Zdaniem NSA Microsoft popełnił błąd w usługach kryptograficznych. Mają one kluczowe znaczenie nie tylko dla szyfrowania i deszyfrowania treści. Jak wskazało NSA pozwala na obejście zabezpieczeń przed uruchamianiem programów z nieznanych źródeł. Oprócz tego również zaburza poprawność mechanizmu weryfikacyjnego. Oznacza to nic innego, że atakujący zyskali możliwość podszywania się pod innych, obdarzonych przez system operacyjny.

Jednym z przykładów do czego prowadzi ów błąd są połączenia HTTPS. Popularnie znane jako „komunikacja z kłódką” są stosowane do między innymi ochrony transferów pieniędzy. Tym samym korzystanie z bankowości elektronicznej bez tych poprawek grozi włamaniem na konto i utratę pieniędzy. Innym problemem są usługi oparte o potwierdzaniu i ochronie tożsamości. Obok kont w bankach problem tym samym dotyczy na przykład korzystania z PayPal, czy popularnego w Polsce Allegro. Nie jest to problem samych dostawców. Atakujący może dostać się „do środka” komunikacji, czyli innymi słowy być uczestnikiem połączenia z którego normalnie powinien być wyłączony. Błąd ten dotyczy systemów Windows 10, a także linii skierowanej do serwerów Windows Server 2016 i 2019.

Kolejnym z problemów jakie powodują odkryte przez NSA błędy jest, że wpływają na pliki oraz wiadomości podpisane. Tym samym weryfikacja, że dane pochodzą z zaufanych źródeł nie działa. Oznacza to możliwość podsunięcia ofierze na przykład pliku PDF z fakturą. Po jej otwarciu komputer ulegnie zarażeniu i otworzy podatność na dalsze wykorzystanie ofiary, bo przykładowo zaszyfruje jej dane dla okupu. O ile sam mechanizm stosowania nie jest niczym nowym (pliki PDF są tworzone w języku programowania pozwalającym na umieszczanie w nich interaktywnego kodu, a tym samym aplikacji) problem wiąże się ze zdjęciem dodatkowej ochrony. To nic innego, jak na przykład brak pojawiania się okienka, że „plik jest otwierany z nieznanego źródła” z zapytaniem, czy „użytkownik chce kontynuować”.

Uruchamianie programów spoza komputera oznacza nic innego, jak otwarcie dodatkowej furtki do zdalnego zarządzania sprzętem ofiar. NSA wskazuje, że brak zabezpieczenia umożliwia, aby w krótkim czasie pojawiły się gotowe narzędzia do wykorzystywania odkrytych luk. Tym samym odłam haktywistów określany jako „skryptowe dzieci” wystarczy, że z pirackich stron pobierze odpowiednie aplikacje, uruchomi je, a następnie będzie siał spustoszenie. W tym przypadku jest wymagana tylko podstawowa wiedza z zakresu informatyki.

Zalecenia NSA sprowadzają się do pobrania i zainstalowania wszystkich poprawek, jakie w styczniu wydał Microsoft. Obok komputerów użytkowników zagrożone są również struktury będące elementami szkieletu Internetu. Do nich należa na przykład kontrolery domen, serwery DNS, serwery prywatnych sieci wirtualnych, serwery służące do aktualizacji a także inne. Innymi słowy pomimo zabezpieczania własnego komputera jeśli pracuje w narażonych strukturach będzie dalej zagrożony, aczkolwiek w mniejszym stopniu. Samo weryfikowanie certyfikatów wbudowane w system operacyjny jest uznane przez NSA w obecnej formie za niewystarczające dla ochrony używanych w bezpiecznym logowaniu TLS.

Dla wielu odbiorców tego rodzaju informacje brzmią niczym z innej bajki, bo nie rozumieją, że błędy w pliku Crypt32.dll oznaczają nic innego, jak możliwość kradzieży, zakupów na ich koszt, czy pozyskania danych poufnych oraz firmowych. Po prostu złoczyńca zyskał kolejny sposób na odczytanie informacji jakie powinny być dzięki szyfrowaniu bezpieczne. Wirus uruchomiony i traktowany jako uznana przez innych aplikacja oznacza podkładanie na przykład bezpiecznych przeglądarek i to tylko jeden z wielu możliwych scenariuszy.

Na tym zaś nie koniec. Microsoft już teraz wskazał, że ma czterdzieści osiem błędów (tak zwanych podatności) w tym osiem o znaczeniu krytycznym. Część osób wyłącza aktualizacje automatyczne i tym samy wystawia się na ryzyko w imię „poprawy wydajności”. Cała sprawa ukazuje, że korzystanie z Internetu oprócz zalet łączy w sobie też wady, a jedną z nich są zagrożenia na oszustwa i wykorzystanie. Informacja z NSA ukazuje, że w promowanej utopii świata wypełnionego siecią technologia czyni nas również bezbronnymi. Wyszukiwanie błędów to niekończący się proces. Tym samym zastanawia, że brakuje powszechnych wskazań odnośnie kiedy korzystanie z sieci powinno być ograniczone, lub wręcz całkowicie zakazane dla uzyskania przez człowieka równowagi w zakresie prywatności, czy ochrony jego bezpieczeństwa. Za to zaś zachęca się, aby człowiek korzystał z sieciowych rozwiązań częściej i więcej.

Jacek Skrzypacz