Anto Veldre, RIA analüütik

Infoturblased on tavaliselt rahulik rahvas, suuri ja vägevaid sõnu ei loobita, tehakse rahulikult oma tööd. Kuid viimase nädala jooksul on küberkaitsjate leksikoni siginenud sõna “tapmine”. Tapetav ei ole siiski inimene, vaid kõigest programm, või kui väga täpne olla, siis isegi ühe teatava firma teatav tehnoloogia. Päris mitmed nimekad infoturblased on nimelt leidnud, et turvakaalutlustel tuleb ära tappa brauserites elutsev Flash tehnoloogia.

Flash kui tehnoloogia ilmus 1990-ndate teisel poolel, kui veeb oli alles staatiline ja “igav”. Flashi iva oli pakkuda veebis pisutki liikuvamaid pildikesi, kui seda võimaldasid animeeritud GIFid või Macromedia ShockWave. Kuivõrd arvestatavaid konkurente turul polnud (Macromedia
ostis Adobe ise üles), siis õnnestuski Adobe’l oma Flash peavoolu veebisirvikutesse sisse sokutada. Ääretu populaarsus tuleneb lihtsusest – ka algaja veebitoimetaja suudab videot
fläšiks keerata.

15 aasta jooksul on suur osa reklaamiturust üle kolinud Flash’i peale. Kadunud Steve Jobs kirjutas juba aastal 2010 pika artikli selgitamaks, miks Apple seadmetesse Flash’i kunagi ei installeerita. Olgu märgitud, et Eesti veebisfääris kasutaja ilma Flash’ita väga kaugele ei jõua:

Flashi suurimaks mureks läbi aastate on olnud turvalisus. Ühest küljest teame teooriat, mis väidab, et omandusliku tarkvara suletud kood ongi kõigi turvaprobleemide ema.

Kas just ilmtingimata nii, kuid pisikese programmijupi kohta, mis istub igaühe brauseris ja vaid ootab Internernetist värvilist pildikest (või siis järjekordset viirust), on turvalisust olnud häbiväärselt vähe. Aastate jooksul on Adobe Flash läbi põdenud säärase tohutu koguse jõledaid turvaauke, mille kaudu pahategijad saanuksid meist igaühe arvutitesse vähemalt kümme korda sisse murda.

Vigade loetelu on siin, igaüks ise otsustagu, kas seda on kaitse eesliinil, Internetiga otseühendatud toote puhul vähe või palju.

Ühesõnaga, selles et Adobe Flash on ohtlikult ebaturvaline, kuid jätkab oma liini jonnakalt, pole infoturblased kunagi kahelnud. Kuivõrd vastas on suur ja võimekas kontsern paljude juristidega, siis seni toimus vaid virin ja vigin. Adobe ju tegelikult alati parandas iga järjekordse vea kiiresti ära… Kuid kulisside taga käis kaevikusõda edasi: YouTube loobus Flashi’st aasta 2015 alguses (õigemini pakkus alternatiivi HTML5 näol) ning ka FaceBook on Flash’ist loobumise otsuse juba teinud.

Karikas hakkas üle ajama nädal tagasi, seoses sissemurdmisega firmasse HackingTeam.

Nuhkimine halbu mõtteid hauduvate kodanike järel on parasjagu delikaatne teema, millega ka Eesti on varemalt kokku puutunud.

Tagantjärele on iga säärase loo puhul ikka selgunud, nii Gamma Group‘i kui Hacking Team‘i puhul, et osad kliendid tarvitasid nuhktarkvara üsna vabalt valitud eesmärkide saavutamiseks. Hea ja kurja õige vahekord on aastatuhandeid olnud (tähtis) filosoofiline küsimus ning tehnoloogia muudab seda küsimust veelgi teravamaks. Mis ulatuses tohib aus mees teha halba, et kurja peletada?

Igatahes kujunes sissemurdmine Hacking Team’i arvutivõrku ning sealse umbes 400GB suuruse, kurje ründeid sisaldava infopaketi avaldamine selle suve infoturbe tippsündmuseks.

Probleem: lekkinud materjalide hulgas leidus päris mitu nn 0-päeva ründeskripti (ingl.k.: 0-day exploit), mille abil ongi juba kõvasti kurja tehtud ning inimestele arvutiviirust istutatud. Relvad, mis olid justkui suunatud pahade vastu, pöörati ümber ning nüüd tulistasid nad juba igaüht meist.

Kolm eriti ohtlikku ründenippi Hacking Teami portfellist puudutasid Adobe Flash’i turvaaukusid – üheainsa reklaami abil oli võimalik miljoneid arvuteid täies mahus üle võtta. Häkkeritel kuluski kõigest üks päev, et Hacking Team’i kroonijuveelid enda heaks tööle sundida. Mis kõige jubedam – Adobe Flash’i turvaaugud toimivad sõltumata platvormist – pole vahet, kas Sul on Windows, Mac OS või Linux.

Selle koha peal küberkaitsjate kannatus katkes ning kogukond vihastas. Täna käib jutt juba ei enamast ega vähemast kui Flashi tapmisest. Pealkirjad on raevukad – Flash peab surema! – ning nood teised hääled, mis ettevaatlikult viitavad, et Adobe on oma Flashi ju taas ära paiganud… kuni järgmise korrani, ei pääse enam püünele.

Kuidas oleks selles olukorras õige käituda?

Kui Flash tõesti maha tappa, siis mis seda asendab? Kas HTML5? Tegemist on pigem usaldusküsimusega. Tundub, et Adobe on kaotanud turvakogukonna usalduse. Ubuntu-arvuteid tootev System76 otsustas, et nemad nüüdsest enam oma arvutitele Flash’i peale ei pane. Põhjus – turvalisus.

Ka Mozilla tegi paar päeva tagasi otsuse Flashi vaikimisi mitte enam ekraanile lubada. See tähendab, et liikuvaid pildikesi saab küll vaadata, kuid üksnes siis, kui igal uuel saidil Flash lubatuks klikkida.

Eks igaüks otsustab ise, kuid kui on soov Flashiga jätkata, siis vähe sellest, et toode tuleks uuendada, tuleks vältimatult peale keerata Flashi automaat-uuendused.

Seejuures tuleb hoolega jälgida, et kogemata ei lubataks installeerida kaasasurutavat viirustõrjet (sul üks juba on) või muid ebavajalikke vidinaid.

Chrome’is ja FireFoxis nimetatakse seda funktsionaalsust “click-to-play”. Siinkohal
viide blogipostitusele, kus õpetatakse omi ohutussätteid paremini konfigureerima.

Internet Exploreril “click-to-play” pung puudub, kuid ohtlikke pluginaid saab sealgi käsitsi maha keerata.

Lõpuks – olukorra tõsidusest annab aimu asjaolu, et Flashi teemal joonistatakse juba koomikseid…

Lisalugemist:

1. http://www.zdnet.com/article/adobe-promises-patch-for-latest-wave-of-critical-hacking-team-zero-day-exploits/
2. http://arstechnica.com/information-technology/2015/07/ubuntu-pc-maker-system76-abandons-flash-says-its-too-dangerous/
3. http://www.theverge.com/2015/7/13/8948459/adobe-flash-insecure-says-facebook-cso
4. http://www.computerworld.com/article/2948012/security/adobe-flash-must-die-firefox-facebook-itbwcw.html
5. http://www.bbc.com/news/technology-33520935
6. http://arstechnica.com/information-technology/2015/07/ubuntu-pc-maker-system76-abandons-flash-says-its-too-dangerous/