Chcąc udowodnić swą tezę, Roger A. Grimes przeprowadził w ostatnich tygodniach wiele testów, których głównym zadaniem miało być zbadanie odporności sztandarowych aplikacji Microsoftu (Windows, Office, Internet Explorer) na wzmożone ataki hakerów. Grimes przeanalizował też mechanizmy działania najbardziej spektakularnych włamań, jakie miały miejsce w br.

Pod uwagę wzięto atak na sieć RSA, w wyniku której doszło do wycieku poufnych informacji związanych z tokenami RSA SecurID, włamania na konta użytkowników GMail (Google), rozprzestrzenianie się tzw. uporczywych zagrożeń (Advanced Persistent Threats). Grimes poświęcił także swój czas analizie bezpieczeństwa sieci społecznościowych, trojanów, robaków i typowych ataków typu przepełnienie bufora czy DoS (Denial of Service).

Zobacz również:

• Nearby Sharing od Google - wygodny sposób na przesyłanie plików
• Były programista Microsoftu: wydajność Windows 11 jest "komicznie zła" nawet na potężnym PC
• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie

Jedną z konkluzji wynikających z testów Grimesa jest przekonanie, że aby dokonać poważnych włamań do systemu Windows 7 lub najnowszych wersji innych aplikacji Microsoftu konieczne jest celowe wyłączenie domyślnych zabezpieczeń i zignorowanie co najmniej jednego, zawsze pojawiającego się ostrzeżenia o zagrożeniu. Zdaniem Grimesa, takie założenie niemal całkowicie zrzuca odpowiedzialność za potencjalne włamanie na końcowego użytkownika, umniejszając rolę ewentualnych błędów popełnionych przez programistów.

Testy, testy, testy

Jak twierdzi Grimes, wyniki przeprowadzonych badań były dla niego sporym zaskoczeniem. W symulacji przypominającej ataki na RSA czy Google, do włamań doszło jedynie w przypadku starszych wersji systemów operacyjnych i aplikacji Microsoftu. Żaden atak nie udał się w środowisku zarządzanym przez nowoczesne oprogramowanie (sprzed 3-4 lat). Przypomnijmy, że do włamania do sieci RSA przyczynili się pracownicy, którzy dostali na swoje skrzynki pocztowe wiadomości dotyczące rzekomej wewnętrznej rekrutacji. Dołączony do e-maila plik MS Excel zawierał link do złośliwego kodu typu zero-day (exploit). Po jego aktywacji haker zyskiwał zdalny dostęp do pracowniczego komputera.

W środowisku testowym, stworzonym przez Grimesa, wiadomości zawierające złośliwy kod od razu trafiały do folderu przeznaczonego na spam (podobnie, jak miało to miejsce w przypadku rzeczywistego ataku - pracownicy mało rozmyślnie uruchamiali załącznik z tego folderu, co już samo w sobie było złamaniem polityki bezpieczeństwa). Po otwarciu wiadomości i kliknięciu na dołączony plik, wszystkie używane przez Grimesa wersje Microsoft Office (do 10 lat wstecz) informowały o potencjalnym zagrożeniu (niezidentyfikowany skrypt lub makro). Dopiero po zignorowaniu ostrzeżenia kod mógł się zainstalować. Ekspert zaznaczył, że w pakiecie MS Office 2010 plik został automatycznie zablokowany, dzięki wbudowanemu mechanizmowi Protection Mode.

W przypadku innych exploitów, droga do ich uruchomienia również wymagała ingerencji ze strony użytkownika, czasem nawet dość zaawansowanej (np. wyłączenie UAC - User Account Control, DEP - Data Execution Prevention). Większość badanych kodów złośliwych nie stanowiła zaś zagrożenia dla Internet Explorera (wersje 7,8,9).

Mimo pozytywnych wyników testów warto mieć na uwadze, że według badań Microsoftu, jeden na czternaście plików pobieranych z internetu jest wirusem, robakiem czy trojanem. Tym bardziej należy zwracać uwagę na ostrzeżenia generowane przez system operacyjny czy przeglądarkę stron WWW.