Internet met en zonder Adobe Flash Player
Adobe Flash Player ligt onder vuur, zowel door cybercriminelen die de afgelopen periode verschillende zero day-lekken in de software ontdekten en gebruikten om internetgebruikers mee aan te vallen, als partijen als Google en Mozilla die alternatieven ontwikkelen. Zo kondigde Google onlangs aan dat het standaard HTML5 gebruikt om video's op YouTube weer te geven en zet het Flash-advertenties nu om naar HTML5. Mozilla werkt daarnaast aan Shumway, een alternatief voor Flash Player in Firefox.
Toch is Flash Player de meestgebruikte browserplug-in op internet. In 2011 stelde Adobe nog dat 99% van alle computers aangesloten op internet Flash Player had geïnstalleerd. Nu claimt het softwarebedrijf dat Flash op meer dan 1 miljard desktops aanwezig is. De plug-in is daarmee een aantrekkelijk doelwit voor cybercriminelen, zoals begin dit jaar duidelijk werd. In korte tijd werden er twee zero day-lekken in Flash Player gebruikt om internetgebruikers aan te vallen. Volgens anti-virusbedrijf Trend Micro een zorgelijke ontwikkeling, omdat zero day-lekken voorheen vooral bij gerichte aanvallen tegen speciale doelwitten werd ingezet.
Vanwege het beveiligingsrisico bespreken we in dit artikel alternatieven voor Flash Player en hoe je Flash Player op een Windowscomputer op een veiligere manier kunt gebruiken als je niet zonder de plug-in kunt.
Noodzakelijk
Bij elke plug-in die met de browser werkt is het belangrijk om te bepalen of die echt noodzakelijk is. Daarnaast kan er bijvoorbeeld in het geval van een zero day-aanval worden geadviseerd om de plug-in te verwijderen. In het geval van Flash Player zijn er twee versies van de plug-in die gebruikers kunnen installeren, namelijk een ActiveX Control voor Internet Explorer en een Flash Player plug-in voor andere browsers, zoals Firefox. Via het Windows Startmenu > Configuratiescherm > Programma's en onderdelen kan worden gekeken of en welke versies geïnstalleerd zijn.
In het geval van Google Chrome en Internet Explorer 10 en 11 op Windows 8 en 8.1 wordt er van een embedded Flash Player gebruik gemaakt en geen los geïnstalleerde browserplug-in. In dit geval zal Flash Player niet in het overzicht van geïnstalleerde software zijn te vinden.
Uitschakelen
Naast het verwijderen van de los geïnstalleerde Flash Player-plug-in kan die ook in de browser worden uitgeschakeld. Dit geeft meer flexibiliteit, maar brengt het risico met zich mee dat gebruikers vergeten de plug-in, nadat ze die hebben gebruikt, weer uit te schakelen.
Flash Player uitschakelen in Internet Explorer
Ga naar Opties > Invoegtoepassingen beheren > Selecteer nu Shockwave Flash Object en kies rechtsonder "Uitschakelen".
Flash Player uitschakelen in Google Chrome
Tik in de adresbalk "chrome://plugins". Nu verschijnt er een overzicht van geïnstalleerde plug-ins. Klik bij Adobe Flash Player op "Uitschakelen".
Flash Player uitschakelen in Firefox
Gebruik de toetsencombinatie Shift+Ctrl+A om de Add-onbeheerder te openen. Ga vervolgens naar Plug-ins. Kies nu bij Shockwave Flash de optie "Nooit activeren".
Click to Play
Vanwege het beveiligingsrisico van kwetsbare browserplug-ins hebben Google, Microsoft en Mozilla een optie toegevoegd genaamd Click to Play. In dit geval is er een extra muisklik vereist voordat een website een browserplug-in kan aanroepen. In het geval van bijvoorbeeld een Flash Player-filmpje zal de video pas na deze muisklik met spelen beginnen. Click to Play is eenvoudig in te stellen of aan te passen.
Click to Play in Internet Explorer
Ga naar Opties > Invoegtoepassingen beheren > Dubbelklik nu op Shockwave Flash Object > Kies nu "Alle websites verwijderen" en kies sluiten. Het sterretje * dat er stond zal zijn verwijderd. Als er nu een pagina wordt geladen die Flash Player aanroept moet hier apart toestemming voor worden gegeven.
Click to Play in Google Chrome
Tik in de adresbalk "chrome://settings/content". Scroll vervolgens naar Plug-ins en selecteer "Klikken om te spelen".
Click to Play in Firefox
Gebruik de toetsencombinatie Shift+Ctrl+A om de Add-onbeheerder te openen. Ga vervolgens naar Plug-ins. Kies nu bij Shockwave Flash de optie "Vragen om te activeren".
HTML5
Een geduchte concurrent voor Flash Player is HTML5. Deze technologie wordt inmiddels door alle moderne browsers ondersteund en maakt het mogelijk om online video's zonder aanvullende plug-ins te bekijken. Het wordt echter nog niet door alle websites ondersteund. Google liet onlangs echter weten dat het voortaan video's op YouTube eerst als HTML5 zal aanbieden, voordat de Flash Player-versie wordt aangeboden. Niet veel later kwam Google met het nieuws dat het Flash-advertenties automatisch naar HTML5 omzet.
Advertenties zijn een veelgebruikte manier om internetgebruikers aan te vallen. Cybercriminelen slagen erin om kwaadaardige advertenties op populaire websites te tonen. Deze advertenties bevatten code die gebruikers, zonder dat ze het merken, naar een website doorsturen met een exploitkit. Deze exploitkit probeert vervolgens via lekken in de browser, het besturingssysteem of geïnstalleerde plug-ins malware op de computer te plaatsen.
Het is echter niet zo dat de Flash-advertentie de exploit bevat. "De meeste malvertising-aanvallen vinden plaats via een aantal redirects die door een kwaadaardige advertentie worden aangeroepen, wat meestal een Flash-bestand is", zegt Jerome Segura van anti-virusbedrijf Malwarebytes tegenover Security.NL. De aanvallers gebruiken Flash vanwege de ingebouwde mogelijkheden, zoals ActionScript. Daarmee is het mogelijk om aan een advertentie een script toe te voegen dat ervoor zorgt dat de browser een externe pagina laadt, waardoor de gebruiker uiteindelijk naar een exploitkit wordt geleid waar een echte Flash Player-exploit wordt gebruikt.
Volgens Segura zal de beslissing van Google om advertenties naar HTML5 om te zetten zowel legitieme als kwaadaardige adverteerders beïnvloeden, maar blijft de kern van het probleem hetzelfde. "Zolang de technologie scripting mogelijk maakt kan het voor zowel goed als kwaad worden gebruikt." De onderzoeker verwacht dat aanvallers de komende tijd het Flash-formaat nog zullen blijven gebruiken, maar als HTML5 de standaard wordt ze hierop zullen overstappen en ook naar kwetsbaarheden zullen zoeken om te gebruiken.
VLC Media Player
Voor wie geen Flash Player gebruikt en HTML5 bijvoorbeeld heeft uitgeschakeld is er toch nog een optie om online video's te bekijken. De populaire mediaspeler VLC Media Player ondersteunt namelijk het afspelen van allerlei videoformaten, waaronder video's direct van YouTube. In dit geval moet er via Ctrl+N een netwerklocatie worden opgegeven, waar vervolgens de link naar de YouTube-video kan worden geplakt. VLC zal nu de video afspelen. Bij andere websites die bijvoorbeeld online video aanbieden is het vaak mogelijk om in de broncode van de pagina de locatie van het videobestand te vinden, bijvoorbeeld door naar .mp4 of .flv in de code te zoeken. Door de link weer als netwerklocatie op te geven kan de video in VLC worden bekeken. Dit is inderdaad omslachtig, maar voorkomt eventuele aanvallen via zowel Flash Player als HTML5. Wie een browser zonder plug-ins wil moet bij de installatie van VLC er wel op letten dat de browserplug-ins van VLC niet worden geïnstalleerd.
Microsoft EMET
Een andere maatregel die Flash-gebruikers kunnen nemen is het installeren van de Microsoft Enhanced Mitigation Experience Toolkit (EMET). EMET voegt een beveiligingslaag aan Windows en geïnstalleerde programma's toe. Flash Player wordt daarbij standaard al ondersteund. Het wordt daardoor veel lastiger om zowel bekende als onbekende lekken aan te vallen. Twee jaar geleden vond er nog een onderzoek plaats waarbij EMET alle exploits wist te stoppen voor kwetsbaarheden waarvan de update niet door gebruikers was geïnstalleerd. Ook bij zero day-aanvallen waarvoor nog geen update beschikbaar is wordt EMET vaak aangeraden.
Tweede browser
Aangezien veiligheid altijd een afweging is kan er bijvoorbeeld, in het geval Flash Player echt nodig is, een oplossing worden gekozen waarbij er met twee browsers wordt gewerkt. Een standaardbrowser zonder Flash Player voor normaal internetgebruik en een aparte browser voor online video. Door deze tweede browser met Click to Play te configureren en EMET te installeren kan de impact van een Flash Player-exploit worden verkleind. Als extra bonustip voor Flash Player-gebruikers is het handig om de "Aboutpagina" van Flash Player als startpagina te gebruiken. Op deze manier kan als eerste worden gecontroleerd of de geïnstalleerde Flash Player-versie wel up-to-date is voordat er andere websites worden bezocht.
Nou dat doe ik al jaren voor Java, maar voor Flash gaat dit voorlopig nog te ver. Flash is op te veel sites nodig, zelfs
op nieuwe. Dat gaat niet werken.
https://patchmypc.net/download
OT: Ik vraag me af tot in hoeverre Flash nog echt nodig is. Op de iPad heb ik al jaren geen Flash en ik mis echt niets. In de browsers heb ik dat 'click-to-play' en 'vragen om te activeren' aan staan en ook daar krijg ik zelden de vraag. Wellicht omdat ik ook advertenties blokkeer ;)
Al met al kan ik prima zonder.
als je chrome of firefox gebruikt, zal er geprobeerd worden om html 5 te gerbuiken. waar dat niet mogelijk is schakeld het over op de flash plugin. als je maar up to date blijft en een goede ad-blocker gebruikt ben je al redelijk veilig.
de grootste problemen op het internet zitten naar mijn mening in gehackte defacede advertentienetwerken. deze leveren voornamelijk de virussen en mitm's op.
Zodra je Flash inschakelt (click-to-play of volledig) dan detecteren veel sites dat je Flash hebt en weigeren ze terug te vallen op bijvoorbeeld HTML5 video.
Andersom is Shumway nog niet zover dat het zich registreert als Flash (al is het de vraag of je dit wilt met het oog op voorgaande) en moet je dus nog steeds Flash ingeschakeld hebben wil je er serieus gebruik van maken (terwijl het helaas zelf nog veel te weinig van de Flash onderdelen ondersteunt dus het is nog vrij nutteloos).
Nee, de beste oplossing is helaas nog steeds gewoon twee browsers of twee browserprofielen te gebruiken, de één voor alledaags gebruik en de ander voor de vreemde eend in de bijt.
als je chrome of firefox gebruikt, zal er geprobeerd worden om html 5 te gerbuiken. waar dat niet mogelijk is schakeld het over op de flash plugin.
<video><object></object></video>
<object><video></video></object>
De eerste variant zal HTML-video tonen als dat ondersteund wordt en pas als dat niet zo is de Flash-code activeren, de tweede variant zal Flash-video totnen als dat ondersteund wordt en pas als dat niet zo is de HTML5-video-code activeren. En afgaande op jullie ervaringen kan je allebei de varianten tegenkomen op websites. Er zijn helaas ook nogal wat sites die met een onnavolgbaar gebrek aan logica alles wat met HTML geregeld kan worden het liefst via JavaScript doen, en daar zal dit anders werken, maar ook die hebben dan zelf een voorkeur gecodeerd.
Waar jullie allebei ongelijk in hebben is dat het afhangt van een voorkeur van je webbrowser voor het een of het ander, het is de website die bepaalt wat het eerst wordt geprobeerd. Dus als je vindt dat daar een verkeerde keuze in gemaakt is op een website is het de beheerder van die website die je erop moet aanspreken, mocht je je geroepen voelen er iets aan te doen.
De eerste variant zal HTML-video tonen als dat ondersteund wordt en pas als dat niet zo is de Flash-code activeren, de tweede variant zal Flash-video totnen als dat ondersteund wordt en pas als dat niet zo is de HTML5-video-code activeren. En afgaande op jullie ervaringen kan je allebei de varianten tegenkomen op websites. Er zijn helaas ook nogal wat sites die met een onnavolgbaar gebrek aan logica alles wat met HTML geregeld kan worden het liefst via JavaScript doen, en daar zal dit anders werken, maar ook die hebben dan zelf een voorkeur gecodeerd.
Vergeet ook niet dat er (vooral bij video) heel vaak nog andere belangen mee spelen dan dat het allemaal goed werkt
en op zoveel mogelijk platformen.
Ik loop al een tijdje mee en ik herrinner me goed dat video al een probleem is geweest vanaf dag 1 als je niet op het door
de makers ingedachten gehouden platform werkt (dat was bijvoorbeeld een tijd Internet Explorer onder Windows). Men
veranderde een oplossing die het op alle platformen deed rustig in een oplossing die alleen op IE werkte, als daarmee een
eigen belang beter gediend werd (bijvoorbeeld dat het lastiger was om het filmpje lokaal op te slaan om het later nog eens
af te kunnen spelen).
En dat is nu nog steeds zo. Hoe vaak hebben we al niet gezien dat een site ala "uitzending gemist" het eerst prima deed
en dan weer verpest werd door de introductie van Silverlight oid. Makkelijk toegankelijke video voor iedereen, dat is
wellicht wel het doel van de kijker maar niet noodzakelijk ook van de sitebouwer.
Daarom heeft het ook zo weinig zin om de siteheerder er op aan te spreken.
uitgevoerd.
Ook misschien automatisch tijdelijk buiten werking stellen is dit misschien een optie ?
De webbrowser in sandboxie laten draaien,is dit veilig ?
Het is al lang naar een Europese systeem (Besturing Systeem) gebaseerd op Linux!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
