Slechte beveiliging Windows Update schokt experts
Experts hebben geschrokken gereageerd dat Microsoft voor Windows Update geen aparte certificaten gebruikte, waardoor het Flame-virus zich uiteindelijk wist te verspreiden. De aanvallers achter het geavanceerde spionagevirus wisten via de Terminal Server Licensing Service en een collission-aanval een certificaat te genereren waardoor het Flame-virus van Microsoft afkomstig leek.
De aanvallers konden zo binnen een netwerk het Flame-virus verspreiden door het als een update voor Windows Update aan te bieden. Windows Update installeert alleen software met een geldig Microsoft-certificaat, waar Flame over beschikte.
"Windows Update had een geheel andere certificaat stream dan de rest moeten gebruiken", zegt Andrew Storms van beveiligingsbedrijf nCircle. "Het is gewoon veel te belangrijk om met een andere certificaatketen verbonden te zijn. Voor alles wat Microsoft heeft gedaan om de beveiliging te verbeteren, ben ik behoorlijk verrast dat ze dit niet als aanvalsvector hebben beschouwd."
Update
Microsoft kondigde aan dat het aanpassingen aan Windows Update gaat doorvoeren om herhaling te voorkomen, maar volgens Storms is dat niet voldoende. "Het Windows Update team moet in meer detail uitleggen wat ze gaan doen om het probleem op te lossen. Tot dan denk ik dat veel mensen wel twee keer zullen nadenken over de veiligheid van Windows Update."
Experts zijn wel te spreken over het snelle handelen van Microsoft met het uitbrengen van de noodpatch die het door Flame gebruikte certificaat intrekt. "Je kunt goed zien aan wat Microsoft heeft gedaan dat ze dat dit zeer belangrijk vinden", zegt Wolfgang Kandek van Qualys. "Ze hebben de patch op zondag uitgebracht, ook al is patchdinsdag amper een week verwijderd."
Ik ga ervan uit dat ze met zo'n "certificate stream" doelen op de lijnen waarin CA's elkaar vertrouwen. Daarin kan natuurlijk nog een extra risico zitten voor zo'n geval waar één van de CA's niet te vertrouwen blijkt te zijn (denk aan DigiNotar).
Maar zolang je een onveilige hash-methode blijft gebruiken, is dat volgens mij verreweg het grootste risico...
Soms worden de meest logische dingen jaren over het hood gezien, gevalletje human error.
Niveautje 'zie je wel'.
Soms worden de meest logische dingen jaren over het hood gezien, gevalletje human error.
Als niemand mij ziet, ben ik er niet?
Vreemde redenering...
Soms worden de meest logische dingen jaren over het hood gezien, gevalletje human error.
Gedurende die 7 jaar is het, praktisch gezien, geen probleem geweest.
Lekken zijn pas een probleem als deze worden gevonden.
Zie bijvoorbeeld het lijste van SirDice:
Vijf jaar oude bug:
http://www.theregister.co.uk/2010/08/19/linux_vulnerability_fix/
6 jaar oude bug:
http://www.networkworld.com/community/blog/linux-finally-fixes-six-year-old-critical-bug
13 jaar oude bug:
http://it.slashdot.org/story/11/06/20/2257229/13-year-old-password-security-bug-fixed
14 jaar oude bug:
http://phoronix.com/forums/showthread.php?26128-Linux-2-6-36-rc5-Kernel-Released-Fixes-14-Year-Old-Bug
25 jaar oude bug:
http://www.osnews.com/story/19731/The-25-Year-Old-UNIX-Bug
ik opa van 60 jaar had je dit ook wel kunnen vertellen en dan heb ik geen verstand van software schrijven
de groeten uit r-dam wat een sukkels.ms exp...
Gedurende die 7 jaar is het, praktisch gezien, geen probleem geweest.
Lekken zijn pas een probleem als deze worden gevonden.
Als er een lek is, is het een kwestie van tijd eer die gevonden wordt. En wanneer die gevonden wordt is het nog de vraag of het lek aan de grote klok wordt gehangen.
Het is niet omdat het PHP-lek al 7 jaar bestaat dat het effectief 7 jaar onopgemerkt is gebleven. Als een onethisch persoon of organisatie een lek vindt en beslist het te misbruiken of te verkopen ipv het lek te melden kan het lang duren eer dit "opgemerkt" wordt.
"Onopgemerkte" lekken worden voor grof geld verkocht en worden pas ingezet als er een grote slag geslaan kan worden.
Ik geloof dat het certificate issue van Windows Update al een tijdje 'bekend' geweest was, men heeft gewoon eerst een stevig plan uitgedokterd om hier optimaal gebruik van te maken en is met Flame op de proppen gekomen.
Hoe wordt een lek "opgemerkt"? Ofwel wordt het lek gemeld, ofwel wordt het misbruik ervan ontdekt, en dan nog moet het gemeld worden.
Had de hash dump van LinkedIn niet op Pastebin gestaan was ook dat lek nog even "onopgemerkt" gebleven.
Soms worden de meest logische dingen jaren over het hood gezien, gevalletje human error.
Gedurende die 7 jaar is het, praktisch gezien, geen probleem geweest.
De fout bestond wel.
Het effect werd niet ervaren.
Noem je nu de fout of het effect 'het probleem'?
Soms worden de meest logische dingen jaren over het hood gezien, gevalletje human error.
Gedurende die 7 jaar is het, praktisch gezien, geen probleem geweest.
De fout bestond wel.
Het effect werd niet ervaren.
Noem je nu de fout of het effect 'het probleem'?
Ik bedoel met "probleem" het moment dat kwaadwillenden een lek vinden en/of misbruiken.
Zolang niemand een lek heeft opgemerkt, kan niemand het lek misbruiken en heeft niemand nadelige gevolgen.
Kortom, zolang niemand een lek heeft opgemerkt, is het lek praktisch gezien geen probleem.
Je hebt ook niks aan een tv/gsm of wat dan ook als die na een tijdje door een fabrieksfout niet meer werkt?
Nu kun je natuurlijk redeneren dan je niet ELKE fout kunt ontdekken in software, maar laten we wel wezen, MS heeft niet de naam de klanten (het "gewone volk") als een waardig personen te beschouwen.
Bedrijven en wat grotere bedrijven helemaal, zorgen voor de correcties bij MS, niet jan of piet die leuk met de pc proberen te werken.
En het feit dat er wat experts zijn die af en toe een steentje bijdragen om de kwaadwillenden wat tegen te gaan, zegt meer over het feit het product niet echt goed getest is, EN dus fouten heeft, en zal blijven hebben.
Ik ben niet anti MS, mijn inkomen hangt af van het feit dat ze fouten blijven maken en geen goed uitleg aan de gebruiker geven, maar als de OS een auto was, was deze al lang niet meer op de weg te zien geweest.
Laten we daarover elkaar als volwassen professionals elkaar wel eerlijk in de ogen kijken.
Gegroet,
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
