Un mondo senza Adobe Flash

In dolce ricordo di Adobe Flash (o forse no).

All’inizio del 2021, Adobe Flash ha ufficialmente cessato di esistere. I fan dei vecchi giochi per browser si saranno intristiti, ma la maggior parte degli esperti di sicurezza informatica hanno tirato un sospiro di sollievo mentre il mondo si preparava a vivere senza questa illustre, ma ormai superata, tecnologia.

La domanda è: il mondo è pronto a questo cambiamento? Sembra che non tutti siano passati ad altri strumenti nonostante anni di preavviso da parte di Adobe. Inoltre, alcuni amanti delle tecnologie in disuso hanno iniziato a trovare escamotage per far risorgere Flash dalla tomba. Ora, quaranta giorni dopo la sua dipartita, diamo un’occhiata a come il mondo sta andando avanti (o meno) senza Adobe Flash.

Una ferrovia a Dalian

Ciò che è successo a gennaio, su una linea ferroviaria a Dalian, in Cina, è controverso. I resoconti sulla gravità dell’incidente sono diversi, ma tutti concordano su una cosa: è stata la fine dei contenuti basati su Flash a causare un malfunzionamento. Nonostante la data ufficiale sul certificato di “morte”, il 1° gennaio, Adobe ha aggiunto un periodo di tolleranza, dando agli utenti altri 11 giorni per dare l’estremo saluto a Flash. Perché qualcuno, il 12 gennaio, stesse ancora affidandosi a Flash, è francamente insensato, ma quel giorno alcuni sistemi ferroviari di Dalian stavano ancora utilizzando la piattaforma.

Capire se Flash abbia causato direttamente l’interruzione del servizio e quali sistemi siano stati esattamente coinvolti è da capire ma non è questo il punto. I media hanno parlato di problemi di trasporto e di biglietteria, mentre le fonti ufficiali hanno essenzialmente negato il problema. Ad ogni modo, il team di supporto tecnico ha messo in atto tutte le misure necessarie ed è riuscito a far funzionare Adobe Flash sui computer delle stazioni lungo la linea, affinché i sistemi fossero di nuovo operativi. Adobe Flash è ora attivo e funzionante, e tutto è tornato come prima.

Dal punto di vista della sicurezza delle informazioni, il risultato non è certo lodevole: un elemento dell’infrastruttura critica sta ora utilizzando una tecnologia antiquata (anche se per compiti non estremamente importanti).

Un aspetto a parte ma comunque correlato è che molte grandi aziende distribuiscono i loro aggiornamenti in modo frammentario, per questo si raccomanda di testare gli aggiornamenti iniziando con delle macchine in un ambiente di prova isolato. Forse la ferrovia di Dalian avrà applicato questa pratica, non lo sappiamo. Il fatto è che in questo caso i protocolli di aggiornamento non sono il problema. Adobe non ha smesso di aggiornare Flash il 12 gennaio, lo ha proprio disattivato. Il kill switch è stato codificato molto tempo addietro, prima dell’ultimo aggiornamento (che risale all’8 dicembre). Di fatto, una patch avrebbe funzionato bene in qualsiasi ambiente di prova.

Forse, col senno di poi, incorporare un kill switch a scoppio ritardato non è la migliore pratica per bloccare una tecnologia così ampiamente utilizzata.

Un’agenzie delle entrate in Sudafrica

Il South African Revenue Service è responsabile della riscossione delle tasse nel paese, e molte dichiarazioni sono ora presentate online. Il 12 gennaio, il servizio delle entrate si è improvvisamente reso conto che i suoi moduli web erano stati elaborati su Adobe Flash.

Piuttosto che estendere la scadenza per la presentazione delle dichiarazioni fiscali e ricodificare i moduli basati su una tecnologia più recente, il servizio delle entrate ha deciso di rilasciare un browser personalizzato con il supporto di Adobe Flash. Ora i contribuenti sudafricani devono usare una tecnologia non supportata per presentare informazioni finanziarie sensibili.

Il governo sudafricano non ha creato un browser da zero; ha usato una versione ridotta di Chromium che fornisce l’accesso a un solo sito web. Come misura provvisoria non è pericolosa, ma non conosciamo i piani del dipartimento per mantenere il suo browser aggiornato.

Il programma esiste attualmente solo per Windows, quindi gli utenti di altri sistemi operativi dovranno cercare modi alternativi per eseguire contenuti Flash, il che è rischioso. Speriamo che la soluzione sia temporanea e che l’agenzia alla fine abbandoni Flash.

Soluzioni alternative

Esistono modi alternativi per eseguire Flash. Purtroppo, la loro richiesta è in aumento e non solo tra gli appassionati di giochi basati su questo software. Alcune aziende abbastanza importanti si affidano ancora a questa tecnologia per alcuni servizi (per lo più interni). Cercate “come eseguire Flash dopo il 2021” e troverete un mucchio di link con istruzioni che, a scanso di equivoci, non dovreste seguire.

Per esempio, un’opzione è quella di installare una versione pre-kill-switch di Flash Player. Anche se Adobe ha rimosso i link alle vecchie versioni del programma dal suo sito web, i siti non ufficiali li propongono. Un fenomeno preoccupante, dal momento che usare vecchie versioni di un qualsiasi software è rischioso, ma scaricare software da siti non ufficiali lo è ancora di più, chissà cosa potrebbero aver aggiunto al pacchetto di installazione?

Alcune persone hanno pubblicato varie istruzioni per neutralizzare il kill-switch incorporato, permettendo la visualizzazione di alcuni contenuti Flash.

Altre possibilità sembrano essere migliori. Per esempio, diverse estensioni del browser sono basate su Ruffle, un emulatore di Flash Player che utilizza le moderne tecnologie di sandboxing del browser. Inoltre, Ruffle è stato scritto in linguaggio Rust, la cui base di sicurezza della memoria neutralizza i comuni problemi e vulnerabilità di Flash, secondo i creatori di Ruffle.

Sembra una soluzione accettabile; tuttavia, tenete a mente che Ruffle è un progetto open-source gestito da appassionati. Resta da vedere se l’entusiasmo sarà sufficiente. Ruffle potrebbe anche nascondere delle vulnerabilità proprie e qualcuno potrebbe correggerle quando sarà il momento.

Sono apparse anche soluzioni B2B specializzate. Per esempio, Harman ha firmato un accordo esclusivo con Adobe per costruire e supportare browser personalizzati con Flash attivato per le aziende che non sono pronte a separarsi da questo player.

Cosa fare se avete ancora bisogno di Flash

Se la vita senza questa tecnologia vi sembra insopportabile, vi suggeriamo di seguire questi consigli:

  • Ripensateci. Provate invece ad aggiornare i vostri contenuti web;
  • Usate un ambiente virtuale per eseguire vecchie versioni e soluzioni di fortuna, e solo se necessario;
  • Installate una soluzione di sicurezza per rilevare i tentativi di sfruttamento della vulnerabilità, anche se state usando un’alternativa che sembra sicura.

Consigli