Duitse overheidstest bevestigt eigen Chrome-advies

De Duitse ict-overheidsdienst steunt zijn advies om van Internet Explorer af te stappen met een eigen malwaretest. Surfen zonder plug-ins en met Chrome is veel veiliger.


Het BSI, het ict-security orgaan van de Duitse overheid, heeft eerder al beveiligingsadviezen ten nadele van Microsofts browser uitgevaardigd. Soms was dit als tijdelijke maatregel, terwijl er nog geen patch was voor een beveiligingsgat dat actief wordt misbruikt. Soms was dit een verkeerd vertaalde uitspraak ten gunste van een alternatieve browser als Opera.

Chrome, Adobe Reader

Nu heeft het BSI (Bundesamt für Sicherheit in der Informationstechnik) zelf een malwaretest uitgevoerd. Daarbij is een verouderde Windows 7-installatie vergeleken met een configuratie naar BSI-advies. Beide draaien de 64-bit variant van dat Microsoft-besturingssysteem, met daarop beveiligingspakket Security Essentials van Microsoft zelf naast andere softwarepakketten.

De opstelling met IE9, en oude versies van veelbelaagde softwarepakketten, is flink kwetsbaarder dan de BSI-configuratie, meldt de Duitse tech-nieuwssite Heise. De verouderde installatie is 36 keer volledig besmet, 10 keer geïnfecteerd maar daadwerkelijk misbruik is geblokkeerd door Security Essentials, en in 3 gevallen is malware gedownload maar niet uitgevoerd.

De door het BSI aangeraden congifuratie is 0 keer besmet, had 0 infecties, en 4 downloads zonder drive-by exploit. In totaal heeft het BSI 100 stuks drive-by aanvallen getest. Dit zijn malwarevormen die zich schuilhouden op legitieme websites, zoals bijvoorbeeld die van NRC Handelsblad, om de pc's van onvermoede bezoekers te besmetten.

Oude software

In het geval van de BSI-configuratie draait er verder de nieuwste versie van Google's webbrowser Chrome (ten tijde van de test versie 21), naast Adobe Reader X en Libre Office (3.6.0.4). Java is geheel niet geïnstalleerd en Flash van Adobe draait alleen ingebed binnen Chrome. De testgebruiker is ingelogd op een regulier gebruikersaccount.

De verouderde Windows-configuratie is zelf qua patches wel uptodate, maar niet qua gebruikte applicaties. Dit zijn versie 9.4 van Adobe Reader, Java 6 Update 26, versie 10.3.183.5 van Adobe's Flash Player, en LibreOffice 3.4.3. De versies van deze vier pakketten zijn van één jaar geleden. Deze opstelling draait als webbrowser de huidige versie 9 van Microsofts Internet Explorer.

Admin-account

Naast het gebruik van flink verouderde software kent de kwetsbare Windows 7-opstelling nog een belangrijk verschil met de BSI-configuratie. De testgebruiker is op Windows aangemeld als beheerder. In de praktijk zal dit laatste maar zeer zelden het geval zijn, aangezien dit binnenkomende malware veel meer mogelijkheden biedt.