Si hay algo en lo que los profesionales de la seguridad estan de acuerdo es en esto, su odio por Flash Player de Adobe. No hay APT o exploit kit que no haya acogido las vulnerabilidades de la plataforma de desarrollo con los brazos abiertos. Y por todos los daños contabilizados en objetos perdidos, propiedad intelectual, secretos industriales, contraseñas robadas y números de tarjetas de crédito, ha habido una llamada igualmente apasionada por la industria de la tecnología para deshacerse de Flash de raíz.
"Flash es un realmente un fantástico ejemplo de lo que sucede cuando tienes un código heredado dentro de una aplicación que ha existido desde hace mucho tiempo", dijo Cody Pierce, director de investigación de vulnerabilidad y prevención en Endgame. "Flash proporciona una rica experiencia de desarrollo para los usuarios, sin embargo, sufre porque está tratando de ser una plataforma rica. Cada vez que hace eso y tiene que soportar formatos de archivos heredados, terminan en una situación en la que los atacantes tienen un campo de ataque casi ilimitado: video, audio, imágenes, diferentes protocolos y un muy rico lenguaje de programación en ActionScript. Es propicio para la explotación y el descubrimiento de la vulnerabilidad ".
Adobe esta semana tomó uno de sus primeros pasos fuera de Flash y hacia HTML5. La compañía anunció que ha cambiado el nombre de Flash Professional CC a Animate CC, que estará disponible a principios del próximo año, y que se considere herramienta preferida de Adobe para desarrollar contenido HTML5.
"Nuestros clientes claramente han comunicado que les gustaría que nuestras aplicaciones creativas evolucionen para soportar múltiples estándares y estamos comprometidos a hacer eso", dijo Adobe al anunciar la movida.
Adobe no tiro por completo a Flash en el cesto de la basura y dijo que continuará desarrollando actualizaciones de seguridad y características de Flash y seguirá trabajando con sus socios de navegadores como Microsoft, Mozilla y Google para disminuir los riesgos que rodean a flash. Por no hablar de que demasiadas aplicaciones heredadas y contenido web existente se basan en Flash como para descontinuar de manera inmediata, dijeron los expertos.
"El mensaje clave es que esto no va a desaparecer pronto", dijo Mike Hanley, director del programa de R&D y de Duo Security. "A lo mejor, este es un reconocimiento de que hay un futuro en el flash ya no será una plataforma dominante en la web, pero sin calendario claro u horario de desaprobación planeado, muchas aplicaciones heredadas y contenido web seguirá confiando en plataformas históricamente problemáticas como Flash para obtener la más amplia adopción posible en los próximos años ".
Flash sigue atrayendo a lo peor de los peores hackers. Mes tras mes, en las actualizaciones de seguridad programadas, Adobe lanza docenas de parches para Flash, sin mencionar un número creciente de actualizaciones emergentes que fijan vulnerabilidades de día cero. Este año cayó a un punto bajo este verano cuando fue descubierto entre los restos del hackeo al Hacking Team que la controvertida empresa de vigilancia tenía a su disposición una serie de vulnerabilidades dia cero que estaba usando y no había reportado a Adobe.
Hacking Team no está solo en la codicia de días cero en Flash. Zerodium, la nueva empresa se inició en septiembre por el fundador de VUPEN Chaouki Bekrar publicó recientemente su gráfico de precios, lo que mostró que pagaría entre $ 50.000 y $ 80.000 por días cero en Flash.
"Con un gran número de usuarios aún ejecutando aplicaciones vulnerables, proporciona a los atacantes con un vector de intrusiones versátil", dijo Nick Buchholz, analista de seguridad de la red principal en Damballa. "Seguramente continuaremos viendo el desarrollo de exploits de flash mucho después del anuncio, y la demanda de las exploits probablemente se mantendrán sin cambios."
Aunque Adobe continúa luchando la buena batalla, Google y Mozilla ya han hecho movimientos para negar a los exploits la capacidad de cargar automáticamente y ejecutarse a través de plugins click-to-play para Chrome y Mozilla.
"El impulso para dejar de usar flash probablemente provenga de otras compañías y grupos de trabajo cuyos usuarios con más frecuencia son explotados a través de la plataforma Flash," dijo Hanley de Duo Security.
Mientras tanto, esperen que los hackers aficionados a la explotación de programas multiplataforma como Flash y Java sigan trabajando, donde exploits se pueden escribir una vez e ir ajustando para trabajar en varios ámbitos, entre ellos la incorporación de objetos Flash maliciosos dentro de un documento de Microsoft Office que se pueden entregar a través de phishing o correos electrónicos de spam.
"Yo creo que Flash es un objetivo atractivo con los atacantes, porque de este cross-browser, soporte multiplataforma", dijo Craig Young, investigador de seguridad de Tripwire. "La capacidad de ejecutar código en sistemas cliente es un vector enorme de ataque como vemos con Java, ActiveX y JavaScript. Tradicionalmente Flash ha sido frecuente a través de múltiples navegadores en varias plataformas permitiendo así una explotación más eficaz.
"Mi expectativa es que habrá una gran base de instalaciones de Flash durante muchos años por venir y, como tal, seguirá siendo una espina en la seguridad de los equipos", dijo Young. "Yo espero que algunos sitios y servicios van a reemplazar rápidamente de Flash con contenido HTML5, pero Flash seguirá siendo un vector de ataque viable mientras que los navegadores web más populares sigan soportandolo."
