Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 54 reacties, 38.750 views •

Microsoft heeft een tool vrijgegeven, waarmee Windows dagelijks checkt of certificaten zijn vervalst. De tool moet voorkomen dat malware als Flame, dat zichzelf kon signen met vervalste certificaten, als legitieme software wordt gezien.

De tool wordt verspreid in de maandelijkse ronde patches van Microsoft. Tot aan deze update worden gegevens over mogelijk vervalste certificaten alleen verspreid via Windows Update, maar deze tool downloadt elke dag de Disallowed Certificate Trust List op servers van Microsoft. De tool werkt alleen op Windows 7, Vista, Server 2008 en Server 2008 R2.

Door de lijst automatisch te updaten moeten certificaten sneller worden ingetrokken als blijkt dat deze vervalst kunnen zijn. Ook certificaten met zwakke encryptie, zoals met rsa-sleutels met minder dan 1024 bits, worden automatisch geblokkeerd. De maatregel volgt kort op het bekend worden van de malware Flame, een Trojaans paard dat deze week gelinkt werd aan Stuxnet en dat misbruik maakt van verouderde certificaten van Microsoft zelf. Microsoft zet de tool online vlak na een vorige update, om te voorkomen dat malware zich nog eens kan voordoen als legitieme Windows-software.

De tool zou ook van pas zijn gekomen in de Diginotar-affaire, toen bleek dat certificaten van het Noord-Hollandse bedrijf na een hack niet meer konden worden vertrouwd. Ook toen moesten gebruikers een update doorvoeren om ervoor te zorgen dat hun Windows-installatie de certificaten niet langer vertrouwde. Flame zou het vooral hebben voorzien op computers in het Midden-Oosten.

Reacties (54)

Netjes,is deze tool dan net zoiets als de malicious removal tool, ofwel komt er weer een extra gedeelte te draaien onder services?
Het blijft symptoom bestrijding. Tegen alle nog niet ontdekte valse certificaten ben je nog steeds niet veilig. Het houdt een hele industrie bezig, maar eigenlijk zegt het zoiets als: kijk eens hoe hard wij aan het blussen zijn. Maar ondertussen staan de gebouwen wel steeds in brand. De brand wordt er niet mee voorkomen.
Dat is het natuurlijk ook vaak als het security gaat. Vaak worden kwetsbaarheden gevonden waarvan men eerder nog niet op de hoogte was. Het blijft in veel gevallen reageren op.
Microsoft kan natuurlijk ook niets doen of heel laks reageren, dan zou ik toch eerder kiezen voor deze oplossing waarbij ze in ieder geval een bijdrage leveren en een poging doen.
Als er in Windows jaarlijk 2,5 mijoen stuks nieuwe malware worden ontdekt, hoeveel nog niet ontdekte zullen er dan op elk moment aan het inbreken zijn?
Dat geldt voor andere OS-en, hoewel wellicht in midere mate, ook.
Voor OSX lijkt het nu ook te gelden en ook Android heeft er als populairste mobiel OS ook last van.
Onder windows wordt het hardst gedweild van alle systemen, maar dat is ook om het het hardste lekt van alle systemen. Op de Apple werden in 2009 iets van twintig malware ontdekt, op alle Linux distribuities iets van 60, op Windows 1 miljoen (2,5 miljoen in 2011).
Hilarisch. De bron waar je naar verwijst gaat niet alleen over Windows, maar over alle soorten malware, virussen dergelijke in het algemeen op alle OS-en en platformen.
Daarbij was de 2.5 miljoen een geschatte waarde voor het gehele jaar en niet alleen voor Windows.

De rest van je post is wederom allerlei complottheorieen over Microsoft welke je maar blijft herhalen zonder ook maar een keer met echte feiten en bronnen te komen.

[Reactie gewijzigd door Vexxon op 13 juni 2012 15:40]

Jij noemt het complot theorieŽn. Dat is onjuist, een complot theorie handelt over een samenzwering met het duistere doel om een bestuur omver te werpen en de macht over te nemen. De bekende verhalen over new world order, illuminati etc.

Wat ik vertel is gewoon realiteit. Als je je eens wat breder zou oriŽnteren en ook de geschiedenis zou bestuderen dan zou je weten dat criminelen, minder ethische bedrijven en overheden spionage bedrijven, afluisteren enz. Maar kennelijk leef jij in een grot en weet jij weinig van de werkelijke wereld. Het sprookje van Roodkapje maar dan zonder de boze wolf.

En nee het geldt niet voor alle systemen, dat is het verhaal dat MS ons wil doen geloven omdat ze moeilijk toe kunnen geven dat hun systeem zoveel onveiliger is dan anderen. Zo doen ze hun uiterste best om Android als onveilig voor te stellen, dat mag relatief zo zijn, maar vergeleken bij Windows is dat zeker niet zo. Zeggen dat alle systemen onveilig zijn, alle mensen egoÔsten, dat is nu juist complot denken: overal dreigt gevaar, niemand is te vertrouwen! En dat is niet zo. Maar zoals de waard is ... In dit sprookje wordt Roodkapje zelf de wolf.

Structurele veiligheid wordt niet verkregen door patches, virussen dweilen, nieuwe tooltjes uitbrengen enz. Als dat zo was dan zou na al die jaren van updaten en patchen we nu een superveilig systeem moeten hebben, met alle gaatjes netjes dicht gestopt.

Gek genoeg kan er ook een commercieel belang in zitten. Neem bijvoorbeeld Carglass. Dat repareert ruiten tegen absurd hoge prijzen. Zo duur dat andere ondernemingen dachten: Wij kunnen dat best voor de helft van de prijs, dat is voor iedereen een win-win situatie. Lagere schade-uitkering voor de verzekeraar, lagere premie voor de klant, en leuke winst voor ons.

Tot hun verbazing weigerde de verzekeringsmaatschappijen hun klanten om de schade te vergoeden. Zodat klanten wel gedwongen worden om naar Carglass te gaan. Volkomen irrationeel zou je denken. Dat is niet zo. Hoe groter de schade, hoe eerder mensen er een verzekering voor gaan afsluiten, en hoe groter de bedragen, hoe groter de winsten. Ofwel de verzekeringsmaatschappij heeft belang bij grote schadebedragen.

En zo wordt ook MS imago niet direct beschadigt door steeds nieuwe tools en beveiligingsmaatregelen uit te brengen. Zoals ook een minister die meer agenten op straat laat lopen van alle kanten applaus krijgt. Mensen denken nu eenmaal niet verder dan hun neus lang is en daar wordt graag misbruik van gemaakt. Het gaat tenslotte om de hoogste waarde van bedrijven als MS: geld.

[Reactie gewijzigd door Magalaan op 13 juni 2012 16:15]

Dat is misschien jouw definitie van een complottheorie, die van wikipedia is anders.
Een complottheorie of samenzweringstheorie is een theorie die buiten de gangbare hypothese voor de verklaring van een waarneming treedt, en in plaats daarvan stelt dat de waarneming een gevolg is van manipulaties door twee of meer mensen, geheime diensten, of andere samenspanningen.
...
Zo'n "complottheorie" is dan slechts een verdenking van ondergrondse activiteiten, zonder voldoende bewijs.
MS heeft een speciale afdeling bij de NSA, ongetwijfeld om samen backdoors in te bouwen.
Het tweede gedeelte van je zin noem ik een theorie, want een feit is het duidelijk niet en ook geen realiteit. Daarbij werkt Google ook samen met de NSA.
Wat ik vertel is gewoon realiteit. Als je je eens wat breder zou oriŽnteren en ook de geschiedenis zou bestuderen dan zou je weten dat criminelen, minder ethische bedrijven en overheden spionage bedrijven, afluisteren enz. Maar kennelijk leef jij in een grot en weet jij weinig van de werkelijke wereld. Het sprookje van Roodkapje maar dan zonder de boze wolf.
Wederom hilarisch hoe jij altijd denkt de enige te zijn die de wijsheid in pacht heeft en als enige beschikt over de ultieme waarheid. Iedereen die er anders over denkt dient zich beter te verdiepen in de materie, want die heeft het immers per definitie bij het verkeerde eind. Wat een arrogantie.
Ik ontken nergens dat dergelijke praktijken er niet zijn en ben ook zeker niet zo naÔef om te denken dat ze er niet zijn. Als er geld te verdienen valt zijn mensen tot de meeste verachtelijke dingen in staat.
Zo doen ze hun uiterste best om Android als onveilig voor te stellen.
Geef mij een bron waar iemand van Microsoft stelt dat Android onveilig is. Alvast bedankt.
In de bron waar je zelf naar verwijst in je eerst post wordt Android ook regelmatig genoemd.
Zeggen dat alle systemen onveilig zijn, alle mensen egoÔsten, dat is nu juist complot denken: overal dreigt gevaar, niemand is te vertrouwen
Ehm waar zeg ik dat?
Ik zeg nergens dat alle systemen onveilig zijn, ik zeg dat alle systemen wel kwetsbaarheden zullen bevatten dat is niet per definitie onveilig.
Je legt me dus woorden in de mond die nergens op slaan.
Structurele veiligheid wordt niet verkregen door patches, virussen dweilen, nieuwe tooltjes uitbrengen enz.
Wat is dan precies het alternatief? Niets doen? Dat lijkt me niet echt een goeie oplossing.
Het gaat tenslotte om de hoogste waarde van bedrijven als MS: geld.
Kun je me een bedrijf noemen waarvoor dat niet geldt?
Bedrijven zijn nou eenmaal commercieel, we leven in een over het algemeen kapitalistische wereld. Zelfs in het communistische China zijn ze kapitalistisch te noemen tegenwoordig.

[Reactie gewijzigd door Vexxon op 13 juni 2012 17:19]

Begrijpend lezen is natuurlijk lastig of quote je me bewust verkeerd:
MS heeft een speciale afdeling bij de NSA, ongetwijfeld om samen backdoors in te bouwen.
Het tweede gedeelte van je zin noem ik een theorie,

Het tweede gedeelte van je zin is dus;
ongetwijfeld om samen backdoors in te bouwen
.
Dat is de complottheorie.
NSA is een organisatie die maar een doel heeft, informatie verzamelen. Zo is bekend geworden dat ze alle email verkeer van de wereld aftappen en scannen op interessante informatie. Daarbij werden offertes van Airbus door gespeeld aan Boeing.

Dus vertel mij nu een eens, wat MS met zijn speciale afdeling binnen de NSA doet. Even logisch nadenken. Waarom is die afdeling binnen de NSA ondergebracht? Waarom binnen hun vier muren? Wat ze doen kan kennelijk het daglicht niet verdragen. Dat mag beslist niet naar buiten komen.

En wat zou dat dan kunnen zijn? Weer even logisch nadenken. Ze willen informatie en er is geen betere informatiebron denkbaar dan direct in computers kunnen kijken. Zouden de Amerikaanse geheime diensten zoiets gemeens doen? Weer even nadenken, ze vermoorden mensen zonder proces, ze martelen, maar een backdoor inbouwen zou ze te ver gaan? Dat zou tegen hun principes zijn?

En nu dan MS een bedrijf dat miljarden boetes heeft gekregen wegens gebruik van onderhandse onwettige middelen zoals producten van concurrenten in hun systeem saboteren, bedrijven chanteren om producten van anderen te weren, of eigen producten te voeren enz. Zouden die met de NSA willen samenwerken als ze daar in ruil bijv. lucratieve defensie opdrachten zouden krijgen? Of komt hier het geweten van Bill Gates en Steve Balmer in opstand?

Jij mag het allemaal beantwoorden, ik zeg niks. Ik hoor graag jouw visie.

En Google? Die heeft zelf naar buiten gebracht dat ze onder voorwaarden ook informatie aan de NSA moeten afstaan. Dat ze het naar buiten brengen is al veelzeggend, want daarmee zetten ze de VS wel te kakken en dat is geen info die VS graag rondbazuint. Google wil dat wij er van weten. Het lijkt me niet dat Google daar vrijwillig aan meewerkt en ook meer zal doen dan ze door de wet verplicht kunnen worden. Googles openbaarmaking is ook een waarschuwing aan de regering om niet al te veel druk uit te oefenen. Regeringen willen zoiets nu eenmaal stil houden.

Denk ook niet dat de Amerikaanse regering de corporaties aan een touwtje heeft, maar eerder andersom. Anders had Kodak ook niet jarenlang in een geheime kerncentrale uranium zitten opwerken buiten alle controle-instanties om. En dan zouden corporaties ook geen dingen kunnen in en uitvoeren buiten de douane om. Als alle directeuren van de CIA eerst bankdirecteur op Wallstreet zijn geweest zal dat ook wel geen toeval zijn.

Dus vertel mij maar waar ik het verkeerd zie?

Waar zit dan de conspriratie theorie? Wie zweert er dan tegen wie samen? Of geloof jij niet dat de VS geheime diensten hebben, want dat zou samenzweren tegen het buitenland zijn? En dat doet de VS niet? In bos van Roodkapje leeft geen wolf, alleen maar lieve biggetjes?

Vertel mij dan waarom een land als de VS wel miljoenen onschuldige burgers ombrengt in Vietnam, Irak, Afghanistan, maar backdoors te onetisch zou vinden om te overwegen. Zoiets als: we willen terroristen wel pakken maar wel op een eerlijke, faire manier, zoals met een drone op een auto schieten, wel jammer dat zijn vrouw en kinderen er ook in zaten. Maar backdoors doen we niet. Daar trekken we de grens, dat zijn conspiratie theorieŽn.

Ik ben benieuwd naar jouw verklaringen

[Reactie gewijzigd door Magalaan op 13 juni 2012 21:06]

Denk je echt dat alleen de VS aan complotten met software- en hardware-ontwikkelaars doet? En denk je echt dat alleen Microsoft daaraan ten prooi valt? Je schopt nu steeds tegen hen aan alleen de werkelijkheid is veel lelijker: als bedrijven als Microsoft, Apple of Google niet meewerken met de (Amerikaanse) overheid lopen ze contracten mis. En geloof mij: geld verwaterd alle ethiek. Het is echt super-naief om te denken dat dit alleen voor Microsoft zo werkt.

Vergeet je aluminium hoedje niet bij het schrijven van je reactie.
De rechter heeft helemaal niet bepaalt dat Google een beter offerte heeft ingedient maar enkel dat de wijze waarop deze was toegekent niet rechtmatig is!
Ik ben benieuwd van jouw idee van een complot. Zonder wiki er bij te pakken is volgens mij een complot gabaseerd of aannames en vernemingen dat een partij bestaande uit 2 of meer onafhankelijke organisaties. Waaronder je ook personen kan schuilen zich inzetten om een andere organisatie of perso(o)n(en) buiten te sluiten of te schaden.

Dus je beschrijving over dat de NSA offertes van airbus door speelt naar boeing is een complot theorie.

Daarnaast werken veel software bedrijven groten deels samen met regeringen of onderdelen hiervan. Om vooral schade te voorkomen. Tuurlijk zal er mogelijk buiten het zicht besprekingen zijn en deze geclaifiseerd worden als geheim. Maar zolang jij niet weet wat er besproken is kan je er alleen over filosoferen en mogelijk daar een complot theorie uit verzinnen.

Daarnaast is MS echt niet van plan om zijn omgeving onveilig te maken zodat mogelijk een regering mee kan kijken. Ik weet niet of je ooit onder de user groups heb gekeken. er zijn een aantal default users op elke windows machine te zien. Deze users worden door MS gebruikt voor support en ondersteuning. Mogelijk kunnen ze er meer mee dan jij en ik weten. Maar MS heeft nooit onder banken of stoelen geschoven dat zij nooit op een computer zouden kunnen meekijken.

Daarnaast lijkt het mij duidelijk dat niet alleen MS software fouten bevat die mogelijk tot exploits kunnen worden leiden. Laat ik het zo stellen. Indien iets populair is, zoals voetbal nu zal iedereen geld er aan proberen te verdienen. Kijk naar alle etalages. Zelfde geld voor de computer industrie.. Als iedereen een bepaald software pakket gebruikt zullen veel personen proberen in te breken om zo geld te kunnen verdienen of iets te ontregelen. voor de kik of het geld.
Ah moeilijke analogie :). In zekere landen heb je ook het risico dat de eigenaar je gewoon over hoop schiet nl.

Hier vragen ze gewoon aan je wat je wilt, alla "Hallo, ik kom de televisie meenemen. U kunt mij met geweld stoppen, klaag ik u aan, ga ik alsnog vrij uit, of u bent de politie en ben al lang weg".
Nou ja netjes... Ben niet geheel op de hoogte van certificaten, maar volgens mij is die CRL (Certificate Revocation List) er niet voor niks... Checked hun software die dan niet ofzo?

http://en.wikipedia.org/wiki/Certificate_revocation_list

Staat wel bij problemen o.a. dat om te controleren dat je online moet zijn (en de CRL service moet beschikbaar zijn uiteraard), maar die dagelijkse check met deze tool zal toch ook internet nodig hebben.

Het doet mij iig afvragen of hun CRL bijhouden...
CRL is geen MS uitvinding, dus zullen ze het wel niet ondersteunen. MS moet en zal overal altijd een eigen versie van hebben.
Microsoft probeert hiermee waarschijnlijk ook vervalste certificaten tegen te houden die het in de toekomst mogelijk maken om een gekraakte Windows 8 installatie te gebruiken i.c.m. secure-boot.
zolang de tool zelf niet een bron van ellende wordt een aardige tussenoplossing.
Ik neem aan dat er goede checks in deze tool zitten om een exploit erg lastig te maken, maar dat is dan wel een kwetsbaar onderdeel.
Er zit geen enkele check in deze tool, hij download gewoon elke dag een blacklist ipv dat die blacklist elke maand meegestuurd wordt via Windows Update, that's it. Niet fancy maar mogelijk wel effectief
Ik denk dat Microsoft deze tool al aan het ontwikkelen was sinds die Diginotar affaire.
Het lijkt me sterk dat ze die nu even vanwege flame in elkaar geflanst hebben
De Diginotar affaire was de fout van Diginotar zelf, terwijl Flame zichzelf verspreide via Windows Update, en het daardoor Microsoft zijn verantwoording is dit op te lossen/te voorkomen in de toekomst.. Denk toch dat Microsoft dit daarom niet zomaar even in elkaar geflanst heeft, en er echt wel prioriteit aangegeven is.
terwijl Flame zichzelf verspreide via Windows Update
Nee, flame verspreide zich niet via windows update. Flame gebruikt een MITM aanval om gecertificeerde update executables te verspreiden alsof die vanuit Windows update zouden komen. Dat is geen simpele methode om malware updates te verspreiden.

[Reactie gewijzigd door hAl op 13 juni 2012 09:43]

Als ik goed lees wat het programma doet, dan zie ik geen reden dat ze er al sinds Diginotar aan gewerkt zouden moeten hebben. Zoveel stelt het niet voor toch? :)

Het zorgt er gewoon voor dat de lijst met ingetrokken certificaten dagelijks gedownload wordt in plaats van te wachten op Windows Update. Niet echt bijzonder maar wel een eenvoudige manier om damage control te doen. De kans dat een machine een dag niet online komt is een stuk groter dan dat een machine een maand niet online komt.
En het volgende virus schakelt eerst deze tool weer uit, en pakt dan een certificaat. Kat vs. muis.
Ja want zo werkt het. Allemachtig wat een niveau.
Is deze oplossing geen symptoombestrijding?
Aan gezien je blijkbaar kan faken dat je DE windows update server bent?
Aan gezien je blijkbaar kan faken dat je DE windows update server bent?
Zo eenvoudig is dat niet.
Een dergelijke aanval zou naast gekraakte certificaten ook een complexe MITM aanval vereisen

[Reactie gewijzigd door hAl op 13 juni 2012 08:22]

Hoewel je gelijk hebt dat dit symptoombestrijding is, is het wel op korte termijn de beste oplossing. Het gehele systeem is gebaseerd op vertrouwen en dus kan je dit alleen maar voorkomen met een geheel ander systeem.

Let wel, de certificaten van Windows Update zijn nooit gekraakt, maar 'n certificaat van Microsoft wel. Hierbij konden de makers van Flame doen alsof het product een geldige update was en bovenal een geldige executable. Om de update in je systeem te krijgen wordt er gebruikgemaakt van een vrij complexe 'man-in-the-middle' aanval, waarbij de update enkel geÔnjecteerd wordt tussen de 'echte' updates. Je bent dus echt verbonden met de Microsoft server, alleen verloopt de stroom van data via een derde partij. Dit lukt omdat deze derde partij (een geÔnfecteerde computer op jouw netwerk) zich voordoet als een proxy.
De werking van dit is mij bekent.
En dat het complexe MITM aanval vereisen, maakt niet uit. Het is erg intressant om tussen de client en de WUS te zitten.

Ik vind het eng, dat men dus blijkbaar een MITM aanval kan doen op zoiets belangrijks als windows update. Hoe kan de "gebruiker" nu weten of die alleen met de echte WUS spreekt of niet.

Nu blijkt dat dit dus mogelijk is, zullen meerdere mensen technieken gaan ontwikkelen om dit ook te kunnen doen.
Ik zie zo de impact niet, maar je hebt 2 lijsten. Disallowed en allowed. Ik durf te wedden dat heel veel bedrijven in de problemen komen met hun eigen self-signed root certificates. Je staat immers niet op de lijst.
Volgens het knowledge base artikel is er reeds een lijst van untrusted certificates afkomstig van trusted authorities (de standaard CRL) en wordt dat nu uitgebreid met een lijst van untrusted certificates van untrusted authorities.

Een self-signed root certificate komt dus alleen in de problemen als Microsoft het expliciet op de lijst zet, wat zelden het geval zal zijn. Bedrijven met self-signed roots certificates hebben dus niks om zich zorgen over te maken.
Al mensen die deze update in hun organisatie hebben getest? Volgens mij kun je inderdaad problemen krijgen met self-signed certificates. Ik ben nog een beetje huiverig om deze direct uit te rollen. Voor door deze regel:
Ook certificaten met zwakke encryptie, zoals met rsa-sleutels met minder dan 1024 bits, worden automatisch geblokkeerd

[Reactie gewijzigd door StefanvanGelder op 13 juni 2012 08:13]

Ik ga deze update sowieso blokkeren als dat kan, ik vind de maandelijkse update via wsus prima.
Met diginotar hebben we ook een tijd doorgedraaid met foute certificaten. Je kan moeilijk tegen honderden gebruikers zeggen ja, sorry, je kunt je werk niet meer doen want we hebben een update geÔnstalleerd, ze werken aan nieuwe ceritificaten maar die komen pas over drie maanden.
Wat ik niet snap is waarom deze 'tool' een tool is en niet standaard onderdeel in Windows. (en dan wellicht configureerbaar in tijd van een uur tot max. een week?)

Wat mij niks zou verbazen is dat deze tool o.a. door de Diginotar affaire ontwikkeld is en nu versneld is afgemaakt en uitgebracht door Flame.
Wat ik niet snap is waarom deze 'tool' een tool is en niet standaard onderdeel in Windows
Dat was in feite al een standaard onderdeel van Windows. Windows Update verzorgde die functionaliteit.

[Reactie gewijzigd door hAl op 13 juni 2012 08:24]

Omdat tijden veranderen, nieuwe manieren worden bedacht om zwakheden op te sporen. MS is geen toekomstvoorspeller.
Checkt deze tool ook ofdat je illegale software op je computer hebt staan? Omdat Security Essentials dat ook doet.
Nee, het controleerd of de software gesigned is met een gestolen certificaat.
dit kan nog eens leuk worden, dus windows7Loaders en dergelijke pakt die aan ?
Wat heeft dat met certificaten te maken?

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True