Мир без Adobe Flash

В начале года официально прекратил свое существование Adobe Flash. Некоторые любители старинных браузерных игр вспоминали о нем с грустью и ностальгией, большинство специалистов по информационной безопасности вздохнули с облегчением, и мир приготовился жить дальше без этой, несомненно, заслуженной, но безнадежно устаревшей технологии.

Но не тут-то было. Оказалось, что, во-первых, не все перешли на другие инструменты после заблаговременного предупреждения компании Adobe. А во-вторых, некоторые занялись технонекромантией и начали изобретать способы оживления этой мертвой технологии. Через 40 дней после отключения мы решили рассказать, как мир живет (почти) без Adobe Flash.

Железная дорога в китайском Даляне

Есть несколько версий случившегося на железной дороге в Даляне. Различаются они описанием тяжести инцидента, но все сходятся в одном: причиной сбоя стало отключение Flash. Несмотря на официальную дату смерти 1 января, компания Adobe дала людям еще 11 дней, чтобы все успели попрощаться с телом. А 12 января неожиданно выяснилось, что некоторые системы на железной дороге были сделаны на технологии Adobe Flash и доступ к ним осуществлялся через браузеры.

Вызвало ли это сбой в перевозках и что конкретно это были за системы — не так уж важно. СМИ писали разное: кто-то говорил о системе диспетчеризации и парализации ЖД-сообщения, кто-то — о программе для бронирования и продажи билетов, а, согласно официальному заявлению, проблема была в доступе к системе статистики, которая хотя и важна для формирования составов, но не критична. Как бы то ни было, команде техподдержки пришлось как следует побегать, чтобы восстановить работоспособность Adobe Flash на всех компьютерах на станциях этой железной дороги.

Специалисты, героически превозмогая сложности, справились с задачей (за 20 часов) и вернули работоспособность систем. И теперь там вновь работает Adobe Flash, царят мир и покой. Но вот с точки зрения ИБ ценность этого достижения сомнительна — на объекте критической инфраструктуры работает заведомо ненадежная технология (пусть и не на критических задачах).

Тут нельзя не сказать еще об одном моменте: в крупных компаниях обновления не устанавливают на все компьютеры сразу — хорошей практикой считается сначала обновить машины в изолированной тестовой среде и проверить, все ли работает корректно. Может быть, на железной дороге в Даляне эта практика и применяется. Но вот проблема: в данном случае она не спасает. Блокировка Flash-контента включилась 12-го числа без дополнительного апдейта или сигнала — рубильник был встроен в код давно, даже не в последнем обновлении (8 декабря).

Так что патч отлично показал бы себя в любой тестовой среде и прошел все проверки. Возможно, встраивание отложенного «механизма самоуничтожения» — все-таки не лучшая практика для прекращения работы столь широко применявшейся технологии.

Налоговая инспекция в ЮАР

В Южно-Африканской республике за сбор налогов отвечает организация South African Revenue Service. В частности, она принимает налоговые декларации через веб-формы. Как вы, вероятно, догадались, 12-го числа люди опять же неожиданно вспомнили, что эти формы построены на базе Adobe Flash. И налоговая, по сути, лишилась возможности получать декларации.

Казалось бы, резонный ход — предоставить отсрочку по подаче деклараций и как можно быстрее переписать формы под более новую технологию. Но в SARS пошли иным путем. Они… выпустили свой собственный браузер с поддержкой Adobe Flash. И теперь жители страны должны использовать приложение с заведомо необновляемой технологией для подачи финансовой информации…

Разумеется, браузер написан не с нуля — это урезанный Chromium с включенным Flash. И доступен через него только один веб-сайт. Так что на самом деле пока опасность не так уж и велика. Однако тут есть несколько моментов. Во-первых, SARS по своему профилю — все-таки не совсем разработчик софта, так что непонятно, готова ли компания оперативно обновлять свой браузер вслед за Chromium.

Во-вторых, на данный момент программа существует только под Windows, так что пользователям других систем придется искать какие-то альтернативные способы запуска Flash-контента, что отнюдь не безопасно. Надеемся, это решение все-таки является временным и от Flash на сайте налоговики ЮАР когда-нибудь избавятся окончательно.

Обходные пути

К слову об альтернативных способах запуска — они есть. Более того, они, к сожалению, востребованы, и не только любителями Flash-игр, но и вполне серьезными компаниями, у которых сервисы (чаще всего внутренние) до сих работают на Flash. Достаточно набрать в любом поисковике фразу «как запустить Flash после 2021 года», и вы увидите множество ссылок с инструкциями разной степени невменяемости.

Одни звучат совсем дико — например, рекомендуют устанавливать Flash Player 32.0.0.371 или более ранний (механизм отключения был встроен в версии 32.0.0.387). Причем поскольку корпорация Adobe удалила со своих сайтов ссылки на старые версии программы, качать их предлагают со сторонних сайтов, что делает использование такого метода еще более небезопасным — кто знает, что могли добавить в этот файл?

Также встречаются варианты инструкций по обезвреживанию встроенного «механизма самоуничтожения», написанных на базе инструкций Adobe. Это позволяет включить отображение Flash-контента, но только на сайтах, внесенных в отдельный список.

Другие советы выглядят более разумно. Например, есть несколько браузерных расширений, построенных на базе Ruffle — эмуляторе Flash Player. Эмулятор использует современные технологии браузерного сендбоксинга. Кроме того, он создан на языке Rust, в котором изначально заложена концепция безопасности доступа к памяти. По словам создателей Ruffle, это позволяет избежать типичных проблем и уязвимостей Flash.

Звучит достаточно оптимистично. Впрочем, следует иметь в виду, что Ruffle — это опенсорсный проект, поддерживаемый энтузиастами. Кто знает, на сколько их энтузиазма хватит, — вполне возможно, что в Ruffle обнаружатся свои уязвимости, а исправлять их будет некому.

Также появились и специализированные B2B-решения. Например, компания Harman заключила с Adobe эксклюзивный договор и теперь может по заказу компаний, которые не готовы отпустить Flash, изготавливать и поддерживать кастомные браузеры с включенным проигрывателем.

Что делать, если Flash таки нужен?

Если вы не мыслите существования без этой технологии, мы предлагаем следовать вот каким советам:

• Подумать еще раз. Может, Flash вам не так уж и нужен? Может, лучше обновить веб-контент?
• Использовать старые версии и самодельные обходные пути только в виртуальной среде, изолированной от основного компьютера.
• Даже при использовании обходных путей, выглядящих надежными, не забывать о необходимости наличия на машине защитного решения, способного выявлять попытки эксплуатации уязвимостей.