Afgelopen weken ben ik bezig geweest met het opstellen van test hacking scenario's voor een klant. Zij wilden kopieën van de RSA-aanval, de Google-aanval, APT-simulaties, social engineering Trojans, wormen en remote buffer overflows hebben om te kunnen zien wat ze zouden moeten doen om hun Windows-omgeving beter te beschermen.

Ik lichtte de omgeving van de klant door en het was, zoals verwacht, genieten geblazen. Proberen in te breken is veel leuker dan het invullen van papierwerk of het lezen van veiligheidsvoorschriften. Bovendien gebeurde er iets bijzonders. Ik kwam er achter dat Windows 7 en andere recente Microsoft software lastiger te hacken valt dan je op voorhand zou denken. Ik kon geen hack succesvol toepassen zonder bepaalde verdedigingsmechanismen uit te schakelen of waarschuwingen van het systeem te negeren.

Veel lezers zullen me ongetwijfeld afschilderen als Microsoft fanboy, maar ik zou zeggen: probeer het zelf eens. En als je het zelf niet wilt proberen, kom dan niet aan met ervaringen uit het verleden. Ik weet waarover ik het heb en de resultaten zijn verrassend.

Recente software lijkt onfeilbaar

Zo werken de RSA- en Google-aanvallen alleen met software van meerdere jaren geleden; geen van de hacks werkte op Microsoft-software van de laatste drie of vier jaar. Bij de RSA-aanval kregen medewerkers een spam e-mail toegezonden, waarin een recruitmentlijst zou staan. De mail bevatte een Excel spreadsheet met daarin een link naar een kwaadaardig zero-day Flash-bestand. Deze zero-day kwetsbaarheid gaf de hacker toegang op afstand en de rest is geschiedenis.

In de simulatie belandden de spam e-mails automatisch in spam-mappen. Dus daarvoor zou een werknemer al over een obstakel moeten heen springen. Daarna krijg je weer een waarschuwing dat het bestand een macro of script bevat en, afhankelijk van welke versie van Office je gebruikt, doorlinkt naar een extern bestand. Ook hierbij krijgt de gebruiker een waarschuwing dat het bestand een besmet onderdeel kan bevatten. Een gebruiker zou al deze waarschuwingen moeten negeren om de malware kans te geven op te starten. Als je dat probeert in Microsoft Office 2010, gebeurt dat standaard in de Veilige Modus.

Om van een exploit gebruik te maken, moet ik de beveiligingsopties van Office uitschakelen of moet ik me inleven in een werknemer die meerdere waarschuwingen met opzet negeert. Ook moest ik User Account Control (UAC) en Data Execution Prevention (DEP) uitzetten in Windows, Office en Internet Explorer. De meeste exploits werken überhaupt niet in Internet Explorer 7 of 8.

Zelfs toen ik alle geheugen- en applicatiebsecherming uitzette, kreeg ik nog waarschuwingen te zien. Ik wist wel dat een volledig gepatcht Windows-systeem een lastige klant zou zijn, en nu blijkt dat de software inderdaad veel veerkrachtiger is dan voorheen.

Leveranciers van testsoftware onderkennen de progressie

Het ligt duidelijk niet aan een gebrek aan 1337 haxor-skills. Ik heb gesproken met verschillende leveranciers van op testgebied en zij geven allemaal schoorvoetend toe dat het moeilijk is om Windows vandaag de dag nog te hacken.

Microsofts eigen Security Intelligence rapportages geven hetzelfde aan: De laatste versies van Microsoft Windows zijn moeilijker te hacken dan hun voorgangers. Om eerlijk te zijn vertrouwde ik zulke WC-eend statements nooit zo. Maar nu ik de tests zelf heb uitgevoerd, ben ik bekeerd. De software wordt steeds lastiger te kraken.

Natuurlijk kun je niet zomaar stellen dat Microsoft software onmogelijk te hacken is. Natuurlijk niet. Zero-day exploits duiken steeds vaker op en bedrijven blijven ongepatchte software gebruiken. Maar het staat natuurlijk als een paal boven water dat de eindgebruiker de grootste bedreiging is. Gebruikers die social engineering Trojans installeren staan al lange tijd op nummer één.

Zelfs het probleem met Mac Defender scareware zou geen groot probleem zijn als Mac-gebruikers niet naïef dubieuze software installeren. Dan maakt het niet meer uit of je je Mac OS X volledig gepatcht hebt of niet.

Smartscreen-filter voorkomt dommigheden eindgebruikers

Software en leveranciers van anti-malware software zouden meer moeten doen om te voorkomen dat gebruikers hun eigen glazen ingooien. De verbeterde Smartscreen-filter van IE9 is een stap in de juiste richting en ik vermoed dat andere browsers snel zullen volgen. Smartscreen-filter kent de functionaliteit Application Reputation, die verbazend goed werkt. Het kijkt naar bestanden die op dat moment worden gedownload; voor degenen die niet als populair en/of legitiem kunnen worden aangemerkt, krijg je een waarschuwing.

Dit is een geweldige dienst, zeker nu blijkt dat één op de veertien downloads besmette code bevat. Ik moest zelf Smartscreen-filter uitzetten om een van de exploits werkend te krijgen. Dat ik tien verdedigingsmechanismen van de computer moest uitzetten om een exploit te kunnen draaien, is een goed teken. We boeken progressie.