Web per professione

Fonte: Alessandro Longo - Repubblica.it

Facebook e Mozilla contro il plug-in Adobe: il social ne chiede la fine; Mozilla lo disabilita dal suo browser Firefox

L'allarme era stato lanciato giorni fa. Ora gli attacchi informatici che sfruttano le vulnerabilità di Flash scoperte con l'hack di Hacking Team diventano realtà. La situazione è così grave che Mozilla ha scelto di bloccare Flash sul proprio browser Firefox, finché non ci sarà una soluzione. Prende posizione anche Facebook, per voce del proprio responsabile per la sicurezza Alex Stamos: su Twitter ha detto: "È ora che Adobe fissi la data di morte di Flash". Secondo Stamos, Adobe dovrebbe anche chiedere la collaborazione dei browser per uccidere Flash in quella data. "La situazione è sempre stata pericolosa, per la sicurezza degli utenti, a causa di Flash. Ma adesso è particolarmente grave, dopo le vulnerabilità scoperte con l'hack di Hacking Team", dice Stefano di Paola, esperto di sicurezza presso l'Open web application security project (Owasp), un'organizzazione mondiale no profit.

Finora, con il caos Hacking Team, sono uscite quattro vulnerabilità zero-day di Flash: cioè falle per le quali, al momento del disvelamento al pubblico, non era prevista una soluzione. Significa che gli utenti sono indifesi nei confronti di queste minacce: qualunque attaccante potrebbe sfruttarle per infiltrarsi nei computer. Proprio quanto fa il software di Hacking Team, per intercettare persone sospette. Con una differenza cruciale: quel software era usato solo dai clienti di Hacking Team (Governi), mentre adesso i trucchi di cui si avvaleva per infiltrarsi nei sistemi altrui sono diventati di dominio pubblico. Alla mercé, quindi, di qualsiasi cyber criminale. È quanto stanno facendo in queste ore da un gruppo di malviventi cinesi, secondo quanto denunciato dalla società di sicurezza FireEye. Mandano mail pubblicitarie, con offerte interessanti su prodotti Apple. Basta cliccare sul link nella mail per aprire una pagina contenente codice Flash in grado di sfruttare quelle vulnerabilità. Un altro metodo classico è inserire codice malevolo nei banner pubblicitari che possono apparire su vari siti. Al momento Adobe ha corretto due delle nuove vulnerabilità. Quindi ne restano altre due, per le quali promette una soluzione (patch) entro la settimana. Come anche Microsoft, per una vulnerabilità zero day uscita dall'hack.

La particolarità però è che stavolta questi attacchi sembrano la classica goccia che fa traboccare il vaso, almeno per il destino di Flash. Ecco perché Mozilla è arrivata alla decisione radicale di bloccarlo, finché non ci saranno le patch alle  vulnerabilità. E così si spiega la posizione di Facebook. Pesano due fattori: da una parte "Flash sembra particolarmente esposto a queste vulnerabilità, perché poggia su una base di codice ormai obsoleta, scritto quando c'era un diverso modo di concepire questi software", dice Di Paola. Concorda Luca Accomazzi, informatico e divulgatore scientifico, autore di numerosi libri specializzati: "Flash è stato scritto male e non ci conforta sapere che Adobe corregge sempre le vulnerabilità che escono. Perché altre ce ne sono e ne usciranno, senza fine". "È come aver costruito una casa con 400 finestre panoramiche e poi essere costretti a mettere inferriate, cani da guardia, anti furti, in una corsa infinita. Flash dovrebbe essere rifatto dalle fondamenta, ma Adobe non ne ha l'incentivo economico", aggiunge. L'altro fatto che incide sul tramonto di Flash è la crescente maturità di Html 5.0, standard che si pone come sostituzione del Flash, integrandone le funzioni a livello browser.

Si può dire che è il compimento di una profezia di Steve Jobs, di otto anni fa, quando il fondatore di Apple decise di escludere Flash dagli iPhone e iPad. Nel frattempo, che può fare l'utente? Potrebbe seguire l'esempio di Mozilla e disabilitare Flash (anche se su Chrome i rischi sono limitati, perché questo browser isola l'esecuzione dei plug in dal resto del sistema). Il problema però, così facendo, è che alcuni siti basati su Flash diventano inutilizzabili. Purtroppo ce ne sono ancora alcuni, perlopiù alberghi e ristoranti nostrani, noti per un approccio poco aggiornato al digitale.