Nii nad tapavadki selle neetud Flashi: ühe ajastu lõpp internetis

 (45)

Infoturblased on tavaliselt rahulik rahvas, suuri ja vägevaid sõnu ei loobita, tehakse rahulikult oma tööd.

Kuid viimase nädala jooksul on küberkaitsjate leksikoni siginenud sõna “tapmine”. Tapetav ei ole siiski inimene, vaid kõigest programm, või kui väga täpne olla, siis isegi ühe teatava firma teatav tehnoloogia, kirjutab AM.ee (algne postitus RIA blogis).

Päris mitmed nimekad infoturblased on nimelt leidnud, et turvakaalutlustel tuleb ära tappa brauserites elutsev Flash tehnoloogia.

Flash kui tehnoloogia ilmus 1990-ndate teisel poolel, kui veeb oli alles staatiline ja “igav”. Flashi iva oli pakkuda veebis pisutki liikuvamaid pildikesi kui seda võimaldasid animeeritud GIFid või Macromedia ShockWave.

Kuivõrd arvestatavaid konkurente turul polnud (Macromedia ostis Adobe ise üles), siis õnnestuski Adobe’il oma Flash peavoolu veebisirvikutesse sisse sokutada. Ääretu populaarsus tuleneb lihtsusest – ka algaja veebitoimetaja suudab videot "fläšiks" keerata.

15 aasta jooksul on suur osa reklaamiturust üle kolinud Flashi peale. Kadunud Steve Jobs kirjutas juba aastal 2010 pika artikli, selgitamaks, miks Apple'i seadmetesse Flashi kunagi ei installeerita.

Seotud lood:

Olgu märgitud, et Eesti veebisfääris kasutaja ilma Flash’ita väga kaugele ei jõua...

Flashi suurimaks mureks läbi aastate on olnud turvalisus. Ühest küljest teame teooriat, mis väidab, et omandusliku tarkvara suletud kood ongi kõigi turvaprobleemide ema.

Kas just ilmtingimata nii, kuid pisikese programmijupi kohta, mis istub igaühe brauseris ja vaid ootab internetist värvilist pildikest (või siis järjekordset viirust), on turvalisust olnud häbiväärselt vähe.

Aastate jooksul on Adobe Flash läbi põdenud säärase tohutu koguse jõledaid turvaauke, mille kaudu pahategijad saanuksid meist igaühe arvutitesse vähemalt kümme korda sisse murda.

Vigade loetelu põhjal igaüks ise otsustagu, kas seda on kaitse eesliinil, internetiga otseühendatud toote puhul vähe või palju.

Ühesõnaga, selles et Adobe Flash on ohtlikult ebaturvaline, kuid jätkab oma liini jonnakalt, pole infoturblased kunagi kahelnud. Kuivõrd vastas on suur ja võimekas kontsern paljude juristidega, siis seni toimus vaid virin ja vigin.

Adobe ju tegelikult alati parandas iga järjekordse vea kiiresti ära... Kuid kulisside taga käis kaevikusõda edasi: YouTube loobus Flashist aasta 2015 alguses (õigemini pakkus alternatiivi HTML5 näol) ning ka Facebook on Flashist loobumise otsuse juba teinud.

(ekraanitõmmis)

Karikas hakkas üle ajama nädal tagasi, seoses sissemurdmisega firmasse HackingTeam.

Nuhkimine halbu mõtteid hauduvate kodanike järel on parasjagu delikaatne teema, millega ka Eesti on varemalt kokku puutunud.

Tagantjärele on iga säärase loo puhul ikka selgunud, nii Gamma Groupi kui Hacking Teami puhul, et osad kliendid tarvitasid nuhktarkvara üsna vabalt valitud eesmärkide saavutamiseks. Hea ja kurja õige vahekord on aastatuhandeid olnud (tähtis) filosoofiline küsimus ning tehnoloogia muudab seda küsimust veelgi teravamaks. Mis ulatuses tohib aus mees teha halba, et kurja peletada?

Igatahes kujunes sissemurdmine Hacking Teami arvutivõrku ning sealse umbes 400 GB suuruse, kurje ründeid sisaldava infopaketi avaldamine selle suve infoturbe tippsündmuseks.

Probleem: lekkinud materjalide hulgas leidus päris mitu nullpäeva ründeskripti (ingl 0-day exploit), mille abil ongi juba kõvasti kurja tehtud ning inimestele arvutiviirust istutatud. Relvad, mis olid justkui suunatud pahade vastu, pöörati ümber ning nüüd tulistasid nad juba igaüht meist.

Kolm eriti ohtlikku ründenippi Hacking Teami portfellis puudutasid Adobe Flashi turvaaukusid – üheainsa reklaami abil oli võimalik miljoneid arvuteid täies mahus üle võtta.

Häkkeritel kuluski kõigest üks päev, et Hacking Teami kroonijuveelid enda heaks tööle sundida. Mis kõige jubedam – Adobe Flashi turvaaugud toimivad sõltumata platvormist – pole vahet, kas Sul on Windows, OS X või Linux.

Selle koha peal küberkaitsjate kannatus katkes ning kogukond vihastas. Täna käib jutt juba ei enamast ega vähemast kui Flashi tapmisest. Pealkirjad on raevukad – Flash peab surema! – ning nood teised hääled, mis ettevaatlikult viitavad, et Adobe on oma Flashi ju taas ära paiganud… kuni järgmise korrani, ei pääse enam püünele.

Kuidas oleks selles olukorras õige käituda?

Kui Flash tõesti maha tappa, siis mis seda asendab? Kas HTML5? Tegemist on pigem usaldusküsimusega. Tundub, et Adobe on kaotanud turvakogukonna usalduse. Ubuntu-arvuteid tootev System76 otsustas, et nemad nüüdsest enam oma arvutitele Flashi peale ei pane. Põhjus – turvalisus.

Ka Mozilla tegi paar päeva tagasi otsuse Flashi vaikimisi mitte enam ekraanile lubada. See tähendab, et liikuvaid pildikesi saab küll vaadata, kuid üksnes siis, kui igal uuel saidil Flash lubatuks klikkida.

Eks igaüks otsustab ise, kuid kui on soov Flashiga jätkata, siis vähe sellest, et toode tuleks uuendada, tuleks vältimatult peale keerata Flashi automaatuuendused.

Seejuures tuleb hoolega jälgida, et kogemata ei lubataks installeerida kaasasurutavat viirustõrjet (sul üks juba on) või muid ebavajalikke vidinaid.

Chrome’is ja Firefoxis nimetatakse seda funktsionaalsust click-to-play. Siinkohal viide blogipostitusele, kus õpetatakse omi ohutussätteid paremini konfigureerima.

Internet Exploreril click-to-play pung puudub, kuid ohtlikke pluginaid saab sealgi käsitsi maha keerata.

Lõpuks – olukorra tõsidusest annab aimu asjaolu, et Flashi teemal joonistatakse juba koomikseid