Hlavní navigace

Skype, PDF, Flash, monopoly a bezpečnost

9. 10. 2007 20:26 Pavel Chalupa

To se fakt musím smát, když si po sobě čtu text o Skype, který jsem napsal v dubnu v článku Monopoly. Abyste nemuseli klikat:

„Jak končí takový úspěšný rozšířený software jednoho vlastníka, je nejlépe vidět na originálním klientu ICQ, je to jedna velká obtěžující reklama. Nedělám si iluze, že takhle jednou skončí i Skype. Stačí trochu tlaku investorů a neštěstí je na světě.“

Včera o tom vyšla glosa na Lupě a v závěru poznámka, že pravděpodobně přibude ve Skype reklama.

V titulku je PDF. Taky svým způsobem monopol formátu dokumentů i když alespoň otevřený a s dokumentací. Pak přišel PDF spam a zamýšleli jsme se nad tím, že to neberou antispamové filtry. Po pár měsících bezpečnostní chyba při pouhém otevření PDF. Ani jsem si nikde nevšiml, že by někdo zkoumal alespoň část těch PDF co chodily mailem, zda neobsahují kód zneužívající objevenou chybu. Bezpečnostní doporučení bylo neotvírat PDF z podezřelých zdrojů. A laik se zeptá: „A pane bezpečnostní experte, to nám taky jednou doporučíte nezapínat PC?“ … a tak mě napadá:

Máme tu horkého kandidáta na masové zneužití bezpečnostní chyby a tím je Flash. Je na každém PC i tom Linuxovém, a Jablíčkáři ho používají taky. Cílová skupina by v prvé řadě byli Windows uživatelé, ale kód je z části společný. A jak provést útok? Najděte si grafika, který tvoří Flash reklamy pro nějakou velkou firmu a ten umístí do SWF to co je potřeba. Reklamní akce mediální agentury začíná a za pár hodin je hotovo. Z pohledu tvůrce zákeřného kódu ve Flashi ano. Z pohledu těch tisíců (desetitisíců?) uživatelů se vlastně vůbec nic nestalo. Nikdo nic neví, jenom uživatelé shlédli další reklamu, kterou ignorují.

Zdá se vám to jako přehnaně paranoidní? Mně teda ne. Cokoliv je možné takto masově zneužít, jednou zneužito bude. Zkoušel jsem Gnash, ale je nepoužitelný. Tak mám aspoň FlashBlock. Reklamy mi nevadí, ale na tenhle útok čekat nebudu.

Sdílet