"To nie jest odkrycie "teoretyczne" - każdy, kto będzie w stanie wykorzystać ten błąd, może uzyskać nieautoryzowany dostęp do informacji przechowywanych na komputerze pracującym pod kontrolą Windows 2000" - mówi dr Benny Pinkas z Wydziału Informatyki Uniwersytetu w Hajfie. Jego zdaniem, dzięki luce "napastnik" może bez problemu przechwytywać wszystkie dane wysyłane z zaatakowanego komputera. Co więcej, możliwe jest także przejęcie informacji, które z tej maszyny zostały wysłane w przeszłości (tzn. przed atakiem) i nie są już lokalnie przechowywane. Jest to związane z faktem, iż luka dotyczy generatora liczb losowych - aplikacji, które odgrywa ważną rolę w procesie szyfrowania informacji (np. podczas wysyłania szyfrowanych e-maili czy łączenia się ze stronami WWW za pośrednictwem protokołu SSL).

Błąd pozwala na wyliczenie kluczy szyfrujących, jakie generator stworzy lub stworzył w przeszłości. Specjaliści twierdzą, że posiadając takie informacje, odpowiednio przygotowany "napastnik" będzie w stanie odtworzyć dane, które zostały wcześniej zaszyfrowane. Naukowcy z Hajfy celowo nie udostępniają szerszych informacji na temat problemu - zostaną one podane dopiero po usunięciu błędu przez Microsoft.

"Oczywiście, przestępca, który chciałbym wykorzystać do zaatakowania komputera wykryty przez nas błąd, musi dysponować sporą wiedzą i starannie zaplanować całą operację. Jednak z drugiej strony, każde włamanie do komputera wymaga odpowiedniego planowania, więc sądzę, że użytkownicy często przesyłający poufne informacje - np. firmy przetwarzające takie dane - mają się czego obawiać" - komentuje dr Pinkas.

Naukowcy na razie przetestowali jedynie Windows 2000 - system ten na pewno podatny jest na opisany przez nich atak. Niewykluczone, że problem dotyczy również dwóch kolejnych OS-ów Microsoftu - Windows XP oraz Vista. Dr Pinkas mówi, że wykorzystano w nich ten sam generator liczb losowych co w Windows 2000 - jednak na razie systemy te nie zostały sprawdzone pod kątem występowania owej luki (szersze testy mają zostać przeprowadzone w najbliższych dniach).

Informację o problemie przekazano już przedstawicielom Microsoftu - koncern na razie nie potwierdził doniesień o problemie i nie skomentował zaistniałej sytuacji.