روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ بیایید وانمود کنیم برای مثال برگشتیم به سال 2008. کامپیوتر جدیدی خریدید و رویش ویندوز اکس‌پی نصب کرده‌اید. کامپیوترتان به اینترنت وصل شده، مرورگرتان را باز کردید و رفته‌اید به وبسایت مورد علاقه خود سر بزنید. درست همینجاست که  درمی‌یابید نیمی از آن نمایش داده نمی‌شود. یکی از دوستان که همیشه پای تلفن راهکارهای کامپیوتری اش جواب می‌دهد به شما می‌گوید: «ادوبی فلش نصب کن».

Flash اوایل دهه 90 ظهور کرد: ابزاری بود مخصوص ساخت انیمیشن‌های مبتنی بر بردارِ ساده که آنقدری فشرده بودند که بشود آنها را از طریق مودم با کانکشن کُند اینترنت دانلود کرد. دهه 2000 که شد، Adobe Flash Player–که هنوز ابزار انیمیشن بود-  به شدت حیاتی بود و به کار می‌آمد. در آنِ واحد مجرمان سایبری نیز شروع کردند به استفاده چندین آسیب پذیری در این پلیر. به همین دلیل سال 2010 از Flash انتقادهای بسیاری شد و حتی خود Adobe هم متوجه شد وقت خداحافظی است؛ اما «تشییع جنازه‌ی» آن ده سالی  طول کشید! حتی بعد از آن ده سال هم این خاکسپاری درست و کامل انجام نشد. از این رو در این مقاله قصد داریم تاریخچه امنیت اطلاعات آنلاین را مورد بررسی قرار دهیم. با ما همراه بمانید.

کامپیوترهای تبلتی

تاریخچه فلش برمی‌گردد به سال های 1992 تا 1993 زمانیکه چندین شرکت کامپیوترهای تبلتی تولید کردند. بلکه پیزی آیپد مانند البته مربوط به 13 سال پیش. یکی از مدل های نادر IBM ThinkPad 700T بود. چنین دستگاه هایی از سیستم عامل Penpoint ساخت GO Corporation استفاده می کردند. اولین تلاش برای ساخت کامپیوتر تبلتیِ پورتابل حسابی شکست خورد. شرکت Go اوایل سال 1994 به شرکت AT&T فروخته شد و خط تولید این محصول بزودی بسته شد. اما برای سیستم عامل Penpoint چندتایی اپ مستقل نوشته شد که یکی از آن ها ادیتور گرافیکیِ SmartSketch بود ساخت شرکت Futurewave Software. افسوس که عرضه اسمارت اسکچ همزمان شد با مرگ Penpoint.

شرکت Futurewave از ادیتور ویندوز مایکروسافت و مک او اس کمک گرفت و بعد قابلیت ساخت گرافیک های انیمه بدان اضافه کرد و نامش را گذاشت FutureSplash Animator.در سال 1996 شرکت فیوچر ویو را شرکتی به نام Macromedia خرید و محصولش این بار با نام Macromedia Flash عرضه شد. این محصول دو جزء داشت: برنامه ای برای ساخت انیمیشن و یک ابزار فشرده فلش پلیر مکرومدیا برای اجرای آن ها روی کامپیوتر کاربران.

مهمتر اینکه هم اسمارت اسکچ و هم مدل اولیه فلش از آنچه بدان گرافیک های برداری می گویند به جای نمونه های شطرنجی استفاده می کردند. گرافیک های برداری اطلاعات پیکسل را ذخیره نمی کنند؛ آن ها دستورالعملی هستند برای بازسازی تصویر از اشکال اولیه یا اشکال هندسی: مانند خطوط، مربع، دایره و غیره. فایل های برداری از نمونه های شطرنجی فشرده تر هستند: به جای شرح هر پیکسل در یک تصویر دایره ای روی پس زمینه سفید، یک دستورالعمل واحد را ذخیره می‌کنیم: کشیدن دایره با شعاع پیکسل x  روی پس زمینه سفید.

دهه 90 افراد معمولاً با مودم به اینترنت وصل می شدند. چنین کانکشن هایی به شدت کند بودند و نرخ انتقال داده در بهترین حالت چیزی بین 5 تا 6 کیلوبایت بود. هر تصویر شطرنجی با حداقل کیفیت دست کم چند ثانیه ای طول می کشید تا لود شود. در نتیجه، بسیاری از کاربران در تنظیمات مرورگر خود عکس ها را خاموش می کردند. با این حال Macromedia Flash با استفاده از گرافیک های برداری توانست عکس های انیمیشنیِ رنگی را با قابلیت لود شدن در کسری از ثانیه ارائه دهد.

نکته مهم دیگر پس از اینکه بقیه مطلب را ادامه دهیم: وقتی صحبت از فلش می شود اساساً در مورد کدی صحبت می کنیم که هر بار کاربر با محتوای فلش سایتی را باز می کند در کامپیوتر دانلود می شود. این فایل قابل اجرای معمولی نیست بلکه مجموعه ایست از دستورالعمل هایی که با Macromedia Flash Player روی پی سی اجرا می شود. این اصل شاید هنوز، یکسان باشد (اما در تئوری هیچ چیزی مانع ساخت فایل قابل اجرای حاوی محتوا و پلیر نبود). خیلی طول نکشید که Flash شروع کرد به انتخاب کارکردهای اضافی: جدا از گرافیک، جلوه های ویژه و افکت صدا و حتی انتقال ویدیو هم به قابلیت ها اضافه شد.

قابلیت‌های آنلاینِ افزوده شده

سال 2001 سازنده انیمیشن کمدی روسیه، اولگ کووف با مکرومدیا فلش ویدیوهای انیمه خود را ساخت و آن ها را در وبسایت خود آپلود کرد. این ویدیوها در قالب فایل های قابل اجرا بودند. فلش پلیر و خود انیمیشن نیز در آن جاگذاری شده بودند. این رویکرد از یوتیوب هم جلوتر بود. Masyanya فشردگی این فرمت را به بهترین شکل به تصویر کشید: اپیزود ششم سریال (به نام مودم) فقط 60 کیلوبایت سایز داشت- یادتان نرود نرم افزار پلی بک نیز در آن لحاظ شده بود. همان اپیزود در فرمت ویدیو با ابتدایی ترین کیفیت سه برابر بیشتر حجم داشت (تازه بدون پلیر!). فناوری مکرومدیا فلش به طور قابل توجهی قابلیت های مروگرهای اینترنت را آن روزها بسط داد که خود از حیث محتوای نمایشی توفیری نمی کردند: متن و عکس و تمام.

پس منطق حکم می‌کرد برای محتوای فلش یک پلاگین ساخته شود (مستقیماً در مرورگر)؛ بدین ترتیب نیاز به دانلود و اجرای چیزها به طور مجزا از بین می رفت. منظور اینکه ابژه های فلش هنوز کدهای اجراشده روی کامپیوتر شما بودند- تنها فرق این بود که بعد از نصب پلاگین، این برنامه ها در قالب محتوای وبیِ لودشده اجرا شدند بدون هیچ حرکت اضافی از سوی کاربر. ابزارهای توسعه همچنین گسترش یافتند. فلش اکنون آیتم‌های منوی تعامل با کاربر را ممکن ساخته و نیز از زبان اسکریپت حمایت می کند که بدین ترتیب شما خواهید توانست ساختارهای به مراتب پیچیده تری داخل ابژه فلش بسازید.

حفره امنیتی بزرگ

بازسازی جدول زمانی شناسایی آسیب‌پذیری در ادوبی فلش پلیر بسیار سخت است زیر این برنامه قدمتش برمی گردد به زمان ظهور وب مدرن. اوایل دهه 2000 اینکه به کاربران و مشتریان در مورد آسیب پذیری ها اطلاع بدهند چندان رواج نداشت. در آرشیو بولتن ها و توصیه های ادوبی که شامل داده های عصر مکرومدیا می شود اولین ورودی در مورد آسیب پذیری Flash Player سال 2002 پیدا شد. پایگاه داده ی آسیب پذیریِ Mitre بیش از 1100 آسیب‌پذیری مربوط به ادوبی فلش پلیر را فهرست کرده است. اولین آسیب پذیری های اجرای کد دلخواه (ACE)  در این پایگاه اطلاعاتی نیز به 2000 برمی گردد. مهاجم می توانست فایل ادوبی فلش را به قربانی بفرستد که وقتی پخش شد مد مخرب اجرا گردید.

برخی از این آسیب پذیری ها امتیاز CVSS 10.0 داشتند (به نقل از منابع معتبر، در همه نسخه های فلش پلیر بیش از 800 ACE وجود داشته است). چنین آسیب پذیری هایی را راحت می شد اکسپلویت کرد؛ اغلب نیاز بود کاربر کاری انجام دهد تازه برخی اوقات همین هم نیاز نبود. همینکه کاربر برای مثال به وبسایتی سر می زد که ابژه ی آلوده ادوبی فلش در آن جاگذاری شده بود کفایت می کرد. برخی حملات سیستم های توزیع تبلیغات را نیز دستکاری می کردند و همین باعث می شد محتوای آلوده ناگهان روی وبسایتی که میلیون ها کاربر بدان سر می زنند ظاهر شود. بیهوده نبود که تأکید داشتیم ابژه های فلش برنامه هایی هستند که به روی دستگاه کاربر ارسال می شوند و از همان نیز اجرا می‌گردند.

نتیجه این طیف گسترده قابلیت های این فناوری، ایجاد حفره های بی شمار امنیتی بود که مهاجمین بواسطه آن ها می توانستند کنترل کامل کامپیوتر را در دست گیرند. تا سال 2005 فلش بابت اجرای اپ های وبی محبوب شده بود. در سال 2022 شاید فکر کنیم این مشکلی نیست: ارسال آپدیت برای همه کاربران تنها کاریست که باید انجام شود اما این را یادتان نرود آپدیت های خودکار فلش پلیر فقط  اواخر عمر این فناوری ارائه شدند و دهه 2000 از این آپدیت ها خبری نبود! آن زمان ها، فرد مجبور بود نسخه جدید را دانلود و به طور دستی نصبش کند. برخی کاربران حتی نمی دانستند فلش پلیر نسخه ای دارد که به آپدیت نیاز دارد. آسیب‌پذیری 2006 هم (به همراه سه آسیب پذیری دیگر) در بولتن مایکروسافت آمده است زیرا کد ادوبی می توانست با ویندوز اکس پی توزیع شود.

خود مایکروسافت برای آن این آپدیت ها را مدیریت کرد و پروسه آن در ارسال و نصب پچ ها از ایده آل دور بود. اینکه وضعیت ارسال آپدیت آن زمان چقدر افتضاح بود را می توان از گزارش سال 2012 کسپرسکی متوجه شد. آن سال ادوبی فلش پلیر سلطان آسیب پذیری ها روی کامپیوتر کاربران بود. آن زمان سیستمی سر کار آمد که به کاربران فلش پلیر اطلاع می داد آپدیت های جدید آمده و نیز با آن سیستم می شد پیگیری کرد سرعت نصب آن آپدیت ها چقدر است. هر بار که حفره امنیتی کشف می شد (قبل از کاهش آن با پچ های جدید) تعداد کاربران قربانی نیز بالاتر می رفت (در سال 2012 به 60 درصد رسید!). پروسه توزیع آپدیت دست کم برای بیشتر کاربران چیزی بین سه هفته تا دو ماه طول می کشید.

برویم سراغ گزارش دیگر کسپرسکی در سال 2015. در این گزارش 13 آسیب پذیری جدید در فلش پلیر فهرست شده که گفته می شود آن ها در پک های اکسپلویت استفاده می شدند. این پک ها در واقع کیت هایی هستند حاوی اکسپلویت های متعدد برای حمله به آسیب پذیری ها در نرم افزارهای روی کامپیوتر قربانی (تا زمانیکه بالاخره پیشرفتی حاصل شود). اکثر حملات واقعی با مرورگرها (62 درصد) انجام شدند و به تحقیق محققین، این آسیب پذیری از مهم ترین ها در فلش بوده است. فلش در نهایت با جاوا این پلاگینِ محبوب از میدان به در شد؛ از جاوا آن زمان برای سیستم های بانکداری آنلاین استفاده می کردند.

مقصر کیست؟

کاملاً قابل درک است که چرا Adobe در اعلام پایان عمر Adobe Flash بسیار کند عمل کرد. پشتیبانی از این فناوری در اکثر رایانه های شخصی مصرف کننده به معنای فروش بالای ابزارهای توسعه محتوا بود. از سال 2013، این شرکت توانست این بخش از فناوری را با دنیای مدرن تطبیق دهد: 

Adobe AIR هنوز فعال به شما امکان می دهد برنامه هایی را برای Windows، Mac OS، Android و iOS توسعه دهید. این در اصل جانشین مستقیم Adobe Flash است و از فناوری های اختصاصی شرکت و فناوری های منبع باز مانند HTML5 پشتیبانی می کند. این بدان معنا نیست که ادوبی فلش را به شکلی ضعیف توسعه داده است. این فناوری سر محبوبیتش و نیز سر توسعه یک سری اصل در دهه 90 میلادی به دام افتاد. ادوبی فلش پلیر به منابع رایانه دسترسی کامل داشت و هر خطای عمده کدنویسی عواقبی به همان اندازه پیامد. نمونه بارز آن باگ در پلیر بود که به هر سایتی اجازه دسترسی به وب کم کاربر را می داد.

مقابله با چنین میراثی - کد قدیمی که از نظر طراحی ناامن است - کار ساده ای نیست. رفع مشکل نیز دشوار است: هر فناوری بهینه سازی یا امنیتی، سازگاری با میلیون ها برنامه فلش در هزاران وب سایت را به خطر می اندازد. Adobe در این میان تلاش خود را کرد:  پس از کشف اولین آسیب‌پذیری 10.0 در سال 2008، ادوبی تا سال 2011 هر سال ده‌ها آسیب‌پذیری مهم را در Flash Player اصلاح می‌کرد. اما به نظر می‌رسد که تطبیق فلش با ایده‌های در حال تکامل کار دشواری بود. مرورگرهای امروزی برای نمایش تقریباً هر محتوای آنلاین به هیچ پلاگینی نیاز ندارند.

این بدان معنی است که توسعه دهنده مرورگر به تنهایی مسئول مرور ایمن کاربر است و هیچ کس دیگری. هر چیزی که از وب دانلود می‌شود اکنون طبق تعریف ناامن تلقی می‌شود، بنابراین سازندگان مرورگر تمام تلاش خود را می‌کنند تا وب‌سایت‌ها را از یکدیگر و از سایر برنامه‌های دستگاه جدا کنند - خواه کامپیوتر باشد خواه تلفن هوشمند یا تبلت. آنها کارشان خوب است اما متأسفانه، مجرمان سایبری نیز ابزارهای خود را بهبود می بخشند. تنها در گوگل کروم در سال 2022، شش آسیب‌پذیری روز صفر کشف شده است که قبلاً در حملات مورد استفاده قرار گرفته‌اند.

مطمئناً، این کمتر از 15 آسیب‌پذیری Adobe Flash Player است که توسط مجرمان سایبری در سال 2015 مورد سوء استفاده قرار گرفتند، اما تفاوت آن‌ها زیاد نیست. بیایید با یک نکته مثبت مطلب را به پایان برسانیم:  Adobe Flash نقش مهمی در شکل‌دهی وب به صورتی که اکنون می‌شناسیم داشت. وب‌سایت‌ها را از مجموعه‌ای کسل‌کننده از صفحات متنی به چیزی، خوب، درخشان‌تر تبدیل کرد.

فلش به تحقق رویای یک جهان مجازی کمک کرد، همانطور که کتاب ها و فیلم های علمی تخیلی دهه 1990 تصور می کردند. برای برخی، طراحی وب سایت در دهه 2000 بیش از حد نوآورانه و آوانگارد بود. در طول دهه بعد، سبک کلی سایت‌ها و برنامه‌ها جذاب شد، در حالیکه اینترنت خود به بخشی ضروری از زندگی مدرن تبدیل گشت. ادوبی فلش در طول این دوره - به اصطلاح عصر رمانتیک اینترنت - بسیار مفید عمل کرد. شاید کم و کاستی‌هایی هم داشت اما همیشه بعنوان بخش اساسی تاریخ اولیه وب به حساب می‌آید و از این رو باید همیشه بدان ارج نهاد.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.