Evo par činjenica:
U običnom (dakle ne-administratorskom, ne-root, ne-supervisor, ne-kernel-mode) režimu rada na Windowsima (a bome i ostalim OS-evima) moguće je napraviti program koji će:
• hvatati sve pritisnute tastere (keylogger) instaliranjem globalnih hookova ili u for(;;) provjeravati GetAsyncKeyState()
• čitati sadržaj editboxeva u formama u korištenom browseru, cookies, hookirati send() API u kontekstu browsera ili e-mail klijenta i isfiltrirati korištene passove za pristup sajtovima, e-mail/news serverima i sl. Sa raw socketima se ovo moglo globalno za sve programe (a la carnivore), ali su raw socketi nasreću blokirani sa SP2 iz ne-admin acc).
• čitati i modificirati adresni prostor drugog procesa koji je na istim ili nižim privilegijama, a koje su obično definirane zajedničkim accountom pod kojim su svi pokrenuti (access token i pridodani mu ACL), i time efektivno postati dio "drugog" programa recimo kreiranjem odvojenog threada koji će se izvršavati pod nekim well-known procesom
• instalirati se u start-up (na desetine različitih metoda)
• hookirati desetak API-ja za 3-4 poznate metode za enumeraciju aktivnih procesa u svim procesima pod aktivnim accountom i tako se sakriti iz npr. Task Managerove liste procesa (ntillusion rootkit). Neki napredniji user-mode rootkitovi presreću komunikaciju kernel-mode (rezidentnog) AV/rootkit-detection modula sa user-mode klijentom koji u GUI prikazuje poruku o tome kako je neki malware detektiran (hxdef rootkit) i na taj način, iako su detektirani, korisnik ustvari ništa ne primjećuje.
• otvoriti socket, skačiti se na IRC server u Kazahstanu i uploadati uhvaćene passworde, skinuti novu verziju klijenta upravo 5 min prije nego što je Peter Szor iz Symanteca završio slaganje definicije za prethodnu varijantu tog shita.
Poanta? U dobu sveprisutne umreženosti gdje je jedan crv (npr. Slammer koji Dos-a 13 root DNS servera) u stanju u roku 10 min paralizirati cijeli Internet, gdje defekti u dizajnu arhitekture popularnih desktop OS-eva (kao i defekti u njihovoj implementaciji, prije sve uzrokovani korištenjem brain-damaging programskih jezika i dizajn principa iz mračnog doba 70-ih) omogućuju toliku fleksibilnost u dizajnu malwarea, sigurnost je tipičnog desktop OS-a ponajmanje definirana separacijom admin/user, nekim fine-grained capability-based permisijama i buzzwordima kao što su Mandatory Access Control, Mandatory Integrity Control (dolazi u Visti) ili pak Role Based Access Control, i ovisi isključivo o nekoliko elementarnih pravila pri korištenju računala.
Drugim riječima: Ljudi koji ne znaju vozit bez da poštuju prometne znakove (koristiti Windowse bez kliktanja na svaki popup, instaliranja svake ActiveX kontrole, svakog "besplatnog" klijenta za pristup pr0n sajtovima) će kad tad slupati auto (pokupiti malware), ugroziti sigurnost drugih u prometu (postati dio spam networka ili botneta koje skeniraju cijeli IP range Interneta u potrazi za ranjivim mašinama), i pri tome će im vezanje pojasom, korištenje dvostrukog zračnog jastuka i pretplata u HAK-u (korištenje AV) samo pomoći u odgađanju neizbježnog.
"Ko ne plati kurvu, plati likara".