¿Cuál es el estado del certificado de Windows Update después de Flame?

Navega tus respuestas
4

28 de mayo , el malware The Flame se descubre en Irán y por Kaspersky Labs.

5 de junio , Dan Goodin (Ars Technica ) señala que Flame había secuestrado Windows Update, difundiendo malware firmado a través de ese canal.

17 de junio , Ryan Hurst argumenta que el certificado está defectuoso según los informes de Qualsys SSL Labs y es contrarrestado por Ivan Ristić que indica que "SSL Labs reutiliza el almacén de confianza de Mozilla", lo que (creo) significa que SSL Labs no puede hacerlo correctamente critique los sistemas fuera del navegador, como WindowsUpdate.

Hoy en día, SSL Labs todavía no confía en el certificado.

Mis preguntas son:

  • ¿Está defectuoso el certificado de actualización de Windows (todavía?)?
  • ¿Se pueden usar los laboratorios SSL para calificar este servicio?
  • ¿Hay alguna razón para que WindowsUpdate admita SSL 2.0?
pregunta Henning Klevjer 20.10.2012 - 09:57
fuente

2 respuestas

3

Si lees la publicación del blog de Ryan Hurst (a la que te vinculas), encontrarás que contiene una serie de ideas erróneas. No confío en que todo lo que lea en esa publicación del blog sea correcto. En particular, la mayoría o la totalidad de las críticas en esa publicación del blog parecen ser inválidas.

Entonces, no, por lo que puedo decir, el certificado de actualización de Windows no es defectuoso.

No, SSL Labs no se puede utilizar para evaluar la seguridad de WindowsUpdate. Quiero decir, probablemente podría armar una forma de usarlo, pero eso sería un mal uso de SSL Labs: los resultados del informe pueden no ser aplicables, dado el funcionamiento de WindowsUpdate. Por ejemplo, Ryan Hurst está malinterpretando los resultados de los laboratorios SSL. SSL Labs está destinado a evaluar los servidores web públicos que están destinados a ser visitados por personas con su navegador web. WindowsUpdate no funciona de esa manera; No es un servicio web público. Más bien, la mayoría de las personas obtienen actualizaciones a través de un cliente dedicado que se ejecuta en su máquina y habla directamente al servidor de actualización de Windows. Los resultados de SSL Labs no son relevantes y pueden no ser precisos en ese contexto. Por ejemplo, la crítica de Ryan Hurst de que el certificado de actualización de Windows no se valida (con SSL Labs) simplemente representa una confusión sobre cómo funciona la actualización de Windows; no se espera ni se requiere que el certificado de actualización de Windows valide el uso de los certificados raíz de Mozilla, ya que solo el cliente de Windows Update necesita validar el certificado de raíz de actualización de Windows, y el cliente de Windows Update lo hace correctamente. WindowsUpdate nunca ha soportado Mozilla / Firefox. Así que esto es básicamente una crítica falsa.

No sé por qué el servidor de actualización de Windows admite SSL 2.0. Esa es una pregunta justa.

(Por favor, comprenda que las críticas de Ryan Hurst son ortogonales al ataque de la Flama. No están relacionadas. No estoy seguro de cómo se concentraron en esta pregunta).

    
respondido por el D.W. 22.10.2012 - 08:26
fuente
4

En resumen:

  • No, todas las CRL se actualizaron para revocar el certificado ofensivo y Microsoft tomó medidas para evitar que se emitieran nuevamente certificados basados en MD5.
  • Posiblemente, si usa un proxy para inspeccionar el tráfico. No estoy seguro de cómo harías para configurar esto. Sin embargo, puedes verificar manualmente el apretón de manos en Wireshark.
  • Tal vez. Todavía hay algunas reglas extrañas de exportación de cifrado en los EE. UU., Que SSL 2 podría ayudar a solucionar. También puede ser una cuestión de legado: apuesto a que todavía hay cajas antiguas de XP SP0 por ahí sin soporte SSL 3.
respondido por el Polynomial 20.10.2012 - 13:15
fuente

Lea otras preguntas en las etiquetas

¿Diferencia entre enmascaramiento y ataques de repetición? ¿Es una buena idea generar CRL específicos de certificados? ¿Cómo se llama esta técnica?