Adobe Flash — историческая платформа, которая пронизала весь интернет, и лишь недавно начала сдавать позиции новым технологиям, таким как HTML5. Она по-прежнему имеет огромный спектр применения, от веб-анимации и баннеров до игр и интерактивных презентаций. Как таковая, она распространилась практически по всем в мире ПК на Windows, подключенным к Сети. К сожалению, у нее также долгая история успешной эксплуатации киберпреступниками.
Восхождение к славе
Пересказ всей истории Flash занял бы много времени, так что мы ограничимся выделением некоторых ярких моментов. Это программное обеспечение первоначально называлось SmartSketch, потом FutureSplash, затем Macromedia (Shockwave) Flash и, в конечном итоге, стала Adobe Flash, после того как Adobe купила его десять лет назад вместе с компанией Macromedia. Имя Macromedia по-прежнему на слуху и не без причины.
Именно Macromedia ввела в обиход массу современных опций, таких как MovieClips, JavaScript, а позднее ActionScript со всеми его расширенными возможностями программирования и функциями видеоконтейнера. В конечном итоге, это привело к тому, что Flash стал стандартом де-факто для онлайнового видео — YouTube изначально использовал его в качестве «излюбленного оружия», для того чтобы покорить весь мир.
Стремительный взлёт и неохотное падение Adobe #Flash #безопасность
Tweet
Macromedia распространяла бесплатный Flash Player, что позволило ей быстро захватить долю рынка. К моменту выкупа Adobe, во всём мире больше компьютеров использовали установленный Flash Player, чем любой другой формат веб-медиа, в том числе Java, QuickTime, Windows Media Player или почти забытый плагин RealMedia компании RealNetworks.
Универсальность платформы вместе с поддержкой видео, а с 2011 года ещё и 3D-графики, обеспечили её успех, и было бы справедливо сказать, что выкуп Adobe компании Macromedia наряду с дальнейшим развитием Flash действительно был впечатляющим достижением. Как и в случае с Photoshop, Adobe де-факто создала отраслевой стандарт с миллионами разработчиков, миллиардами пользователей, и бесчисленными примерами применений.
К сожалению, злонамеренных, в том числе.
Колёса судьбы
Flash получил свою долю критики за все эти годы, как это всегда бывает с любой популярной (и особенно суперпопулярной) программой: зависимость вендора, неудовлетворительный опыт работы на мобильных устройствах (из-за чувствительной загрузки процессора и высокого энергопотребления) и многие другие проблемы. В 2010 году ныне покойный глава Apple Стив Джобс написал памятное открытое письмо о причинах, по которым Apple решила не поддерживать Flash на своих мобильных устройствах.
Г-н Джобс совершенно открыто заявил, что Flash — наследие эры ПК, в то время как настала уже мобильная эра «маломощных устройств, сенсорных интерфейсов и открытых веб-стандартов – всего того, в чём Flash не тянет».
Он также заметил, что Flash отметился «одним из наихудших достижений в сфере безопасности в 2009 году».
«Мы работаем с Adobe, с тем чтобы устранить эти проблемы, но они сохраняются уже в течение нескольких лет. Мы не желаем снижать надёжность и безопасность наших айфонов, айподов и айпадов путём добавления Flash», — написал Джобс.
Это был, опять же, 2010 год.
Отмотав на пять лет вперёд, мы наблюдаем стабильный, насыщенный поток связанных с Flash неприятностей в сфере безопасности, приведших к массовым вспышкам неприязни как в социальных медиа, так и в компьютерных СМИ.
В 2015 году все как будто ненавидят #Flash из-за бесчисленных проблем #безопасность
Tweet
Wired вышел в середине июля с заголовком «Flash. Должен. Умереть» и первым абзацем, гласившим: «Adobe Flash, этот небезопасный, вездесущий и прожорливый боров, необходимость которого ненавистна всякому, опять оказался в осаде, и хочется верить, что в последний раз».
Главный по безопасности в Facebook и бывший CISO в Yahoo! Алекс Стамос призвал Adobe назвать «дату конца срока службы Flash«, а Mozilla отключила все существующие версии плагина по умолчанию в браузере Firefox (позднее они задействовали их опять). Даже Google взялся ограничивать проникновение Flash. В прошлом месяце поисковый гигант заявил, что будущие версии Chrome будут «разумно блокировать» весь контент на базе Flash, который не является основной частью веб-сайта (например, видеорекламу).
Причины? Навалом. На самом деле Adobe чуть ли не рутинно вынуждена выпускать экстренные патчи. Но текущий крестовый поход против Flash спровоцировал недавний катастрофический угон данных.
Тем более, что в утёкших данных был ранее неизвестный баг Flash, который был быстро превратили в оружие. Это означает, что любой компании недолго ждать возможности «на собственной шкуре» ощутить подобного рода атаки.
Долговечность и безопасность
Любые технологии, решения и платформы устаревают однажды, даже самые популярные. Возможно, Flash изжил свою полезность, особенно потому что есть альтернативы новее и, возможно, лучше, такие как HTML5 (который, в отличие от Flash, является открытым стандартом). А может быть, и не изжил. В конце концов, Adobe решать, есть ли необходимость и интерес возвращать позиции, которые Flash, определённо, потерял за последнее время. Понятно, что Flash не умрёт просто так по команде, но, возможно, настало время ему уйти.
В настоящее время Flash является непреложным источником серьёзных проблем в области безопасности с целым рядом эксплойтов, поставляемых в нескольких хакерских наборах, и сохраняет «хорошую» возможность подкинуть ещё неизвестных эксплойтов нулевого дня, которые используются против ничего не подозревающих жертв. Вдобавок, он установлен почти на всех ПК, что образует огромную площадь атаки. При этом эксперты по безопасности отмечают, что есть жизнь и без Flash, и отказ от него на самом деле не скажется на рабочем процессе. Так что, если вы не большущий несгибаемый поклонник Flash-игр, от него можно с лёгкостью избавиться.
По крайней мере, до тех пор, пока Flash не перестанет быть источником постоянной головной боли для вашего ИТ-персонала, что, честно говоря, вряд ли произойдет в ближайшее время. Более подходящим способом будет просто избавиться от проблемы совсем, если это вообще возможно. Для старого хлама (устаревшего программного обеспечения в том числе) совсем не редко превращение в постоянный источник киберугроз, который необязательно терпеть.
А если по какой-либо причине нельзя совсем избавиться от рискованного программного обеспечения, то лучше ему существовать в режиме «презумпции виновности», с эффективным защитным решением, держащим его в узде и предотвращающим успешные атаки эксплойтов, в том числе направленные.