No início de 2021, o Adobe Flash oficialmente deixou de existir. Alguns fãs de jogos antigos pelo navegador ficaram confusos, mas a maioria dos especialistas em cibersegurança respiraram aliviados enquanto o mundo se preparava para viver sem a tecnologia distinta, mas agora morta.
Será que mundo estava pronto? Acontece que nem todas as pessoas mudaram para outras ferramentas, apesar de anos de aviso prévio da Adobe. Além disso, alguns tecno-necromantes começaram a inventar maneiras de tirar a tecnologia da sepultura. Agora, quarenta dias após o desligamento, damos uma olhada em como o mundo está lidando (ou não) sem o Adobe Flash.
Uma ferrovia em Dalian
Exatamente o que aconteceu em janeiro, em uma ferrovia em Dalian, na China, é controverso. Os relatos sobre a gravidade do incidente diferem, mas todos concordam em uma coisa: o fim do conteúdo baseado em Flash causou o travamento. Apesar da data oficial na certidão de óbito, 1º de janeiro, a Adobe acrescentou um período de carência, dando aos usuários mais 11 dias para se despedir do Flash. Por que alguém, em 12 de janeiro, ainda dependeria do Flash, francamente está além da compreensão racional, mas naquele dia, alguns dos sistemas ferroviários de Dalian ainda estavam usando a plataforma.
Se o Flash causou diretamente a interrupção de viagens e exatamente quais sistemas estavam envolvidos, é questionado, e não é realmente o ponto. A mídia mencionou problemas de despacho e emissão de bilhetes. As autoridades basicamente negaram o problema. Seja qual for o caso, a equipe de suporte técnico retirou todas as barreiras e, por fim, fez o Adobe Flash funcionar nos computadores das estações ao longo da linha, retornando os sistemas à operação. O Adobe Flash agora está instalado e funcionando e tudo voltou ao normal.
Do ponto de vista da segurança da informação, a conquista dificilmente é digna de elogio. Uma parte da infraestrutura crítica está usando agora (embora para tarefas não críticas) uma tecnologia conhecida por estar desatualizada.
Um ponto separado, mas ainda dentro do assunto, é que muitas grandes empresas distribuem suas atualizações aos poucos porque as boas práticas ditam o teste de atualizações começando com máquinas em um ambiente de teste isolado. Talvez a ferrovia Dalian tenha aplicado essa prática – não sabemos. O problema neste caso é que os protocolos de atualização não são o problema aqui. A Adobe não atualizou o Flash em 12 de janeiro, ele foi descontinuado. A versão final foi codificada há muito tempo, antes da última atualização (que foi em 8 de dezembro). Uma patch teria funcionado bem em qualquer ambiente de teste, na verdade.
Talvez, em retrospectiva, incorporar um dispositivo de parada de emergência tardiamente não seja a melhor prática para encerrar uma tecnologia tão amplamente usada.
Um departamento de impostos na África do Sul
A Receita Federal da África do Sul é responsável pela arrecadação de impostos no país, e muitas declarações agora são enviadas online. Em 12 de janeiro, o serviço de receita subitamente percebeu que seus formulários da Web eram desenvolvidos no Adobe Flash.
Em vez de estender o prazo para apresentação de declarações de impostos e recodificar os formulários com base em uma tecnologia mais recente, o serviço de receita decidiu lançar um navegador personalizado com suporte para Adobe Flash. Agora, os contribuintes sul-africanos devem usar tecnologia sem suporte para enviar informações financeiras confidenciais.
O governo sul-africano não criou um navegador do zero. Eles usaram uma versão simplificada do Chromium que fornece acesso a apenas um site. Como medida provisória, não é o fim do mundo, mas não sabemos sobre os planos do departamento para manter seu navegador atualizado.
O programa atualmente existe apenas para Windows, portanto, os usuários de outros sistemas operacionais terão que procurar maneiras alternativas de executar conteúdo em Flash, o que é arriscado. Esperamos que a solução seja temporária e que a agência deixe de usar o Flash.
Soluções alternativas
Existem sim maneiras alternativas de executar o Flash. E o pior, essas maneiras estão sendo procuradas, e não apenas entre os fãs de jogos baseados em Flash. Algumas empresas razoavelmente grandes ainda contam com a tecnologia para alguns serviços (na maioria das vezes internos). Pesquise “como executar o Flash após 2021” e você encontrará vários links com instruções que, obviamente, você não deve seguir.
Por exemplo, uma opção é instalar uma versão do Flash Player anterior ao recurso de parada de emergência. Embora a Adobe tenha removido links para versões antigas do programa de seu site, sites não oficiais as oferecem. Isso é preocupante não só porque usar versões antigas de qualquer software é arriscado, mas também baixar software de sites não oficiais adiciona ainda mais risco – quem sabe o que os criminosos inescrupulosos podem ter adicionado ao pacote de instalação?
Algumas pessoas postaram versões de instruções para neutralizar o interruptor de emergência integrado, permitindo a exibição de algum conteúdo Flash.
Outras dicas parecem fazer um pouco mais de sentido. Por exemplo, várias extensões de navegador são baseadas em Ruffle, um emulador Flash Player que usa tecnologias de sandbox de navegador modernas.
Além disso, Ruffle foi escrito na linguagem Rust, cuja base de segurança de memória neutraliza problemas comuns de Flash e vulnerabilidades, de acordo com os criadores de Ruffle.
Parece ótimo. No entanto, tenha em mente que Ruffle é um projeto de código aberto mantido por entusiastas. Resta ver se o entusiasmo será suficiente. Ruffle pode muito bem abrigar vulnerabilidades próprias, e alguém pode consertá-las quando chegar a hora.
Também surgiram soluções especializadas em B2B. Por exemplo, a Harman assinou um acordo exclusivo com a Adobe para construir e oferecer suporte a navegadores personalizados com Flash habilitado para empresas que não estão prontas para se separar do player.
O que fazer se você ainda precisar do Flash
Se a vida sem a tecnologia parece insuportável, sugerimos seguir estas dicas:
- Repense e tente atualizar seu conteúdo da Web;
- Use um ambiente virtual para executar versões antigas e soluções alternativas improvisadas – e apenas se for necessário;
- Instale uma solução de segurança para detectar tentativas de exploração de vulnerabilidade, mesmo se você estiver usando uma solução alternativa que pareça segura.