Een wereld zonder Adobe Flash

Ter nagedachtenis aan Adobe Flash

Begin 2021 stopte Adobe Flash officieel te bestaan. Sommige fans van de oude browser-gebaseerde games pinkten een traantje weg, maar de meeste infosec-experts slaakten een zucht van verlichting terwijl de wereld zich opmaakte om zonder de bijzondere maar inmiddels dode technologie verder te gaan.

Is de wereld hier echter wel klaar voor? Het blijkt dat niet iedereen op andere tools is overgestapt, ondanks jaren aan voorafgaande waarschuwingen van Adobe. Bovendien begonnen een aantal techno-necromancers manieren te verzinnen om deze technologie uit het graf te laten herrijzen. Nu, veertig dagen na het einde, kijken we hoe het de wereld zonder (of toch niet) Adobe Flash vergaat.

Een spoorweg in Dalian

Wat er nou exact gebeurde in januari op een spoorweg in Dalian, China, wordt betwist. De verhalen van de ernst van het voorval verschillen, maar over één ding is iedereen het eens: het einde van op Flash gebaseerde content veroorzaakte de storing. Ondanks de officiële datum op de overlijdensakte, 1 januari, voegde Adobe nog een overgangsperiode toe, waardoor gebruikers nog 11 extra dagen hadden om Flash vaarwel te zeggen. Waarom iemand op 12 januari nog altijd op Flash vertrouwt is eerlijk gezegd absoluut niet te bevatten, maar op die dag gebruikten een aantal van de spoorwegsystemen van Dalian het platform dus nog steeds.

Of Flash de reisstoring nou direct veroorzaakte en welke systemen er precies betrokken waren wordt betwist, maar dat doet er ook niet toe. De media vermeldden problemen met tickets en verzendingen. Functionarissen ontkenden het probleem in feite. Hoe dan ook, het technische ondersteuningsteam trok alles ut de kast en kreeg Adobe Flash uiteindelijk aan de praat op de computers op stations langs de spoorlijn, waardoor de systemen weer werkzaam werden. Adobe Flash werkt nu weer en alles is weer normaal wat dat betreft.

Vanuit een informatiebeveiligingsperspectief is deze prestatie nou niet bepaald prijzenswaardig te noemen. Een stukje kritieke infrastructuur maakt nu gebruik (al zij het voor niet-kritieke taken) een technologie waarvan men weet dat die verouderd is.

Een apart maar gerelateerd punt is dat veel grote bedrijven hun updates mondjesmaat uitbrengen omdat best practices dicteren dat updates getest moeten worden door ze op te starten op machines in een geïsoleerde testomgeving. Misschien werd die praktijk door de spoorweg van Dalian toegepast — dat weten we niet. Het probleem is in dit geval dat de update-protocollen hier het probleem niet zijn. Het is niet zo dat Adobe op 12 januari een update voor Flash uitbracht, maar er werd een einde gemaakt aan Flash. Die beslissing stond al lange tijd gepland vóór de laatste update (die op 8 december plaatsvond). Een patch zou in feite prima hebben gepresteerd in welke testomgeving dan ook.

Achteraf is het integreren van een vertraagde kill switch wellicht niet het beste idee voor het beëindigen van zo’n wijdverspreide technologie.

Een belastingkantoor in Zuid-Afrika

De South African Revenue Service is verantwoordelijk voor de belastinginning in het land, en veel van de aangiftes worden online gedaan. Op 12 januari realiseerde de belastingdienst zich plotseling dat de webformulieren gebruikmaakten van Adobe Flash.

In plaats van de deadline voor het indienen van de belastingaangifte uit te stellen en de formulieren opnieuw te coderen met gebruik van een nieuwere technologie, besloot de belastingdienst om een aangepaste browser uit te geven met ondersteuning voor Adobe Flash. Nu moeten Zuid-Afrikaanse belastingbetalers niet-ondersteunde technologie gebruiken om gevoelige financiële informatie te versturen.

De Zuid-Afrikaanse regering creëerde de aangepaste browser niet vanuit het niets. Ze gebruikten een uitgeklede versie van Chromium die alleen toegang biedt tot één website. Als tijdelijke oplossing is het niet levensgevaarlijk, maar we weten niets over de plannen van deze overheidsafdeling om de browser up-to-date te houden.

Het programma bestaat momenteel alleen voor Windows, dus gebruikers van andere besturingssystemen zullen op zoek moeten gaan naar alternatieven om de Flash-content te openen, wat riskant is. We hopen dat deze oplossing inderdaad tijdelijk is en de belastingdienst Flash uiteindelijk ook vaarwelzegt.

Workarounds

Er bestaan alternatieven om Flash te draaien. Het slechte nieuws is dat daar ook veel vraag naar is, en niet alleen onder liefhebbers van op Flash gebaseerde games. Een aantal redelijk grote bedrijven vertrouwt nog altijd op deze technologie voor bepaalde diensten (veelal interne diensten). Als u zoekt op “Flash na 2021 draaien”, vindt u tal van links met instructies. Voor de duidelijkheid: die moet u niet opvolgen.

Eén optie is bijvoorbeeld om een pre-kill-switch-versie van Flash Player te installeren. Hoewel Adobe de links naar oudere versies van het programma van zijn website heeft verwijderd, bieden onofficiële sites ze nog wel aan. Dat is sowieso al verontrustend omdat het gebruik van oude versies van welke software dan ook riskant is, maar het downloaden van software van onofficiële sites zorgt voor extra risico — wie weet wat gewetenloze derden mogelijk aan het installatiepakket hebben toegevoegd?

Sommige mensen hebben versies met instructies gepubliceerd voor het neutraliseren van de ingebouwde kill switch, waardoor het weergeven van sommige Flash-content mogelijk wordt.

Andere tips lijken iets zinvoller. Er zijn bijvoorbeeld verschillende browser-extensies gebaseerd op Ruffle, een Flash Player-emulator die moderne browser-sandboxing-technieken gebruikt. Bovendien is Ruffle geschreven in de Rust-taal, waarvan de geheugenbeveiligingsbasis gebruikelijke Flash-problemen en -kwetsbaarheden neutraliseert, aldus de makers van Ruffle.

Dat klinkt goed. Houd er echter rekening mee dat Ruffle een open-source-project is dat wordt onderhouden door liefhebbers. Of hun enthousiasme voldoende is, valt nog te bezien. Ruffle kan ook goed kwetsbaarheden bevatten, en de vraag is of die tijdig worden verholpen.

Er zijn ook gespecialiseerde B2B-oplossingen opgedoken. Harman tekende bijvoorbeeld een exclusieve overeenkomst met Adobe om aangepaste browsers te bouwen en ondersteunen waarin Flash is ingeschakeld voor bedrijven die nog niet bereid zijn om deze player los te laten.

Wat te doen als u Flash nog nodig hebt

Als een leven zonder deze technologie niet te verdragen lijkt te zijn, hebben wij de volgende tips voor u:

  • Denk er nog eens over na. Probeer toch eens uw web-content te updaten;
  • Gebruik een virtuele omgeving om oude versies en geïmproviseerde workarounds te draaien — alleen als het echt niet anders kan;
  • Installeer een beveiligingsoplossing die pogingen tot exploitatie van kwetsbaarheden detecteert, zelfs als u een workaround gebruikt die veilig lijkt te zijn.

Tips