Tego typu zjawisko nie jest niczym nowym w obszarze treści, które są udostępniane przez tzw. strony podwyższonego ryzyka - erotyka, hazard, środowisko peer-to-peer itd. Tymczasem wspomniane zdarzenia dotyczyły reklam emitowanych przez serwis DoubleClick na wiarygodnych stronach, takich jak New York Times, The Economist czy serwis NHL. Są to strony powszechnie uznawane za wiarygodne i ich administratorzy nigdy nie pozwoliliby sobie na świadome umieszczenie złośliwego kodu w treści emitowanych reklam. Banery znalazły się tam dzięki użyciu przez crackerów języka skryptowego stosowanego w apletach Flash (ActionScript), który wykorzystał lukę w bezpieczeństwie systemu DART firmy DoubleClick umożliwiającego automatyzację zakupów i sprzedaży reklam oraz zarządzanie emisją i zasobami reklamowymi.

DoubleClick jest potentatem reklam internetowych, zatem obszar emisji złośliwego kodu był znaczący. Sean Harvey, który odpowiada w DoubleClick za system DART, twierdzi, że tego typu zdarzenia to bardzo poważne wyzwanie dla przemysłu reklam internetowych, bowiem zakup reklam w celu emisji złośliwego kodu rzuca cień na bezpieczeństwo całego biznesu reklamy w Internecie. Według niego winni są oczywiście reklamodawcy. W tym przypadku uważa się, że za emisją stoi firma AdTraff.

Drugie dno

Jak zwykle diabeł tkwił w szczegółach. Baner Flash został tak napisany, aby złośliwy kod nie ujawniał się od razu. Efekt jego działania był widoczny dopiero po publikacji na docelowej stronie w obecności właściwych domen w adresie obiektu. Podobnie wszelkie odwołania były zaszyfrowane. Zatem nie jest to przypadkowy eksperyment, ale dobrze przygotowana od strony informatycznej kampania, mająca na celu bardzo nachalną promocję konkretnych towarów.

Znacznie ważniejszy od dokuczliwej reklamy jest mechanizm, który umożliwia pobranie i uruchomienie złośliwego kodu nawet w środowisku reklamowanym jako bezpieczne - Windows Vista ze zaktualizowanym Internet Explorerem. Jak zwykle za lukę w bezpieczeństwie odpowiedzialne jest najsłabsze ogniwo. Tym razem nie jest nim człowiek, który przegląda Internet, lecz niedostateczne zabezpieczenie uprawnień wtyczki Adobe Flash Player.

Dzisiejsze strony WWW coraz częściej wykorzystują animacje Flash, sama wtyczka jest bardzo popularna, zatem incydent ten może być sygnałem ostrzegawczym. Co bardziej podejrzliwi użytkownicy od dawna zwracali uwagę na to, że obiekty Flash mają zbyt duże uprawnienia - można wykorzystać je do naruszenia prywatności i śledzenia aktywności jeszcze lepiej niż za pomocą cookies. Jednocześnie daleko idące ograniczenie uprawnień wtyczki wewnątrz przeglądarki Internet Explorer jest skrajnie trudne. W przypadku przeglądarki Firefox w systemie Linux jest to możliwe, ale wymaga modyfikacji uprawnień kilku katalogów oraz śledzenie zapisów, jakie dokonuje Flash Player. Można zaryzykować stwierdzenie, że przeciętny użytkownik Internetu jest całkowicie bezradny wobec luk w bezpieczeństwie i prywatności związanych z wtyczką Adobe Flash Player uruchomioną wewnątrz Internet Explorera. Nie każdy potrafi choćby wyrejestrować obsługę Flash z przeglądarki.