image

Microsoft: controleer hashes Windows updates

woensdag 14 november 2012, 11:38 door Redactie, 7 reacties

Om de authenticiteit van Windows updates te garanderen, voorziet Microsoft elke update van een hash. Een soort digitale handtekening waarmee gebruikers het gedownloade bestand kunnen controleren. Wijkt de hash van het gedownloade bestand af van de hash die Microsoft geeft, dan kan het zijn dat een aanvaller de update heeft aangepast. Microsoft voorziet alle beveiligingsupdates van een SHA1- en SHA2-hash.

Via de Windows Powershell en .Net Cryptographic Services is het eenvoudig om de hash van Microsoft updates te controleren, zoals Dustin Childs van Microsoft Trustworthy Computing in deze blogposting demonstreert.

Volgens Childs vinden de meeste mensen het niet nodig om de hashes te controleren, aangezien dit ook al door de automatische update-functie wordt gedaan. "Toch blijven we de lat verhogen als onderdeel van onze continue drive om defense-in-depth-maatregelen te beoordelen en verbeteringen door te voeren."

Reacties (7)
14-11-2012, 11:56 door Anoniem
Als Microsoft zijn eigen software en updates al niet kan garanderen, wie dan wel ?
Dit is de wereld op z'n kop. Zorg nu eens voor een beter, stabieler, sneller en veiliger Windows !!
Is het nu zo moeilijk om goede software te ontwerpen en te implementeren ? Misschien snappen ze bij Microsoft hun eigen OS en applicaties niet meer.
14-11-2012, 11:59 door 0101
Of je downloadt de update met Firefox en plakt de hash in de DownThemAll! (http://downthemall.net) download manager, dat kan ook.
14-11-2012, 12:09 door N4ppy
Moet je dat wel op een andere machine/netwerk doen om zeker te weten dat de hash die je ziet inderdaad de juiste is.
En de hash op een schone machine bekijken of de hash die je ziet is niet de hash
14-11-2012, 12:09 door Anoniem
Het is ook niet nodig om een hash te controleren die al gecontroleerd wordt, de uitkomst is echt niet anders. Zoals ik de blog interpreteer is het punt ook niet om mensen te bewegen het voor extra veiligheid handmatig te doen, maar om aanschouwelijk te maken wat er gebeurt. Die indruk heb ik onder meer omdat de voorbeeldscripts de hashes helemaal niet controleren maar alleen hashes berekenen die je kennelijk visueel moet gaan zitten controleren. Dat is omslachtig en onbetrouwbaar, leuk om iets aanschouwelijk te maken maar niet meer dan dat.

Ik mis nog iets dat mij essentieel lijkt: de hashes zijn toch hopelijk wel digitaal ondertekend door Microsoft zodat je door de handtekening te controleren kan zien of de updates werkelijk door Microsoft aangemaakt zijn? In de blog blijkt dat nergens uit. Ik kan me eigenlijk niet voorstellen dat een bedrijf dat wel met secure boot begint te werken patches niet al sinds jaar en dag op die manier zou ondertekenen en aan de client-kant zou controleren, dat zou schokkend nalatig zijn.
14-11-2012, 12:57 door Anoniem
Zie je dat de huis tuin en keuken gebruiker al doen?
14-11-2012, 14:24 door AdVratPatat
Door Anoniem: Ik mis nog iets dat mij essentieel lijkt: de hashes zijn toch hopelijk wel digitaal ondertekend door Microsoft zodat je door de handtekening te controleren kan zien of de updates werkelijk door Microsoft aangemaakt zijn?
[sarcasme]Nee joh, we hebben het over de in-depth-security van MS... Voorbeeldje:
http://support.microsoft.com/kb/2761451[/sarcasme]


Automatisering? Ho maar. Sterker nog, als je de updates automatisch pusht, wordt er volgens mij geen hash gelezen.
Gerookt misschien... Wazige MS af en toe...
En het zou -IMHO- fijn zijn als eindelijk heel de MS-update functionaliteit gewoon eens wordt losgekoppeld van de IE-activeX-elementjes.

Mahja, hashes copy-pasten is óók leuk :]
14-11-2012, 14:54 door Anoniem
Leggen jullie mijn moeder even uit wat ze moet doen. Auto updates staan aan, secunia kan ze ook mee overweg, maar kom nou niet met het controleren van hashes aan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.