دنیایی بدونِ ادوبی فلش‌پلیر

۱۳۹۹/۱۱/۲۶امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ درست همین اوایل سال 2021 بود که ادوبی فلش رسماً به دوران شکوه خود پایان داد. برخی طرفداران قدیمی گیم‌های مبتنی بر مرورگر حسابی دمق شدند اما متخصصین امنیت اطلاعات بعد از این خبر یک نفس راحت کشیدند، زیرا اکنون دیگر جهان خواهد آموخت چطور با نبود این فناوری کنار بیاید. اما آیا جهان برای این اتفاق آماده است؟ به نظر می‌آید با اینکه شرکت ادوبی از سال‌ها پیش این روز را وعده داده بود باز هم خیلی‌ها به ابزارهای دیگر سوئیچ نکرده‌اند. علاوه بر این، برخی جادوگران تکنولوژی شروع کردند به ابداع روش‌هایی برای احیای این فناوری مُرده. حال که 40 روز از مرگ ادوبی می‌گذرد بیایید نگاهی داشته باشیم بر جهان که باید با غم فقدان ادوبی‌فلش سر کند. با ما همراه باشید.

راه‌آهنی در دالیان[1]

می‌خواهیم گریزی بزنیم به حادثه‌ی خط راه‌آهن دالیانِ چین که ماه ژانویه راخ داد. شدت حادثه شاید متفاوت باشد اما همه بر سر یک چیز اجماع نظر دارند: پایان محتوای مبتنی بر Flash خرابی به بار آورد. گرچه تاریخ رسمی مرگ ادوبی فلش اول ژانویه اعلام شد اما باز هم این شرکت مهلت 11 روزه به کاربران داد تا برای هیمشه با فلش خود وداع کنند. بی‌رودربایستی بگوییم: اینکه همه در تاریخ 12 ژانویه همچنان خود را تماماً وابسته‌ی فلش می‌دانستند منطقی نیست. درست در همین روز بود که کاشف بعمل آمد برخی از سیستم‌های خط راه‌آهن دیلان هنوز داشته از این پلت‌فرم استفاده می‌کرده! این مهم نیست که آیا فلش مستقیماً عامل این حادثه بوده و دقیقاً چه سیستم‌هایی در این رخداد دخیل بودند. رسانه‌ها اشاره‌شان بر مشکلاتی پیرامون بلیت‌دهی و اعزام مسافرین بوده است. مقامات در اصل این اتفاق را انکار کرده‌اند. مورد هرچه که بوده، تیم پشتیبانی فنی قانون توقف ادوبی را زیر پا گذاشته و شروع کردند به راه‌اندازی ادوبی روی کامپیوترهای ایستگاه‌های قطار (گویی مرده‌ای را از گور بیرون بکشند!). Adobe Flash اکنون زنده شده و همه‌چیز ظاهراً به حالت طبیعی خود بازگشته است.

از منظر امنیت اطلاعات، این اقدام صحیح نبوده است. بخشی از زیرساخت کلیدی اکنون دارد از فناوری‌ای استفاده می‌کند که همه از توقف آن خبر داشته‌اند. نکته‌ای جداگانه اما شاید تا حدی مرتبط: بسیاری از شرکت‌های بزرگ عرضه آپدیت‌های خود را اصطلاحاً دست به عصا انجام می‌دهند زیرا آپدیت‌ها باید در فضایی ایزوله تست شوند. شاید راه‌آهن دیلان هم همین روند را دارد طی می‌کند (خبر نداریم). مشکل در اینجا پروتکل‌های آپدیت نیستند؛ ادوبی فلش را در تاریخ 12 ژانویه آپدیت نکرد؛ بلکه آن را کشت. کلید کشتار خیلی وقت پیش کدنویسی شده بود؛ پیش از آخرین آپدیت (که 8 دسامبر بود). شاید اگر با دانش فعلی‌مان به عقب بنگریم جاسازی کلید کشتار بهترین اقدام برای بستن چنین فناوری محوبی -که طیف وسیعی از کاربران از آن استفاده می‌کنند- نبود.

اداره مالیات در آفریقای جنوبی

سرویس درآمد آفریقای جنوبی مسئول جمع‌آوری مالیات این کشور است و بسیاری از اظهارنامه‌ها اکنون به صورت آنلاین ارسال می‌شوند. در تاریخ 12 ژانویه این سرویس درآمد ناگهان متوجه شد فرم‌های وبی‌اش بر اسا ادوبی فلش ساخته شده‌اند. این سرویس به جای تمدید مهلت تشکیل اظهارنامه و کدگذاری مجدد بر اساس فناوری جدید، تصمیم گرفت با پشتیبانی ادوبی فلش یک مرورگر سفارشی عرضه کند. اکنون پرداخت‌کنندگان مالیات در آفریقای جنوبی باید برای ارسال اطلاعات حساس مالی خود از یک فناوری پشتیبانی‌نشده استفاده کنند. دولت آفریقای جنوبی هم این مروگر را از صفر تا صد درست نکرده بود. بلکه همان نسخه‌ی خام کرومیوم بود که تنها به یک وبسایت دسترسی می‌داد. با تحقیقاتی که صورت گرفته، گفته می‌شود این اتفاق نمی‌تواند چندان هم تهدیدآمیز باشد اما هنوز نمی‌دانیم این دپارتمان برای به‌روز نگه داشتن مرورگر خود چه برنامه‌هایی در سر دارد. این برنامه در حال حاضر تنها برای ویندوز وجود دارد؛ بنابراین کاربران سایر سیستم‌عامل‌ها مجبور خواهند بود به دنبال روش‌های جایگزینی برای اجرا محتوای فلش –که خطرناک است- بگردند. امیدواریم این راه‌حل موقتی بوده باشد و در نهایت از خیر ادوبی بگذرند.

راهکارها

روش‌های جایگزین هم برای اجرای فلش وجود دارد. بدتر اینکه این روش‌ها تقاضا هم می‌شوند و نه تقاضا فقط از جانب طرفداران نیست؛ برخی شرکت‌های بزرگ نیز هنوز برای برخی خدمات خود به این فناوری وابسته‌ند (اغلب سرویس‌های داخلی). how to run Flash after 2021 را سرچ کنید و آنگاه خواهید دید چقدر لینک و دستورالعمل برایتان خواهد آمد (البته بعد از این همه توضیح، واضح است که نباید دنبال این راهکارها رفت!). برای مثال یکی از گزینه‌ها نصب یک نسخه‌ی کلید پیش کشتار از ادوبی فلش است. هرچند ادوبی لینک‌هایی را که به نسخه‌های قدیمی این برنامه منتهی می‌شوند از روی وبسایت خود برداشته اما سایت‌های غیررسمی هنوز هم اینها را ارائه می‌دهند. این بسیار خطرناک است زیرا استفاده از نسخ قدیمی هر نرم‌افزاری خطر محسوب می‌شود. تازه دانلود نرم‌افزار از سایت‌های غیررسمی حتی خطر بیشتری هم دارند (چه کسی می‌داند عامل تهدید چه چیزی ممکن است به بسته‌ی نصب اضافه کرده باشد؟). برخی از افراد نسخه‌هایی از دستورالعمل‌های خنثی‌سازی کلید کشتار درون‌سازه‌ای پست کردند که نمایش برخی محتوای فلش را ممکن می‌سازد. بقیه توصیه‌ها شاید کمی با عقل جور درآیند: برای مثال برخی افزونه‌های مرورگر مبتنی بر امولاتور فلش پلیر به نام Ruffle هستند (امولاتوری که از فناوری‌های مدرن سندباکس مرورگر استفاده می‌کند). در ضمن، Ruffle به زبان Rust نوشته شده است که به نقل از سازندگان رافل، پایه‌ی امنیت مموری‌اش مشکلات و آسیب‌پذیری‌های شایع فلش را خنثی می‌کند. به نظر عالی می‌آید... اما: در نظر داشته باشید که رافل یک پروژه منبع باز است که مشتاقانش از آن حفاظت می‌کنند. حال آنکه آیا صرف داشتن اشتیاق برای محافظت کافی است خود بحث دیگری است! سر و کله‌ی راه‌حل‌های تخصصی B2B نیز پیدا شده است: برای مثال Harman معادله‌ی جامعی با ادوبی امضا کرده است برای که طی آن، برای مرورگرهای قدرت داده‌شده توسط ادوبی برای شرکت‌هایی که هنوز آماده‌ی خداحافظی با این فناوری نیستند مرورگرهای سفارشی ساخته شده و از آن‌ها پشتیبانی نیز می‌شود.

اگر هنوز به فلش ادوبی نیاز باشد باید چه کرد؟

اگر زندگی بدون فناوری غیرقابل‌تحمل است توصیه می‌کنیم:

  • کمی فکر کرده و به جای افسوس، اکنون سعی کنید محتوای وب خود را آپدیت نمایید.
  • برای اجرای نسخه‌های قدیمی‌تر و امتحان کردن راه‌حل‌ها، از محیطی مجازی استفاده کنید.
  • راهکار امنیتی را نصب کنید تا حملات احتمالی به آسیب‌پذیری‌ها و اقدامات اکسپلویت را (در صورتی که دارید از راه‌حل‌های به ظاهر امن استفاده می‌کنید) شناسایی کند.

 

[1]یکی از شهرهای کشور جمهوری خلق چین است.

 

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.