Flashul – platformă comună a insecurităţii online

Observând că în articolul dedicat comparaţiei dintre HTML5, Flash, Silverlight şi JavaFX, Şopârloiul a omis să trateze problema securităţii fiecărei platforme, am decis că o completare este binevenită.

Dacă ai idee cu se mănâncă securitatea în domeniul IT probabil că ţi-ai şi luat nişte măsuri care să-ţi asigure integritatea calculatorului şi a preţioaselor tale informaţii pe care le conţine acesta. Ţi-ai instalat un antivirus serios, un firewall şi un produs anti-malware sau poate chiar o suită de securitate care le include pe cele menţionate anterior. Ei bine, veştile care vin din lumea securităţii digitale nu sunt chiar roz şi, deşi urăsc să joc rolul mesagerului negru, consider că trebuie să ajut la răspândirea veştilor proaste măcar în scop preventiv dacă nu pentru altceva…

Charlie Miller câştigătorul ultimilor 2 ani al competiţiei de hacking ”Pwn20wn,”» afirmă într-un interviu proaspăt că toţi cei care folosim Flash suntem în pericol. Adică aproximativ 96-98% dintre browserele care se conectează la internet, procent care face irelevantă referirea la securitatea celorlalte tehnologii (HTML 5, Silverlight sau JavaFX).

Ce mesaj vrea să ne transmită hackerul ăsta? Practic că Flashul este platforma care unifică toate vulnerabilităţile în materie de navigatoare web, indiferent de sistemul de operare pe care rulează acestea.

Dar cum de s-a ajuns în situaţia asta, în condiţiile în care avem 3 familii de sisteme de operare mari şi late (Windows, Mac OS şi cele bazate pe Linux) plus cel puţin o duzină de browsere diferite?

Răspunsul este relativ simplu: aplicaţiile RIA» sunt construite în proporţie covârşitoare pe platforma Flash, iar dacă vrem să ne bucurăm de binefacerile lor suntem nevoiţi să acceptăm instalarea acestuia.

În viziunea aceluiaşi Charlie Miller Mac OS este un sistem de operare la fel de vulnerabil ca şi Windowsul, deşi Windows 7 este o idee mai greu de compromis pentru că are ”ASLR”» , ”DEP”» şi o suprafaţă expusă atacului mai mică (nu vine cu Java sau Flash instalate implicit), continuând cu ideea că nici Linuxul nu este mai sigur fiind chiar probabil mai uşor de “spart” deşi asta depinde de versiunea supusă atacului. Cele mai sigure browsere sunt Chrome sau Internet Explorer 8 dar fără Flashul instalat, conchide Miller. Ştiu că acum îmi vor sări în cap toţi fanii înrăiţi ai lui Firefox indicându-mi add-onul care permite controlarea executării scripturilor, dar eu nu am făcut altceva decât să expun părerea hackerului care este un câştigător regulat al unei competiţii axate pe descoperirea şi exploatarea de vulnerabilităţi în sisteme de operare şi browsere.

Să fie acesta preţul pe care trebui să-l plătim pentru avantajele cloud computingului şi pentru un internet mai luminos şi strălucitor? Vestea bună este că din acest punct de vedere smartphoneurile sunt ceva mai sigure, dar asta nu este decât un rezultat al handicapului că Flashul nu se împacă prea bine cu platforma mobilă.

Pe de altă parte webul ar fi cu siguranţă mult mai cenuşiu fără Flash.

Share on Facebook
Share on LinkedIn

care are loc anual cu ocazia conferinţei CansecWest Conference. Charlie Miller este cel mai renumit vânător de buguri şi expert în probleme de securitate fiind primul hacker care a reuşit să “spargă” un iPhone şi un smartphone cu Android, platforma lui favorită fiind Mac OS şi în special browserul celor de la Apple, Safari. Pwn2Own 2010 va avea loc între 24-26 martie în Vancouver BC – CanadaPowered by Hackadelic Sliding Notes 1.6.5
Rich Internet Applications = aplicaţii web asemănătoare ca aspect şi funcţionalitate cu aplicaţiile desktopPowered by Hackadelic Sliding Notes 1.6.5
address space layout randomization tehnică din domeniul securităţii informatice care implică aranjarea aleatorie a adreselor în care sunt stocate informaţiile vitale în memoria de lucru a procesorului (CPU)Powered by Hackadelic Sliding Notes 1.6.5
Data Prevention Execution – facilitate inclusă în sistemele moderne de operare Windows care presupune blocarea executării de către o aplicaţie sau un serviciu a unui cod care provine dintr-o regiune a memoriei care conţine cod ne-executabilPowered by Hackadelic Sliding Notes 1.6.5

Publicat în: AnalizeeCrimeTrenduri

Etichete:

Despre autor: A avut o copilărie nefericită, lucru care se pare că l-a marcat pe viață. E cel mai în vârstă din echipa IT4Fans și, după cum îi sugerează şi ID-ul, cârcotește (pertinent, sper) pe marginea problemelor sâcâitoare din zona IT-ului. Nu poți purta cu el nicio discuție fără să-ți verse în cap toate frustrările lui, dar cu toate astea e un fârtate de nădejde și nu te lasă la greu.

RSSComentarii (0)

URL trackback

Comentează




Dacă vrei să apară o poză la comentariul tău, fă-ți rost de un Gravatar.