FLASH’i tapmine

 

Autor: Paolo Uccello 1397-1475

Anto Veldre, RIA analüütik

Infoturblased on tavaliselt rahulik rahvas, suuri ja vägevaid sõnu ei loobita, tehakse rahulikult oma tööd. Kuid viimase nädala jooksul on küberkaitsjate leksikoni siginenud sõna “tapmine”. Tapetav ei ole siiski inimene, vaid kõigest programm, või kui väga täpne olla, siis isegi ühe teatava firma teatav tehnoloogia. Päris mitmed nimekad infoturblased on nimelt leidnud, et turvakaalutlustel tuleb ära tappa brauserites elutsev Flash tehnoloogia.

Flash kui tehnoloogia ilmus 1990-ndate teisel poolel, kui veeb oli alles staatiline ja “igav”. Flashi iva oli pakkuda veebis pisutki liikuvamaid pildikesi, kui seda võimaldasid animeeritud GIFid või Macromedia ShockWave. Kuivõrd arvestatavaid konkurente turul polnud (Macromedia
ostis Adobe ise üles), siis õnnestuski Adobe’l oma Flash peavoolu veebisirvikutesse sisse sokutada. Ääretu populaarsus tuleneb lihtsusest – ka algaja veebitoimetaja suudab videot
fläšiks keerata.

15 aasta jooksul on suur osa reklaamiturust üle kolinud Flash’i peale. Kadunud Steve Jobs kirjutas juba aastal 2010 pika artikli selgitamaks, miks Apple seadmetesse Flash’i kunagi ei installeerita. Olgu märgitud, et Eesti veebisfääris kasutaja ilma Flash’ita väga kaugele ei jõua:

flash2

Flashi suurimaks mureks läbi aastate on olnud turvalisus. Ühest küljest teame teooriat, mis väidab, et omandusliku tarkvara suletud kood ongi kõigi turvaprobleemide ema.

Kas just ilmtingimata nii, kuid pisikese programmijupi kohta, mis istub igaühe brauseris ja vaid ootab Internernetist värvilist pildikest (või siis järjekordset viirust), on turvalisust olnud häbiväärselt vähe. Aastate jooksul on Adobe Flash läbi põdenud säärase tohutu koguse jõledaid turvaauke, mille kaudu pahategijad saanuksid meist igaühe arvutitesse vähemalt kümme korda sisse murda.

Vigade loetelu on siin, igaüks ise otsustagu, kas seda on kaitse eesliinil, Internetiga otseühendatud toote puhul vähe või palju.

Ühesõnaga, selles et Adobe Flash on ohtlikult ebaturvaline, kuid jätkab oma liini jonnakalt, pole infoturblased kunagi kahelnud. Kuivõrd vastas on suur ja võimekas kontsern paljude juristidega, siis seni toimus vaid virin ja vigin. Adobe ju tegelikult alati parandas iga järjekordse vea kiiresti ära… Kuid kulisside taga käis kaevikusõda edasi: YouTube loobus Flashi’st aasta 2015 alguses (õigemini pakkus alternatiivi HTML5 näol) ning ka FaceBook on Flash’ist loobumise otsuse juba teinud.

Karikas hakkas üle ajama nädal tagasi, seoses sissemurdmisega firmasse HackingTeam.

Nuhkimine halbu mõtteid hauduvate kodanike järel on parasjagu delikaatne teema, millega ka Eesti on varemalt kokku puutunud.

Tagantjärele on iga säärase loo puhul ikka selgunud, nii Gamma Group‘i kui Hacking Team‘i puhul, et osad kliendid tarvitasid nuhktarkvara üsna vabalt valitud eesmärkide saavutamiseks. Hea ja kurja õige vahekord on aastatuhandeid olnud (tähtis) filosoofiline küsimus ning tehnoloogia muudab seda küsimust veelgi teravamaks. Mis ulatuses tohib aus mees teha halba, et kurja peletada?

Igatahes kujunes sissemurdmine Hacking Team’i arvutivõrku ning sealse umbes 400GB suuruse, kurje ründeid sisaldava infopaketi avaldamine selle suve infoturbe tippsündmuseks.

Probleem: lekkinud materjalide hulgas leidus päris mitu nn 0-päeva ründeskripti (ingl.k.: 0-day exploit), mille abil ongi juba kõvasti kurja tehtud ning inimestele arvutiviirust istutatud. Relvad, mis olid justkui suunatud pahade vastu, pöörati ümber ning nüüd tulistasid nad juba igaüht meist.

Kolm eriti ohtlikku ründenippi Hacking Teami portfellist puudutasid Adobe Flash’i turvaaukusid – üheainsa reklaami abil oli võimalik miljoneid arvuteid täies mahus üle võtta. Häkkeritel kuluski kõigest üks päev, et Hacking Team’i kroonijuveelid enda heaks tööle sundida. Mis kõige jubedam – Adobe Flash’i turvaaugud toimivad sõltumata platvormist – pole vahet, kas Sul on Windows, Mac OS või Linux.

flashpotus

Selle koha peal küberkaitsjate kannatus katkes ning kogukond vihastas. Täna käib jutt juba ei enamast ega vähemast kui Flashi tapmisest. Pealkirjad on raevukad – Flash peab surema! – ning nood teised hääled, mis ettevaatlikult viitavad, et Adobe on oma Flashi ju taas ära paiganud… kuni järgmise korrani, ei pääse enam püünele.

Kuidas oleks selles olukorras õige käituda?

Kui Flash tõesti maha tappa, siis mis seda asendab? Kas HTML5? Tegemist on pigem usaldusküsimusega. Tundub, et Adobe on kaotanud turvakogukonna usalduse. Ubuntu-arvuteid tootev System76 otsustas, et nemad nüüdsest enam oma arvutitele Flash’i peale ei pane. Põhjus – turvalisus.

Ka Mozilla tegi paar päeva tagasi otsuse Flashi vaikimisi mitte enam ekraanile lubada. See tähendab, et liikuvaid pildikesi saab küll vaadata, kuid üksnes siis, kui igal uuel saidil Flash lubatuks klikkida.

Eks igaüks otsustab ise, kuid kui on soov Flashiga jätkata, siis vähe sellest, et toode tuleks uuendada, tuleks vältimatult peale keerata Flashi automaat-uuendused.

Seejuures tuleb hoolega jälgida, et kogemata ei lubataks installeerida kaasasurutavat viirustõrjet (sul üks juba on) või muid ebavajalikke vidinaid.

Chrome’is ja FireFoxis nimetatakse seda funktsionaalsust “click-to-play”. Siinkohal
viide blogipostitusele, kus õpetatakse omi ohutussätteid paremini konfigureerima.

Internet Exploreril “click-to-play” pung puudub, kuid ohtlikke pluginaid saab sealgi käsitsi maha keerata.

Lõpuks – olukorra tõsidusest annab aimu asjaolu, et Flashi teemal joonistatakse juba koomikseid…

flash

Lisalugemist:

1. http://www.zdnet.com/article/adobe-promises-patch-for-latest-wave-of-critical-hacking-team-zero-day-exploits/
2. http://arstechnica.com/information-technology/2015/07/ubuntu-pc-maker-system76-abandons-flash-says-its-too-dangerous/
3. http://www.theverge.com/2015/7/13/8948459/adobe-flash-insecure-says-facebook-cso
4. http://www.computerworld.com/article/2948012/security/adobe-flash-must-die-firefox-facebook-itbwcw.html
5. http://www.bbc.com/news/technology-33520935
6. http://arstechnica.com/information-technology/2015/07/ubuntu-pc-maker-system76-abandons-flash-says-its-too-dangerous/

5 thoughts on “FLASH’i tapmine

  1. andris

    Kuna kadunukesest pole viisakas halba rääkida, siis mina pigem toonitaks Flashi positiivseid külgi. Tõepoolest, julgelt 99% flashi kasutusest moodustas reklaamide ja video kuvamine, 0.99% click to copy to clipboard featuuri tekitamiseks veebilehtedele ja allesjäänud 0.1% siis kõige muu jaoks (numbrid pole empiirilised vaid laest, aga peaks suures plaanis reaalsusega klappima). Samas see “muu” on läbi aastate olnud innovatsiooni veduriks (ja ilmselt ka turvaaukude allikaks).

    Näiteks kuni WebSocket API tekkimiseni (ja enamgi veel, selle tegeliku toetamiseni brauserite poolt), oli Flash enamvähem ainus tehnoloogia, mis võimaldas teha brauserist serverisse kahesuunalisi TCP ühendusi (Java appletid võimaldasid seda ning ka mitmeid järgnevaid asju samuti, aga Javat ma ei arvestaks kuna erinevalt Flashist ei “sulandunud” Java appletid kunagi veebilehega kokku ja olid selged võõrkehad, lisaks ei arvestaks ActiveX lahendusi, kuna need töötasid vaid ühes brauseris). Flash pakkus kohalikku salvestusruumi (nüüd on selle asendanud localStorage, IndexedDB jmt.). Flash võimaldas esimesena teha viisakaid failide üleslaadimise lahendusi (korraga mitu faili ja progress bar vs. vana hea html vormi failielement). Täna on meil Canvas ja SVG, aga Flashi tulekul oli ainus graafika tegemise viis pildifailide täpne paigutamine lehel ning html elementide kandilised äärejooned. Lisaks muidugi video ja audio pleierid, mille Flash tegi võimalikuks juba rohkem kui 10 aastat tagasi. Flash on olnud kuni siiamaani ka ainus võimalus suhtlemaks eelpoolmainitud lõikelauaga, alles nüüd on tekkinud reaalne cut ja copy tugi execCommand API jaoks.

    Kui siia paralleeliks juurde tuua Internet Explorer 5 poolt tutvustatud XMLHttpRequest ehk moodsa nimega AJAX, siis võib julgelt järeldada, et suurema (veebi)innovatsiooni tekitavad alguses kinnised süsteemid. Lihtsalt et üks hetk kukuvad nad omaenda raskuse all kokku ja siis on avatud süsteemide kohuseks see innovatsioon üldiseks hüveks vormistada. Seega, tõstame klaasi kadunukese mälestuseks ja jääme ikka hea sõnaga meenutama.

    Reply
  2. Tanel Teemusk

    väga hea kokkuvõte.
    Ainuke, et flashi ajaloo kirjeldus pole päris õige. Flash oligi Macromedia tehnoloogia. Adobe ei puutunud asjasse. Esialgu oli ta nimi Shockwave Flash. Ehk siis tal polnud olulisi konkurente.
    Flash oli juba võrdlemisi populaarne Adobe ostuhetkel. Adobe ostis Macromedia, kes arendas lisaks flashile ka praegu tuntud Dreamweaver tarkvara.

    Reply
  3. Lembit Kivisik

    Tore, asjalik blogipostitus. Lisamaks lisaks Andrise välja toodule veel veidi tasakaalustavat perspektiivi, sobib minu arust hästi näiteks see teemakohane Twitteri säuts.

    Huvitaval kombel on just nüüd, mil hilinemisega selle postituse otsa komistan, tekkinud täiesti ootamatu areng videotehnoloogia sektori “Flashi tapmise” (või tasakaalukamalt “Flash-videolt => HTML5-videole kolimise”) aastatepikkuses saagas. Nimelt on (kuri)kuulus MPEG LA teatanud, et moodustab järjekordse patendiühingu (ingl. patent pool), seekord siis MPEG DASH standardiga seotud patentide jaoks. Mis tähendab, et just nüüd, hetkel, mil peale aastatepikkust tööd hakkavad HTML5 ja brauserid enamvähem küpseks saama, et Flashi pakutavaga võrreldaval tasemel ja omadustega professionaalset video voogedastust toetada (DASH + MSE+ EME), on raisakotkad ka valmis peale lendama. Taustainfoks viitan järgmisele säutsule (lootes, et 2 viitega kommentaar igaveseks WP ülekontrollimise järjekorda ei jää).

    Flashi ajaloo osas aga lisaks veel, et saabumas on infoturblastele palju emotsioone pakkunud tarkvara 20. juubeliaasta – 1996 mais ilmus FutureSplash Animator nime kandnud toode, mille loonud ettevõtte ostis veel samal aastal Macromedia ja nimetas toote ümber Flashiks.

    Reply
  4. gnu

    Kui ilma adobe flashita ei saa, siis saab Gnu/Linuxis firejail turvakast/sandbox-is jooksutada veebilehitsejat.
    Firejail toetab 32bit/64bit arvuteid.
    Minu jaoks on muidugi adobe flash “non-free” vs. nuhkvara.

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *