Fallas de seguridad de Flash Player avivan el odio contra esa tecnología

La violación de datos a Hacking Team recientemente descubrió tres vulnerabilidades de día cero en Adobe Flash Player. Adobe parchó una con una solución fuera de banda y las otras dos en su actualización de Martes de Parches. Parece que esta racha de vulnerabilidades fue el punto de inflexión para muchos.

Mozilla siguió a la noticia anunciando que desactivaría el reproductor Flash en su navegador Firefox hasta que Adobe publicara un arreglo. Desde entonces, el reproductor Flash ya se ha habilitado en Firefox, siempre y cuando la nueva versión de Flash se haya instalado en el sistema.

Chad Weiner, director de gestión de productos de Mozilla, dijo que la medida era un esfuerzo por proteger a los usuarios de exploits activos, pero también señaló en un comunicado que Mozilla “continuará trabajando con los desarrolladores para fomentar la adopción de tecnologías más seguras y estables, tales como HTML5 y JavaScript, y esperamos a ayudar a impulsar esa conversación”.

El fabricante de cómputo de Ubuntu, System76 Corp., anunció que dejaría de preinstalar Flash en los equipos que hace. Pero el comentario más ampliamente observado vino del CSO de Facebook, Alex Stamos.

"Es hora de que Adobe anuncie la fecha de finalización de la vida útil de Flash, y de pedirle a los navegadores establecer los bits de cierre en el mismo día”, Stamos escribió en Twitter. "Incluso si es a 18 meses a partir de ahora, una fecha determinada es la única manera de desenredar las dependencias y actualizar todo el ecosistema a la vez”.

Hasta la fecha, en 2015, Adobe Flash Player ha tenido 131 vulnerabilidades, según el catálogo de  Vulnerabilidades y Exposiciones Comunes (CVE), 103 de las cuales han sido clasificadas 10 de 10 en el Sistema de Registro de Vulnerabilidad Comunes (CVSS).

En una reciente entrada de blog con respecto al parche para los más nuevos problemas de día cero, Adobe se pintó a sí mismo como la víctima, observando lo rápido que remedia los problemas de seguridad en Flash.

"Flash es una de las piezas de software más ubicuas y de amplia distribución en el mundo, y, como tal, es un objetivo para los hackers maliciosos", escribió Adobe. "Estamos trabajando activamente para mejorar la seguridad de Flash Player y, como lo hicimos en este caso, trabajaremos para abordar rápidamente los problemas cuando sean descubiertos”.

Adobe no respondió a las solicitudes de TechTarget para hacer comentarios.

Los expertos dijeron unánimemente que hay algunas pocas buenas razones para que las empresas  continúen ejecutando Flash.

Trey Ford, estratega de seguridad global en Rapid7 LLC, dijo que el mayor impacto poner un plug-in como Flash en las listas negras podría ser la molestia de los empleados por no poder ejecutar juegos.

“Además de mantener su propiedad en FarmVille o hacer reservas en hermosos –y difícil de usar– sitios web de restaurantes, estaría terriblemente curioso por saber qué impacto de negocios podría significar que Flash se apagara", dijo Ford. “Gestionar el código empresarial, mantener el ciclo de parches y contener la entropía del usuario normal es bastante duro. La variabilidad que ofrecen los plug-ins eleva la superficie de ataque, el riesgo de la empresa y los costos asociados de diagnóstico, resolución de problemas y recuperación”.

Rich Mogull, director general de Securosis LLC, fue inicialmente terminante cuando se le preguntó si había una razón por la cual la empresa debería confiar o usar el Flash Player, contestando: "Ninguna en absoluto. Bótenlo", pero luego dio un paso atrás.

"Tenga en cuenta [que] en un negocio, que usted podría estar bloqueando la aplicación crítica de alguien, así que querrá hacer algunos análisis y pruebas primero”, dijo Mogull. "Por ejemplo, vea si  puede usar su gateway web para medir e informar sobre el uso del Flash”.

Escritor independiente, productor, orador y consultor de marketing integrado y RRPP, R. Michael Brown dijo que todo profesional de TI y compañía de desarrollo web que conoce aconseja no usar Flash.

"Adobe tiene una historia de preocuparse más por ellos y sus productos que por los clientes. Son arrogantes, así que están muy tarde para matar a este software fallido", dijo Brown. "No hace ninguna diferencia lo bueno que son sus desarrolladores, o qué tan rápido entregan parches. Nada está funcionando, por lo que obviamente es una tecnología que falla. Tienen que acabar con él y dar un descanso a todos los utilizan el internet”.

Ford dijo que los problemas de seguridad con Flash vienen, al menos en parte, de las dificultades para probar del software.

"Para el mundo de la seguridad, Flash ha sido difícil de probar; era su propia bestia, con sus propias normas y casos de uso, y una pequeña colección de herramientas disponibles para ayudar", dijo Ford. "Flash ha servido un propósito, y me imagino que los gerentes de producto de Adobe están teniendo una discusión significativa cómo luce realmente el negocio de Flash en el futuro a largo plazo”.

Mogull señaló que la naturaleza de Flash hace que sea inherentemente inseguro. Pero si bien Flash debe ser eliminado, todavía hay muchos servicios que se basan en Flash y las empresas responsables de ellos pueden no tener los recursos para la transición hacia algo como HTML5. Así que la web "puede estar atorada con Flash por más tiempo de lo que la mayoría de gente quiere o se da cuenta", dijo Mogull

"Adobe tiene un gran equipo de seguridad del producto, pero usted se dará cuenta de que los dos mayores problemas del navegador –Flash y Java– son dos entornos de ejecución que ejecutan código arbitrario. Es un problema de tecnología difícil permitir que algo así funcione de forma segura en un navegador", dijo Mogull. "Flash definitivamente debería ser eliminado. Fue una gran tecnología para su tiempo, pero ahora está retrasando al resto de la web y parece irreparable desde una perspectiva de seguridad”.