Flash è davvero morto e sepolto? A quanto pare no
All’inizio del 2021, Adobe Flash ha ufficialmente cessato di esistere. I fan dei vecchi giochi per browser si saranno intristiti, ma la maggior parte degli esperti di sicurezza informatica ha tirato un sospiro di sollievo mentre il mondo si preparava a vivere senza questa illustre, ma ormai superata (e pericolosa), tecnologia. Ma questo stesso mondo è pronto per accogliere un tale cambiamento? Sembra in realtà che non tutti siano passati ad altri strumenti nonostante anni di preavviso da parte di Adobe. Inoltre, alcuni amanti delle tecnologie in disuso hanno iniziato a trovare escamotage per far risorgere Flash dalla tomba. Ora, quaranta giorni dopo la sua dipartita, gli esperti di Kaspersy Lab hanno osservato il modo in cui il mondo sta andando avanti senza Adobe Flash.
Il pasticcio di Dalian
Ciò che è successo a gennaio su una linea ferroviaria a Dalian, in Cina, è controverso. I resoconti sulla gravità dell’incidente sono diversi, ma tutti concordano su una cosa: è stata la fine dei contenuti basati su Flash a causare un malfunzionamento. Nonostante Adobe abbia dato tempo agli utenti fino al 12 gennaio per dare l’estremo saluto a Flash, proprio in quei giorni alcuni sistemi ferroviari di Dalian stavano ancora utilizzando la piattaforma di Adobe.
Capire se Flash abbia causato direttamente l’interruzione del servizio e quali sistemi siano stati esattamente coinvolti è da capire, ma non è questo il punto. I media hanno parlato di problemi di trasporto e di biglietteria, mentre le fonti ufficiali hanno essenzialmente negato il problema. Ad ogni modo, il team di supporto tecnico ha messo in atto tutte le misure necessarie ed è riuscito a far funzionare Adobe Flash sui computer delle stazioni lungo la linea, affinché i sistemi fossero di nuovo operativi. Adobe Flash è ora attivo e funzionante e tutto è tornato come prima.
Dal punto di vista della sicurezza delle informazioni, il risultato non è certo lodevole: un elemento dell’infrastruttura critica sta ora utilizzando una tecnologia antiquata (anche se per compiti non estremamente importanti) che non sarà più aggiornata a livello di sicurezza.
Un’agenzia delle entrate in Sudafrica
Il South African Revenue Service è responsabile della riscossione delle tasse nel Paese e molte dichiarazioni sono ora presentate online. Il 12 gennaio, il servizio delle entrate si è improvvisamente reso conto che i suoi moduli web erano stati elaborati su Adobe Flash. Piuttosto che estendere la scadenza per la presentazione delle dichiarazioni fiscali e ricodificare i moduli basati su una tecnologia più recente, il servizio delle entrate ha deciso di rilasciare un browser personalizzato con il supporto di Adobe Flash. Ora i contribuenti sudafricani devono usare una tecnologia non supportata per presentare informazioni finanziarie sensibili.
Il governo sudafricano non ha creato un browser da zero; ha usato una versione ridotta di Chromium che fornisce l’accesso a un solo sito web. Come misura provvisoria non è pericolosa, ma non conosciamo i piani del dipartimento per mantenere il suo browser aggiornato. Il programma esiste attualmente solo per Windows, quindi gli utenti di altri sistemi operativi dovranno cercare modi alternativi per eseguire contenuti Flash, il che è rischioso. Speriamo che la soluzione sia temporanea e che l’agenzia alla fine abbandoni Flash.
Soluzioni alternative
Esistono modi alternativi per eseguire Flash. Purtroppo, la loro richiesta è in aumento e non solo tra gli appassionati di giochi basati su questo software. Alcune aziende abbastanza importanti si affidano ancora a questa tecnologia per alcuni servizi (per lo più interni). Cercate su Google “come eseguire Flash dopo il 2021” e troverete un mucchio di link con istruzioni che, a scanso di equivoci, non dovreste seguire.
Per esempio, un’opzione è quella di installare una versione pre-kill-switch di Flash Player. Anche se Adobe ha rimosso i link alle vecchie versioni del programma dal suo sito web, i siti non ufficiali li propongono. Un fenomeno preoccupante, dal momento che usare vecchie versioni di un qualsiasi software è rischioso, ma scaricare software da siti non ufficiali lo è ancora di più (chissà infatti cosa potrebbero aver aggiunto al pacchetto di installazione)
Altre possibilità sembrano essere più rassicuranti. Per esempio, diverse estensioni del browser sono basate su Ruffle, un emulatore di Flash Player che utilizza le moderne tecnologie di sandboxing del browser. Inoltre, Ruffle è stato scritto in linguaggio Rust, la cui base di sicurezza della memoria neutralizza i comuni problemi e vulnerabilità di Flash. Sembra quindi una soluzione accettabile, ma resta il fatto che Ruffle è un progetto open-source gestito da appassionati. Resta da vedere se l’entusiasmo sarà sufficiente. Ruffle potrebbe anche nascondere delle vulnerabilità proprie e qualcuno potrebbe sfruttarle.
Sono apparse anche soluzioni B2B specializzate. Per esempio, Harman ha firmato un accordo esclusivo con Adobe per costruire e supportare browser personalizzati con Flash attivato per le aziende che non sono ancora pronte a separarsi da questo player.
Cosa fare se avete ancora bisogno di Flash
Se la vita senza Flash vi sembra comunque insopportabile, Kaspersky suggerisce di seguire questi consigli:
- Ripensateci. Provate invece ad aggiornare i vostri contenuti web
- Usate un ambiente virtuale per eseguire vecchie versioni e soluzioni di fortuna… e solo se necessario
- Installate una soluzione di sicurezza per rilevare i tentativi di sfruttamento della vulnerabilità, anche se state usando un’alternativa che sembra sicura