2021’in başında Adobe Flash resmi olarak sona erdirildi. Bazı eski tarayıcı tabanlı oyun hayranlarının gözleri dolu dolu olsa da bilgi güvenliği uzmanlarının çoğu, artık ölmüş olan bu farklı teknolojinin olmadığı bir dünyada yaşamaya hazırlanırken rahat bir nefes aldı.
Peki, dünya buna hazır mı? Adobe’nin yıllarca önceden bildirmesine rağmen hala başka araçlara geçmeyenler olduğu ortaya çıktı. Dahası, bazı tekno ruh çağırıcılar bu teknolojiyi mezardan çıkarmanın yollarını bulmaya başladı. Son verildikten neredeyse iki ay sonra, dünyanın Adobe Flash’ın yokluğuyla nasıl başa çıktığına (veya çıkamadığına) göz atıyoruz.
Dalian’da bir demiryolu
Ocak ayında Çin’in Dalian kentindeki demiryolu hattında meydana gelenler hala tam olarak anlaşılamadı. Olayın ciddiyetine ilişkin açıklamalar farklılık gösterse de hepsi bir konuda hemfikir: Arızaya, Flash tabanlı içeriğe son verilmesi neden oldu. Ölüm belgesinde resmi olarak 1 Ocak tarihi yazmasına rağmen, Adobe kullanıcılara Flash’a veda etmeleri için 11 günlük bir ek süre daha tanıdı. Açıkçası 12 Ocak’ta neden hala Flash’a bağımlı olunduğuna dair mantıklı bir açıklama bulamasak da, Dalian’ın bazı raylı sistemleri bu tarihte hala platformu kullanıyordu.
Seyahat kesintisine doğrudan Flash’ın neden olup olmadığı ve tam olarak hangi sistemlerin olaya karıştığı tartışmalı ve asıl mesele bu değil. Medya bazı hareket ve biletleme sorunlarından bahsetti. Yetkililer ise bir sorun olduğunu kökten reddetti. Durum her neydiyse teknik destek ekibi elinden gelen her şeyi yaptı ve nihayetinde Adobe Flash’ın hattaki istasyonların bilgisayarlarında çalışmasını sağlayarak sistemleri yeniden çalıştırdı. Şu anda Adobe Flash çalışıyor ve her şey olabildiğince normale döndü.
Bilgi güvenliği açısından, elde edilen bu başarı pek de takdire şayan değil. Kritik bir altyapı parçası artık (kritik olmayan görevler için de olsa) eski olduğu bilinen bir teknolojiyi kullanıyor.
Ayrı ama konuyla ilgili bir nokta da şu: Birçok büyük şirket, güncellemeleri parça parça uygulamaya koyar. Çünkü örnek uygulamaya göre güncellemeler, yalıtılmış bir test ortamındaki makinelerle başlanarak test edilmelidir. Belki Dalian demiryolları da bu örnek uygulamayı izliyordur; bilemiyoruz. Buradaki sorun, konunun güncelleme protokolleri olmaması. Adobe, 12 Ocak’ta Flash’ı güncellemedi, Flash’a son verdi. Kapama, (8 Aralık’taki) son güncellemeden uzun zaman önce kodlanmıştı. Aslında, bir yama herhangi bir test ortamında iyi sonuç verirdi.
Belki de geriye dönüp bakıldığında, bu kadar yaygın olarak kullanılan bir teknolojiyi kapatmak için gecikmeli bir durdurma anahtarının yerleştirilmesi iyi bir uygulama değildi.
Güney Afrika’da bir vergi dairesi
Ülkedeki vergi tahsilatından sorumlu olan Güney Afrika Gelir İdaresi’ne artık birçok beyanname çevrimiçi olarak gönderiliyor. 12 Ocak’ta, gelir idaresi birdenbire internet formlarının Adobe Flash üzerine kurulu olduğunu fark etti.
Gelir idaresi, vergi beyannamelerini doldurmak için son tarihi uzatmak ve formları daha yeni bir teknolojiye göre yeniden kodlamak yerine, Adobe Flash desteğine sahip özel bir tarayıcı yayınlamaya karar verdi. Şu anda Güney Afrikalı vergi mükelleflerinin hassas finansal bilgileri göndermek için desteklenmeyen bir teknolojiyi kullanması gerekiyor.
Güney Afrika hükümeti sıfırdan bir tarayıcı oluşturmadı. Chromium’un yalnızca tek bir internet sitesine erişim sağlayan basitleştirilmiş bir sürümünü kullandı. Bu yöntem bir boşuk doldurma önlemi olarak hayati tehlike oluşturmasa da, departmanın tarayıcısını güncel tutma planlarını bilmiyoruz.
Program şu anda yalnızca Windows için mevcut. Bu nedenle diğer işletim sistemlerinin kullanıcılarının riskli olan Flash içeriğini çalıştırmak için alternatif yollar araması gerekiyor. Bu çözümün geçici olduğunu ve ajansın nihayetinde Flash’ı devre dışı bırakacağını umuyoruz.
Geçici çözümler
Flash’ı çalıştırmanın alternatif yolları mevcut. Daha da kötüsü, bu yollar sadece Flash tabanlı oyun hayranları arasında talep görmekle kalmıyor. Oldukça büyük bazı şirketler, (çoğu zaman dahili olan) bazı hizmetler için hala bu teknolojiye bel bağlıyor. “2021’den sonra Flash nasıl çalıştırılır” diye bir arama yaptığınızda çeşitli talimatlar içeren bir dizi bağlantı karşınıza çıkıyor. Önce şunu açıkça belirtelim: Bu talimatları uygulamayın.
Örneğin, seçeneklerden biri, Flash Player’ın kapanma anahtarını içermeyen eski bir sürümünü yüklemek. Adobe, programın eski sürümlerine bağlantıları kendi internet sitesinden kaldırsa da, resmi olmayan siteler bunları sunmaya devam ediyor. Bu yöntem daha en baştan rahatsız edici, çünkü herhangi bir yazılımın eski sürümlerini kullanmak riskli. Ancak resmi olmayan sitelerden yazılım indirmek, durumu daha da riskli hale getiriyor. Kötü amaçlı aktörlerin kurulum paketine neler ekleyebileceğini kim bilebilir?
Kimileri, yerleşik kapama anahtarını etkisiz hale getirerek bazı Flash içeriklerinin görüntülenmesini sağlayan bir takım talimatlar yayınladı.
Biraz daha mantıklı görünen başka ipuçları da var. Örneğin, birkaç tarayıcı uzantısı, modern tarayıcı sanal alan teknolojilerini kullanan bir Flash Player öykünücüsü olan Ruffle’ı baz aldı. Ayrıca Ruffle’ın yaratıcılarına göre Ruffle, bellek güvenliği temeli, yaygın Flash sorunlarını ve güvenlik açıklarını etkisiz hale getiren Rust dilinde yazılmıştı.
Kulağa oldukça hoş geliyor. Ancak, Ruffle’ın meraklılar tarafından sürdürülen açık kaynaklı bir proje olduğunu unutmayın. Bu merakın tek başına yeterli olup olmayacağı görülecek. Ruffle kendi güvenlik açıklarını da barındırıyor olabilir ve zamanı geldiğinde birisi bunları düzeltebilir.
Özelleştirilmiş B2B çözümleri de ortaya çıktı. Örneğin Harman, oynatıcıyla ayrılmaya hazır olmayan şirketler için Flash özellikli özel tarayıcılar oluşturmak ve desteklemek üzere Adobe ile özel bir anlaşma imzaladı.
Hala Flash’a ihtiyacınız varsa ne yapmalısınız?
Bu teknolojinin olmadığı bir hayat size dayanılmaz görünüyorsa şu ipuçlarını izlemenizi öneririz:
- Bir daha düşünün. Bunun yerine internet içeriğinizi güncellemeyi deneyin;
- Eğer gerçekten eski sürümleri çalıştırmanız ve geçici çözümleri kullanmanız şartsa sanal bir ortam kullanın;
- Güvenli görünen bir geçici çözüm kullanıyor olsanız bile, güvenlik açığından yararlanma girişimlerini algılamak için bir güvenlik çözümü kullanın.