Har en ukendt iransk hacker adgang til at sende opdateringer til alle verdens Windows-computere? Den såkaldte Comodo-hacker hævder i en besked at han har knækket Windows Update og nu er i stand til at forfalske opdateringer. Hackeren er trængt ind hos hollandske Diginotar i juli og har blandt andet genereret falske Microsoft-certifikater.
Microsoft afviser dog at det skulle være muligt for hackere at manipulere Windows Update. Den danske sikkerhedsekspert Peter Kruse fra CSIS er også skeptisk. Han henviser til, at det kræver mere end blot et forfalsket certifikat. Hackeren skal også være i stand til at lokke sit offer ind på en falsk server.
"Der er forskellige forhold som skal være til stede for at det vil kunne lade sig gøre. Allerførst må vi antage at Comodo-hackeren rent faktisk er i stand til at udstede et falsk Microsoft certifikat. Dernæst skal man være i stand til at placere sig imellem ofret og den rigtige Microsoft server for at kunne flytte trafikken til den falske server. Og den del er indlysende den besværlige for en it-kriminel," siger Peter Kruse til ComON.
Det menes at hackeren har fået fat i op mod 500 falske certifikater hos Diginotar, som nu er slettet fra listen over troværdige certifikat-udstedere hos stort set alle leverandører af operativsystemer og browsere - undtagen Apple. De hollandske myndigheder har overtaget kontrollen over selskabet, der angiveligt har sløset med sikkerheden.
Men problemet ligger måske i selve certifikat-systemet, hvor der er hundredvis af udstedere over hele verden.
"For at forstå hvad man kan med et certifikat er det vigtigt at man forholder sig til hvorfor de udstedes. Dels skal de kunne bekræfte at indhold kommer fra den ønskede kilde og dels tilbydes der krypterting af indholdet. Men som tidligere nævnt kan man ikke bare skubbe opdateringer ud uden at være i stand til at manipulere trafikken mellem ofret og serveren og det er selvom Comodo-hackeren påstår at han har teknisk indblik i Windows Update protokolen herunder hvordan XML via SSL behandles samt det centrale "WinVerifyTrust" API der bekræfter at indholdet er legitimt," siger Peter Kruse.
Han understreger at hackerne skal kunne flytte trafikken fra et punkt til et andet og det forudsætter at de kan placere sig imellem den rigtige Windows Update server eller flytte trafikken.
