Hlavní navigace

Ještě máte Flash v počítači? Nemáte trochu sebevražedné sklony?

 Autor: Adobe
Daniel Dočekal 20. 10. 2015

0day zranitelnost ve Flashi z minulého týdne je dost jasnou ukázkou toho, že jste Flash měli ze svého počítače odstranit už dávno.

Minulý týden se opět ukázalo, jak nebezpečný software se nachází v počítačích lidí, kteří vůbec netuší, že ho tam v zásadě mají. A už vůbec netuší, že by ho měli co nejrychleji odstranit. Řeč je o Flashi a o tom, že Adobe přiznalo bezpečnostní díru ve Flashi jen den po uvedení nové verze. Ale také o tom, že Flash je chronicky děravý software, který Adobe prostě nedokáže udržet bezpečný.

Firma Trend Micro minulý týden v souvislosti s novou chybou Flashe upozornila, že 0day zranitelnost, o které je řeč, už aktivně používali a používají hackeři. Podařilo se také zjistit, že byla využita v útoku proti jednomu z ministerstev v blíže neurčené zemi. Trend Micro také dost jasně řekli, že jakkoliv s Adobe pracují na nápravě, měla by firma Flash konečně ukončit.

Není to vůbec zbytečná poznámka nebo něco, co by nemělo opodstatnění. Flash se stal středem aktivit společnosti Hacking Team (viz Jaké exploity objednala česká policie? Maily Hacking Teamu jsou na WikiLeaks). Studie záplavy uniklých dokumentů i zdrojových kódů ukázala, že Hacking Team měli k dispozici řadu pomůcek využívajících právě Flash, včetně široce dostupné zranitelnosti.

Mozilla tehdy dokonce Flash kompletně deaktivovala, ale bohužel to udělala pouze na krátkou dobu a po „opravách“ od Adobe opět Flash ve Firefoxu povolila. Ale i bezpečnostní šéf Facebooku Alex Stamos tehdy žádal, aby Adobe určilo jasné datum, kdy Flash přestane existovat.

99 % počítačů na internetu

Adobe tvrdí, že Flash v sobě má 99 % počítačů na internetu (a to buďme rádi, že telefony a tablety ho už obsahovat nemohou, až na nějaké ty počáteční snahy o Flash na Androidu). Pokud bychom těmto číslům věřili (pocházejí z průzkumu v roce 2011 a od té doby Adobe nové údaje nezveřejnilo), znamenalo by to, že 99 % počítačů na internetu je napadnutelných.

Hacknutelných, ovládnutelných, zneužitelných. Jejich vlastníci buď vůbec nebudou tušit, k čemu jejich počítač ve skutečnosti slouží, nebo se jim jednoho dne může zobrazit vyděračská hláška nějakého toho ransomware a přijdou o všechno, co v počítači měli.

Doby, kdy nejzranitelnějším prvkem počítače byl prohlížeč, jsou dávno za námi. Dnes je to Flash (a v závěsu za ním ještě Java), kudy se útočník často dostane ke kýženému cíli. Více si o tom lze přečíst například v Operation Pawn Storm.

Co se stane, když odstraníte z počítače Flash

Zkuste si to, prostě odstraňte z počítače Flash (nestačí ho deaktivovat, je nutné ho opravdu odinstalovat), vrátit ho v nejhorším případě můžete vždy. Když už budete v odstraňování, zbavte se i Javy. Jedině tak zjistíte, zda nepoužíváte něco, kde Flash (či Javu) nutně potřebujete. Ale také tak můžete zjistit, kterému výrobci softwaru nebo poskytovateli služeb máte začít psát výzvy, aby změnil přístup a neohrožoval vaši bezpečnost.

Ano, s překvapením zjistíte, že existuje bankovní dům, který má bankovnictví napsané ve Flashi. Nepochopitelné a krajně nezodpovědné,  neuvěřitelný hazard s bezpečností klientů. 

Zjistíte, že na webu České televize stále používají flashový přehrávač, ačkoliv na tabletech se bez flashe obejdou. Stejná nezodpovědnost i přes to, že tady lze některé důvody použití Flashe chápat.

Zjistíte ale také třeba to, že pro Minecraft nepotřebujete Javu. Ale bohužel také to, že pokud potřebujete vyvíjet pro Android, tak celé IDE je na Javě postavené. Flash vám bude chybět také na pár webech fotografů, kteří stále nepochopili, že už není rok 2000. A nepustíte si některou ze stovek či tisíců flashových her pro děti. 

Flash už dnes pro reklamy nedává smysl

Jedno je ale dobré zopakovat. Dokud Flash či Javu opravdu neodstraníte, tak nezjistíte, zda to bez nich půjde. A zároveň, dokud je máte v počítači a přistupujete na internet, tak vás kdekoliv mohou napadnout útočníci. To kdekoliv je zde podstatné, protože útoky se dnes dějí běžně i na zcela důvěryhodných webech – útočný kód se tam dostává přes inzertní systémy či hacknuté weby.

YouTube? Vimeo a další weby s videem? Tam už se nemáte čeho obávat, už poměrně dlouho vyměnily flashové přehrávače za HTML 5.

Jedním z argumentů pro používání Flashe je paradoxně stále internetová inzerce (blokování reklam vás mimochodem proti útokům přes Flash 100% neochrání), kde se Flash stal velmi rozšířeným nástrojem. Jenže, Chrome dnes flashové inzeráty nespouští, musíte si je aktivovat ručně. A nespustí ani další flashové věci natažené do neaktivního tabu či okna.

Řada inzertních sítí se Flashi už také brání a odmítá takovouto inzerci přijímat. Inzerentům a agenturám nakonec nezbude nic jiného, než přestat nesmyslné a zbytečně se hýbající inzeráty vytvářet nebo přejít na HTML 5.

Našli jste v článku chybu?

20. 10. 2015 9:31

Tomáš2 (neregistrovaný)

vtip je v tom, že ač Dan má dobré znalosti, v tomhle pravdu nemá. To je jak, kdyby doporučoval odstranit z počítače .NET, protože v něm jdou psát plnohodnotné aplikace.

Problém není s javou, ale java pluginem/appletem do prohlížeče, kde nelze jednoduše omezit možnosti takového modulu a není problém si zavolat cokoliv. S javou jako platformou/jazykem to nemá nic společného.

20. 10. 2015 8:20

wololo (neregistrovaný)

Toz ja nevim, autore, tak najprv sa stavate do role akehosi bezpecnostneho supervizora/au­ditora a potom ten absurdny whatefuck s javou. To bol len joke, kde si chcete zistit ci citatelia davaju pozor a vsetkemu neuveria, zejo?

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Vitalia.cz: Děti patří tomu, kdo je porodil?

Děti patří tomu, kdo je porodil?

Podnikatel.cz: Sleva na evidenci tržeb. Kolik si odečtete?

Sleva na evidenci tržeb. Kolik si odečtete?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

120na80.cz: 5 přírodních tipů na bolest v krku

5 přírodních tipů na bolest v krku

Podnikatel.cz: Platební brány a EET? Stále s otazníkem

Platební brány a EET? Stále s otazníkem

Podnikatel.cz: Berňák kvůli EET prodlužuje otevírací dobu

Berňák kvůli EET prodlužuje otevírací dobu

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?