Animowane reklamy Flash, oprócz zasłaniania treści, spowalniania pracy komputera, wydawania irytujących dźwięków i utrudniania czytania, mogą mieć jeszcze jedną nieprzyjemną funkcję - instalować złośliwe oprogramowanie.

Reklamy były traktowane od dawna jako dokuczliwy składnik wielu stron WWW, ale ich złośliwość była niewielka. Strony posiadające dobrą reputację nie pozwalały zazwyczaj na umieszczanie reklam zawierających wrogie kody. Ostatnio pojawiły się jednak banery, które przejmują kontrolę nad komputerem ofiary, automatycznie pobierają z Internetu złośliwe programy, a potem zachęcają użytkownika do zakupu... reklamowanego programu antywirusowego.

Tego typu zjawisko nie jest niczym nowym w obszarze treści, które są udostępniane przez tzw. strony podwyższonego ryzyka - erotyka, hazard, środowisko peer-to-peer itd. Tymczasem wspomniane zdarzenia dotyczyły reklam emitowanych przez serwis DoubleClick na wiarygodnych stronach, takich jak New York Times, The Economist czy serwis NHL. Są to strony powszechnie uznawane za wiarygodne i ich administratorzy nigdy nie pozwoliliby sobie na świadome umieszczenie złośliwego kodu w treści emitowanych reklam. Banery znalazły się tam dzięki użyciu przez crackerów języka skryptowego stosowanego w apletach Flash (ActionScript), który wykorzystał lukę w bezpieczeństwie systemu DART firmy DoubleClick umożliwiającego automatyzację zakupów i sprzedaży reklam oraz zarządzanie emisją i zasobami reklamowymi.

DoubleClick jest potentatem reklam internetowych, zatem obszar emisji złośliwego kodu był znaczący. Sean Harvey, który odpowiada w DoubleClick za system DART, twierdzi, że tego typu zdarzenia to bardzo poważne wyzwanie dla przemysłu reklam internetowych, bowiem zakup reklam w celu emisji złośliwego kodu rzuca cień na bezpieczeństwo całego biznesu reklamy w Internecie. Według niego winni są oczywiście reklamodawcy. W tym przypadku uważa się, że za emisją stoi firma AdTraff.

Drugie dno

Jak zwykle diabeł tkwił w szczegółach. Baner Flash został tak napisany, aby złośliwy kod nie ujawniał się od razu. Efekt jego działania był widoczny dopiero po publikacji na docelowej stronie w obecności właściwych domen w adresie obiektu. Podobnie wszelkie odwołania były zaszyfrowane. Zatem nie jest to przypadkowy eksperyment, ale dobrze przygotowana od strony informatycznej kampania, mająca na celu bardzo nachalną promocję konkretnych towarów.

Znacznie ważniejszy od dokuczliwej reklamy jest mechanizm, który umożliwia pobranie i uruchomienie złośliwego kodu nawet w środowisku reklamowanym jako bezpieczne - Windows Vista ze zaktualizowanym Internet Explorerem. Jak zwykle za lukę w bezpieczeństwie odpowiedzialne jest najsłabsze ogniwo. Tym razem nie jest nim człowiek, który przegląda Internet, lecz niedostateczne zabezpieczenie uprawnień wtyczki Adobe Flash Player.

Dzisiejsze strony WWW coraz częściej wykorzystują animacje Flash, sama wtyczka jest bardzo popularna, zatem incydent ten może być sygnałem ostrzegawczym. Co bardziej podejrzliwi użytkownicy od dawna zwracali uwagę na to, że obiekty Flash mają zbyt duże uprawnienia - można wykorzystać je do naruszenia prywatności i śledzenia aktywności jeszcze lepiej niż za pomocą cookies. Jednocześnie daleko idące ograniczenie uprawnień wtyczki wewnątrz przeglądarki Internet Explorer jest skrajnie trudne. W przypadku przeglądarki Firefox w systemie Linux jest to możliwe, ale wymaga modyfikacji uprawnień kilku katalogów oraz śledzenie zapisów, jakie dokonuje Flash Player. Można zaryzykować stwierdzenie, że przeciętny użytkownik Internetu jest całkowicie bezradny wobec luk w bezpieczeństwie i prywatności związanych z wtyczką Adobe Flash Player uruchomioną wewnątrz Internet Explorera. Nie każdy potrafi choćby wyrejestrować obsługę Flash z przeglądarki.

Jak się bronić

Bardzo często spotykaną metodą jest zablokowanie reklam na zaporze sieciowej. W przypadku firmy, zestaw typowych adresów powinien objąć na pewno typowych emitentów reklam (ad.*.doubleclick.net, ads.*, adserver.*). Jeśli firma nie posiada zapory sieciowej, która obsługuje wieloznaczniki w nazwach, administratora czeka pracowite wpisywanie adresów. W ciekawy sposób można skutecznie zablokować większość reklam na samej stacji roboczej za pomocą wpisów w pliku hosts, nadając adresom serwerów reklamowych adres 127.0.0.0. Niestety w ten sposób można zablokować tylko te reklamy, które są pobierane z dedykowanego serwera reklam. Każdy doświadczony administrator posiada własną listę blokowanych serwerów, można także znaleźć opublikowaną w Internecie gotową listę jako plik hosts.

Można także pracowicie dodawać serwery reklamodawców do odpowiednich stref w Internet Explorerze, ale przeglądarka ta ma zbyt słabe zabezpieczenia, by jej całkowicie ufać. Nie potrafi sprawnie filtrować treści na podstawie adresów wewnątrz serwera/domeny, zaś o wyłączeniu wtyczki Flash podczas jej pracy można jedynie pomarzyć (potrafi to niszowy K-meleon). Ponadto uprawnienia dotyczące stref Internet Explorera nie zawsze przechodzą na uprawnienia apletu Flash - zatem może się zdarzyć tak, że aplet będzie mógł pobrać i uruchomić co tylko chce, niezależnie od ustawień przeglądarki. Najlepszym dowodem jest fakt uruchomienia złośliwego kodu nawet w systemie Windows Vista z mocno ograniczonymi uprawnieniami, o ile tylko jest zainstalowana i włączona wtyczka odtwarzania obiektów Flash.

Znacznie skuteczniejszą metodą jest zatem zmiana przeglądarki. Należy całkowicie zrezygnować z Internet Explorera, blokując mu dostęp do Internetu. Zamiast niego warto użyć bardzo popularnej i lepiej napisanej przeglądarki Mozilla Firefox. Aby zapewnić najlepsze bezpieczeństwo, sama przeglądarka nie wystarczy. Należy skorzystać z dwóch bardzo ważnych dodatków - Adblock Plus oraz NoScript. Pierwszy z nich daje możliwość selektywnego blokowania niechcianej treści, posiada regularnie aktualizowaną listę dokuczliwych reklam (może być ich więcej niż jedna, każda z proponowanych przy konfiguracji jest na tyle dobra, by odsiać większość śmieci), zaś przy blokowaniu reklam Flash nie ma sobie równych.

Z kolei NoScript umożliwia blokowanie skryptów bazując na adresie, z którego są one pobierane. Dzięki temu można odblokować skrypty ze strony, którą się ogląda, zaś skrypty reklamodawców oraz ich obiekty można pozostawić zablokowane. NoScript można skonfigurować tak, aby blokowaniu podlegały także obiekty Flash. Domyślnie blokowane skrypty mogą na początku sprawić dyskomfort, gdyż strony bez Javascript nie zawsze działają poprawnie. Warto jednak zauważyć, że selektywne odblokowywanie domyślnie wyłączonych skryptów bardzo podwyższa bezpieczeństwo, gdyż uniemożliwia ich uruchomienie przy pierwszym załadowaniu strony.

Nie ma jednak róży bez kolców. Poważnym minusem Firefoxa jest brak zarządzania nim i przypisania domyślnych ustawień za pomocą Active Directory, ale jest to cena, jaką płaci się za brak integracji z systemem Windows. Mozilla Firefox wraz z powyższymi dodatkami jest jednak bardzo "twardą" przeglądarką, nawet w środowisku Windows 98. Dzięki temu, że nie obsługuje w ogóle kontrolek ActiveX, złośliwy kod przeznaczony dla Internet Explorera nie jest dla niej groźny. Co prawda, jak każdy program, Firefox także ma błędy, ale szybkość, z jaką pojawiają się odpowiednie poprawki, jest zadowalająca, zaś waga problemów - mniejsza. W tej chwili Firefox wraz z dodatkami zapewniającymi domyślne blokowanie niepożądanej zawartości jest chyba jedynym środkiem zaradczym na złośliwy kod przenoszony za pomocą reklam