na inne narzędzia, mimo że Adobe informował o swoich planach od wielu lat. Co więcej, część ludzi (których można nazwać technologicznymi nekromanami) zaczęła szukać sposobów na wskrzeszenie tej technologii. Sprawdźmy, jak świat radzi sobie (lub nie) bez Adobe Flasha.
Kolej w mieście Dalian
Koniec treści opartych na technologii Flash przyczynił się do powstania awarii, która dotknęła kolej w chińskim mieście Dalian. Mimo podania oficjalnej daty (1 stycznia) zakończenia wsparcia, firma Adobe postanowiła wprowadzić okres karencji, zapewniając dodatkowe 11 dni na pożegnanie się z Flashem. W tej sytuacji trudno racjonalnie wytłumaczyć, dlaczego 12 stycznia ktoś miałby nadal korzystać z Flasha, ale przykładem mogą tu być systemy kolejowe w mieście Dalian.
Nie wiadomo, czy Flash był bezpośrednią przyczyną problemów z podróżowaniem oraz które dokładnie systemy ucierpiały. Chociaż media informowały o problemach z odjazdami i sprzedażą biletów, przedstawiciele firmy zaprzeczyli tym doniesieniom. Ostatecznie pomoc techniczna wskrzesiła technologię Adobe Flash na komputerach znajdujących się na stacjach, przywracając w ten sposób działanie systemów. Wszystko wróciło do normy.
Z punktu widzenia bezpieczeństwa informacji działanie takie nie jest godne pochwały. Obecnie część infrastruktury krytycznej używa (aczkolwiek nie do zadań krytycznych) technologii, o której wiadomo, że jest przestarzała.
Należy tu wspomnieć, że wiele dużych firm udostępniło swoje aktualizacje tylko częściowo, gdyż dobra praktyka nakazuje sprawdzanie aktualizacji, zaczynając od maszyn znajdujących się w izolowanym środowisku testowym. Być może koleje w Dalian zastosowały taką praktykę — tego nie wiemy. W tym przypadku problem nie polega na protokołach aktualizacji; 12 stycznia Adobe nie zaktualizował Flasha, lecz go całkowicie zamknął. Wyłącznik został zakodowany dawno temu, na długo przed ostatnią aktualizacją (8 grudnia), a łata świetnie sprawdziłaby się w każdym środowisku testowym.
Być może osadzenie opóźnionego wyłącznika nie było najlepszym pomysłem w przypadku tak szeroko używanej technologii.
Urząd podatkowy w Afryce Południowej
12 stycznia Urząd Skarbowy Republiki Południowej Afryki nagle uświadomił sobie, że jego formularze internetowe zostały utworzone w oparciu o Adobe Flash.
Zamiast przedłużyć termin składania zeznań podatkowych i napisać ponownie formularz z użyciem nowszej technologii, instytucja postanowiła udostępnić niestandardową przeglądarkę obsługującą Adobe Flash. Teraz podatnicy w Afryce Południowej muszą używać niewspieranej już technologii do wysyłania wrażliwych informacji finansowych.
Rząd Republiki Południowej Afryki nie utworzył tej przeglądarki od podstaw, lecz użył fragmentów projektu Chromium. W efekcie zapewnia ona dostęp do tylko jednej strony internetowej i choć takie rozwiązanie nie zagraża czyjemuś życiu, nie wiadomo, jakie są plany aktualizacji takiej przeglądarki.
Program aktualnie istnieje tylko dla systemu Windows, więc użytkownicy pozostałych systemów operacyjnych muszą poszukać alternatywnych sposobów na uruchomienie treści dostępnych we Flashu, co stwarza zagrożenie. Mamy nadzieję, że sytuacja jest tymczasowa, a agencja ostatecznie porzuci Flasha.
Pomysły na obejście zaistniałej sytuacji
Alternatywne sposoby na uruchomienie Flasha naprawdę istnieją. Co gorsza, jest na nie zapotrzebowanie, i to nie tylko wśród miłośników gier opartych na tej technologii. Niektóre dość duże firmy wykorzystują ją w części swoich serwisów (najczęściej wewnętrznych). Wystarczy wyszukać frazę „jak uruchomić Flasha po 2021 r.”, aby znaleźć mnóstwo łączy zawierających stosowne instrukcje — których oczywiście nie warto stosować.
Na przykład jedną z opcji jest zainstalowanie wersji programu Flash Player bez zakodowanego wyłącznika. Chociaż Adobe usunął ze swojej strony internetowej łącza do starszych wersji tego programu, oferują je nieoficjalne strony internetowe. Należy przy tym pamiętać, że używanie starszych wersji jakiegokolwiek programu jest ryzykowne, a pobieranie oprogramowania z nieoficjalnych stron dodatkowo zwiększa poziom zagrożenia — w końcu nikt nie wie, co pozbawieni skrupułów oszuści mogli dodali do pakietu instalacyjnego.
W internecie można też znaleźć instrukcje pozwalające zneutralizować wbudowany wyłącznik, co umożliwia wyświetlanie treści we Flashu.
Są jeszcze inne rozwiązania, które według nas są bardziej sensowne. Na przykład pewne rozszerzenia przeglądarek wykorzystują emulator Flash Playera o nazwie Ruffle, który stosuje nowoczesne technologie piaskownicy w przeglądarce. Ponadto emulator Ruffle został napisany w języku Rust, a ponieważ cechuje się on bezpieczną pamięcią, eliminuje charakterystyczne dla Flasha problemy i luki, jak twierdzą jego twórcy.
Brzmi świetnie, jednak warto pamiętać, że Ruffle to projekt o otwartym kodzie źródłowym, którym zajmują się entuzjaści. Zobaczymy, jak długo ich entuzjazm będzie trwał. Ponadto Ruffle może mieć własne luki w zabezpieczeniach.
Pojawiły się również wyspecjalizowane rozwiązania B2B. Na przykład firma Harman podpisała z Adobe umowę na wyłączność w zakresie tworzenia i wspierania niestandardowych przeglądarek z włączonym Flashem, które mają być oferowane firmom, które nie są gotowe z nim się rozstać.
Co zrobić, gdy nadal potrzebujesz Flasha
Jeśli życie bez tej technologii wydaje się nie do zniesienia, sugerujemy przeanalizowanie następujących porad:
- Przemyśl sprawę jeszcze raz i spróbuj zaktualizować zawartość swojej strony internetowej.
- Do uruchamiania starszych wersji i prowizorycznych obejść używaj środowiska wirtualnego — ale tylko wtedy, jeśli naprawdę jest to konieczne.
- Zainstaluj rozwiązanie zabezpieczające, które potrafi wykrywać próby wykorzystania luk w bezpieczeństwie, nawet jeśli używasz obejścia, które wydaje się bezpieczne.
Porady