É o fim da linha para o Flash?
O plugin da Adobe está passando por um momento difícil. Será que os inúmeros problemas de segurança finalmente vão decretar o fim do Flash?
Da Redação
Publicado em 18 de julho de 2015 às 16h35.
São Paulo -- A semana não foi fácil para o Flash . Já calejado pelas reclamações acerca das frequentes vulnerabilidades descobertas em seu código, o plugin foi alvo de uma crítica pesada do chefe de segurança do Facebook, Alex Stamos. Logo após a descoberta de novas brechas no sistema – uma delas aberta há pelo menos quatro anos –, o especialista pediu para que a Adobe anunciasse uma data para o fim da aplicação. A ideia, com isso, seria ajudar a acelerar a adoção de tecnologias mais novas, como o HTML5, que já começou a substituir o velho add-on na reprodução de vídeos no YouTube, por exemplo. Teriam, então, os inúmeros problemas de segurança finalmente nos colocado perto do fim do Flash? Três especialistas na área ouvidos por INFO acreditam que não.
“O Flash ainda vai ser usado por um bom tempo”, acredita Fábio Assolini, analista sênior de segurança da Kaspersky Lab. À opinião do pesquisador se juntaram as de Mariano Sumrell, diretor da AVG Brasil, e Luiz Eduardo dos Santos, diretor técnico da FireEye na América Latina. Para os três, o plugin da Adobe ainda tem pelo menos mais alguns anos de vida pela frente – e quando seu fim chegar, o que eles também dão como certo, a responsável não será só a segurança. A outra grande culpada será a usabilidade, uma tecla em que Steve Jobs já batia em 2010.
Em uma carta divulgada naquele ano, o fundador da Apple já reclamava do desempenho das aplicações e dos vídeos em Flash. Segundo ele, o plugin simplesmente era repleto de atrasos técnicos – não rodava bem em smartphones e ainda não tinha suporte a toque –, além de ser mais fechado do que as tecnologias de sua empresa e, claro, ser inseguro. Na época, mais precisamente em 2009, a aplicação foi avaliada pela Symantec como a menos segura, e ainda era apontada por Jobs como a principal causadora das panes em Macs.
Mas a situação até que melhorou de lá para cá. Na análise de Assolini, a Adobe tem feito um bom trabalho na manutenção do Flash, e inclusive fez duas mudanças importantes. A primeira foi a inclusão das atualizações automáticas, que colaboram para aplicar as correções de bugs – liberadas até que rapidamente pela empresa – o quanto antes.
Já a segunda foi a adoção de um sistema de sandbox, que ajuda a isolar as ameaças e impedir que elas escapem do Flash e atinjam outros processos dentro do computador. O sistema, porém, não é perfeito, mas ao menos serve como um avanço na proteção dos usuários. “Em resumo, o que dá para fazer, eles têm feito”, diz Assolini. “Eles não são relapsos, e hoje conseguem consertar as coisas em tempo hábil.”
E essa fixação? – Isso não muda o fato de que Flash continua sendo um alvo “querido” por cibercriminosos. Segundo um relatório divulgado pela Intel Security, só no primeiro trimestre deste ano foram registradas 42 brechas no plugin, um aumento de 50% em relação aos últimos três meses do ano passado. Para Sumrell, isso tem muito a ver com a popularidade do plugin, presente em 92% dos computadores com Windows. “Assim como Java, o Flash tem a ‘vantagem’ de ser universal”, diz o especialista da AVG. “Dessa forma, para um cibercriminoso, não é preciso criar um exploit específico para cada tipo de browser.”
Santos concorda, e vê esse foco dos cibercriminosos como um caso típico de plataformas muito usadas. O mesmo acontece com o Windows e com o Android, por exemplo: ambos são os sistemas dominantes em cada uma de suas áreas, e é para ambos que são desenvolvidos a maior parte dos malwares. No caso específico da Adobe, porém, o problema ter pode mais a ver com “a evolução e o planejamento que eles fizeram”. “Quando eles lançaram o Flash, podem não ter analisado como o crescimento seria nos anos seguintes”, acredita o especialista da FireEye. Consequentemente, a empresa não teria conseguido acompanhar a demanda por segurança, perdendo um pouco do controle sobre a aplicação nesse aspecto.
Tudo sob controle (ou quase isso) – A situação foi razoavelmente controlada nos últimos anos, como destacou Assolini. Mas ainda assim temos o caso da Hacking Team. Uma das três brechas divulgadas com os documentos vazados na última semana estava aberta há pelo menos quatro anos, e passou despercebida pela Adobe. Ela era utilizada pela empresa italiana para espalhar seus spywares, e só foi corrigida depois que os dados foram publicados na web – mas não antes de hackers blackhat tirarem proveito e prejudicarem alguns usuários.
Esse longo período pelo qual a brecha ficou aberta assusta, ainda mais se levarmos em conta que outras vulnerabilidades assim podem existir pelo código da aplicação. Mas também não é assim tão espantoso. “Se você imaginar o tanto de código interligado que eles têm, não é de surpreender que tenha isso passado”, disse Santos. O especialista da FireEye ainda destacou que nem são os desenvolvedores da Adobe que costumam acham essas brechas, e sim gente de fora.
Tornar a tecnologia do Flash open source, então, seria uma boa ideia, não? Segundo o mesmo Santos, “não necessariamente”. Para ele, ao menos em teoria, os “muitos olhos” observando o mesmo código até poderiam ajudar. Mas é sempre bom lembrar que isso nem sempre garante segurança total, e que sistemas de código aberto têm falhas – vide o OpenSSL e o Heartbleed.
E aí, tem jeito? – Fugir completamente de um ataque realizado através de uma brecha no Flash não é fácil. Antivírus comuns não pegam ataques 0-day, como os revelados com o vazamento de documentos da Hacking Team. Isso porque eles detectam malware com base em um sistema de assinaturas, que só são registradas depois que um vírus é analisado pelas empresas de segurança. E mesmo suítes mais completas não são 100% eficazes em detectar um ataque. Elas até notam um comportamento estranho, como destacam os executivos da AVG e da Kaspersky – mas só depois que a máquina é infectada, segundo o da FireEye.
A única forma de anular os riscos completamente é desativando o plugin de vez, algo que os três especialistas acham recomendável fazer. Porém, é uma manobra que pode comprometer a usabilidade na web, segundo Sumrell, visto que o legado do Flash ainda é enorme, e há sites de jogos e vídeos no Facebook que exigem o plugin. Mas ao menos dá para optar pela opção "click & play", que roda a ferramenta apenas quando você permitir – veja abaixo como configurar. “Ainda há muita coisa feita com a plataforma, e muita gente que sabe utilizá-la”, disse o diretor da AVG. “E como ainda vai encontrar muitos sites que vão pedir o add-on, pelo menos dá para ativá-lo manualmente.”
Fora essa solução, o que o trio de especialistas recomenda é manter o plugin atualizado, algo que vale também para o Java. Assim, dá para manter o PC protegido, ao menos até que uma nova falha seja descoberta na semana seguinte. Ou que o Flash seja, enfim, descontinuado para dar lugar de vez ao HTML5 – o que é só uma questão de tempo, mas que ainda deve levar mais “uns três anos”, na visão de Santos.
- Como restringir o Flash no Chrome: Abra as configurações e visualize a parte com as avançadas. Clique em Privacidade e, na nova tela, procure por Plug-ins e marque a opçãoClique para reproduzir
- Como restringir o Flash no Firefox: Acesse o menu de complementos (digite "about:addons" na barra de endereços) e, em Plugins, procure o Shockware Flash e selecione, à direita dele, a opção Perguntar para ativar.
- Como restringir o Flash no Internet Explorer: Clique na engrenagem de configurações, selecione Gerenciador de Complementos e dê dois cliques na opção do Adobe Shockware Player. Na nova janela, aperte Remover todos os sites e depois Fechar.
- Como restringir o Flash no Safari: Abra as Preferências, vá até Segurança e clique emConfigurações de Website ao lado de Permitir Plug-ins. Na janela que surgir, procure pelo Flash e muda a opção no canto inferior direito.
São Paulo -- A semana não foi fácil para o Flash . Já calejado pelas reclamações acerca das frequentes vulnerabilidades descobertas em seu código, o plugin foi alvo de uma crítica pesada do chefe de segurança do Facebook, Alex Stamos. Logo após a descoberta de novas brechas no sistema – uma delas aberta há pelo menos quatro anos –, o especialista pediu para que a Adobe anunciasse uma data para o fim da aplicação. A ideia, com isso, seria ajudar a acelerar a adoção de tecnologias mais novas, como o HTML5, que já começou a substituir o velho add-on na reprodução de vídeos no YouTube, por exemplo. Teriam, então, os inúmeros problemas de segurança finalmente nos colocado perto do fim do Flash? Três especialistas na área ouvidos por INFO acreditam que não.
“O Flash ainda vai ser usado por um bom tempo”, acredita Fábio Assolini, analista sênior de segurança da Kaspersky Lab. À opinião do pesquisador se juntaram as de Mariano Sumrell, diretor da AVG Brasil, e Luiz Eduardo dos Santos, diretor técnico da FireEye na América Latina. Para os três, o plugin da Adobe ainda tem pelo menos mais alguns anos de vida pela frente – e quando seu fim chegar, o que eles também dão como certo, a responsável não será só a segurança. A outra grande culpada será a usabilidade, uma tecla em que Steve Jobs já batia em 2010.
Em uma carta divulgada naquele ano, o fundador da Apple já reclamava do desempenho das aplicações e dos vídeos em Flash. Segundo ele, o plugin simplesmente era repleto de atrasos técnicos – não rodava bem em smartphones e ainda não tinha suporte a toque –, além de ser mais fechado do que as tecnologias de sua empresa e, claro, ser inseguro. Na época, mais precisamente em 2009, a aplicação foi avaliada pela Symantec como a menos segura, e ainda era apontada por Jobs como a principal causadora das panes em Macs.
Mas a situação até que melhorou de lá para cá. Na análise de Assolini, a Adobe tem feito um bom trabalho na manutenção do Flash, e inclusive fez duas mudanças importantes. A primeira foi a inclusão das atualizações automáticas, que colaboram para aplicar as correções de bugs – liberadas até que rapidamente pela empresa – o quanto antes.
Já a segunda foi a adoção de um sistema de sandbox, que ajuda a isolar as ameaças e impedir que elas escapem do Flash e atinjam outros processos dentro do computador. O sistema, porém, não é perfeito, mas ao menos serve como um avanço na proteção dos usuários. “Em resumo, o que dá para fazer, eles têm feito”, diz Assolini. “Eles não são relapsos, e hoje conseguem consertar as coisas em tempo hábil.”
E essa fixação? – Isso não muda o fato de que Flash continua sendo um alvo “querido” por cibercriminosos. Segundo um relatório divulgado pela Intel Security, só no primeiro trimestre deste ano foram registradas 42 brechas no plugin, um aumento de 50% em relação aos últimos três meses do ano passado. Para Sumrell, isso tem muito a ver com a popularidade do plugin, presente em 92% dos computadores com Windows. “Assim como Java, o Flash tem a ‘vantagem’ de ser universal”, diz o especialista da AVG. “Dessa forma, para um cibercriminoso, não é preciso criar um exploit específico para cada tipo de browser.”
Santos concorda, e vê esse foco dos cibercriminosos como um caso típico de plataformas muito usadas. O mesmo acontece com o Windows e com o Android, por exemplo: ambos são os sistemas dominantes em cada uma de suas áreas, e é para ambos que são desenvolvidos a maior parte dos malwares. No caso específico da Adobe, porém, o problema ter pode mais a ver com “a evolução e o planejamento que eles fizeram”. “Quando eles lançaram o Flash, podem não ter analisado como o crescimento seria nos anos seguintes”, acredita o especialista da FireEye. Consequentemente, a empresa não teria conseguido acompanhar a demanda por segurança, perdendo um pouco do controle sobre a aplicação nesse aspecto.
Tudo sob controle (ou quase isso) – A situação foi razoavelmente controlada nos últimos anos, como destacou Assolini. Mas ainda assim temos o caso da Hacking Team. Uma das três brechas divulgadas com os documentos vazados na última semana estava aberta há pelo menos quatro anos, e passou despercebida pela Adobe. Ela era utilizada pela empresa italiana para espalhar seus spywares, e só foi corrigida depois que os dados foram publicados na web – mas não antes de hackers blackhat tirarem proveito e prejudicarem alguns usuários.
Esse longo período pelo qual a brecha ficou aberta assusta, ainda mais se levarmos em conta que outras vulnerabilidades assim podem existir pelo código da aplicação. Mas também não é assim tão espantoso. “Se você imaginar o tanto de código interligado que eles têm, não é de surpreender que tenha isso passado”, disse Santos. O especialista da FireEye ainda destacou que nem são os desenvolvedores da Adobe que costumam acham essas brechas, e sim gente de fora.
Tornar a tecnologia do Flash open source, então, seria uma boa ideia, não? Segundo o mesmo Santos, “não necessariamente”. Para ele, ao menos em teoria, os “muitos olhos” observando o mesmo código até poderiam ajudar. Mas é sempre bom lembrar que isso nem sempre garante segurança total, e que sistemas de código aberto têm falhas – vide o OpenSSL e o Heartbleed.
E aí, tem jeito? – Fugir completamente de um ataque realizado através de uma brecha no Flash não é fácil. Antivírus comuns não pegam ataques 0-day, como os revelados com o vazamento de documentos da Hacking Team. Isso porque eles detectam malware com base em um sistema de assinaturas, que só são registradas depois que um vírus é analisado pelas empresas de segurança. E mesmo suítes mais completas não são 100% eficazes em detectar um ataque. Elas até notam um comportamento estranho, como destacam os executivos da AVG e da Kaspersky – mas só depois que a máquina é infectada, segundo o da FireEye.
A única forma de anular os riscos completamente é desativando o plugin de vez, algo que os três especialistas acham recomendável fazer. Porém, é uma manobra que pode comprometer a usabilidade na web, segundo Sumrell, visto que o legado do Flash ainda é enorme, e há sites de jogos e vídeos no Facebook que exigem o plugin. Mas ao menos dá para optar pela opção "click & play", que roda a ferramenta apenas quando você permitir – veja abaixo como configurar. “Ainda há muita coisa feita com a plataforma, e muita gente que sabe utilizá-la”, disse o diretor da AVG. “E como ainda vai encontrar muitos sites que vão pedir o add-on, pelo menos dá para ativá-lo manualmente.”
Fora essa solução, o que o trio de especialistas recomenda é manter o plugin atualizado, algo que vale também para o Java. Assim, dá para manter o PC protegido, ao menos até que uma nova falha seja descoberta na semana seguinte. Ou que o Flash seja, enfim, descontinuado para dar lugar de vez ao HTML5 – o que é só uma questão de tempo, mas que ainda deve levar mais “uns três anos”, na visão de Santos.
- Como restringir o Flash no Chrome: Abra as configurações e visualize a parte com as avançadas. Clique em Privacidade e, na nova tela, procure por Plug-ins e marque a opçãoClique para reproduzir
- Como restringir o Flash no Firefox: Acesse o menu de complementos (digite "about:addons" na barra de endereços) e, em Plugins, procure o Shockware Flash e selecione, à direita dele, a opção Perguntar para ativar.
- Como restringir o Flash no Internet Explorer: Clique na engrenagem de configurações, selecione Gerenciador de Complementos e dê dois cliques na opção do Adobe Shockware Player. Na nova janela, aperte Remover todos os sites e depois Fechar.
- Como restringir o Flash no Safari: Abra as Preferências, vá até Segurança e clique emConfigurações de Website ao lado de Permitir Plug-ins. Na janela que surgir, procure pelo Flash e muda a opção no canto inferior direito.