El 'talon de Aquiles' de todos los Windows

[antheus]

Lo que expongo aqui es solo una informacion para sacar a la luz la razon de que windows no es seguro para su uso por los gobiernos ( a excepcion de los de Estados Unidos) y otros ambitos que requieran seguridad.

Existe una caracteristica que parece muy inocente en los sistemas windows, a partir de el uso masivo de internet Microsoft comenzo a integrar windows update en los sistemas windows, usa el puerto http seguro o el 443 para enviar informacion y recibir las actualizaciones.

Si alguien suplanta el servidor de windows update (toma su IP) puede enviar cualquier troyano o virus haciendolo pasar como una actualizacion de seguridad, por ejemplo, se podria tener el conjunto mas grande jamas soñado de 'zombies' para realizar un ataque DOS o poder acceder a los documentos de todos estos ordenadores.

Naturalmente es un servicio que puede ser deshabilitado y usarlo manualmente, pero con esto se esta expuesto a los errores que se reparan con las actualizaciones.

Salu2

[miguel86]

Si alguien suplanta el servidor de windows update (toma su IP) puede enviar cualquier troyano o virus haciendolo pasar como una actualizacion de seguridad.
Salu2

Si se utiliza https entonces no puedes hacerte pasar por el servidor de windows update puesto que no puedes usar el certificado al no tener la clave privada de éste.
Además, no puedes tomar la ip(falsificar) de ningún servidor y establecer conexiones http, en todo caso tomarías el nombre de dominio del servidor de windows update.

Lo veo más metiendo malware en un pc para que se al conectarse a windows update lo haga a otro sitio por que si no la verdad no entiendo como se puede realizar este ataque en internet...

Un saludo

[Cypress]

:O

y si alguien suplanta la de debian.com o openbsd o la de apple update ?

Como dice migue86, eso no pasa.. no se puede falsificar la direccion de IP, lo que si se puede con aquel ataque de kamikasi ( algo así se llamaba el muchacho ) hacer un dnspoisoning y redireccionar a otro lado..

Pero no solo windows update es vulnerable a eso.. sino cualquier sistema de reposiotorios que use dns para direccionar a direcciones de ip..

Saludos,
Cypress..

[miguel86]

Pero si se utiliza https da igual, no puedes suplantar al servidor.

[antheus]

Migue86, lo que yo te decia sobre la IP se basaba en colapsar el servidor de windows update y entrar un servidor 'fake' con la IP (con lo cual el servidor original no podria entrar) pero es muy elaborado.Utilizar DNSCACHEPOISONING es la opcion mas 'facil' puesto que redireccionas y puedes hacerlo.

Sobre la conexion https (puerto 443) es cierto lo que dices, pero tambien es cierto que no sabemos el trafico de datos que se producen hacia el servidor, habria que analizar mejor que hace y como la actualizacion de windows (aunque pienso que no es necesario poseer certificado alguno, si se usa el servicio de windows update y no actualizacion via web).

Salu2

[miguel86]

Migue86, lo que yo te decia sobre la IP se basaba en colapsar el servidor de windows update y entrar un servidor 'fake' con la IP (con lo cual el servidor original no podria entrar) pero es muy elaborado.
Salu2

Por mucho que se tire abajo o colapses el servidor original no puedes sustituir la ip de una máquina, la ip de una máquina es la que es la que corresponde a su red y si tu falsificas la dirección ip en los paquetes que mandes a la vuelta esos paquetes no te llegarán a ti llegarán a la red que corresponda, es como mandar una carta con el remitente falsificado, si vives en madrid puedes mandar una carta con remitente de una dirección falsa que corresponde a barcelona pero eso no significa que realmente vivas en barcelona y cuando se conteste a esa carta correos la llevará hasta barcelona. Lo mismo ocurre con la ip, por eso no puedes establecer una conexión http de esa manera.

De ninguna manera puedes tomar la ip del servidor de windows update, la ip de una máquina es la que le toque de acuerdo a su red y como se distribuya aunque en tus paquetes la falsifiques, además no tiene sentido lo de que "el servidor original no podría entrar".

Respecto a lo de htpps, da igual como se comporte el servidor o el cliente, en ningún caso puedes hacerte pasar por el servidor de windows update puesto que se utiliza https y por tanto un certificado digital, ni podrás ver nada de la comunicación si la recibes puesto que va cifrada, ni podrás hacerte pasar en internet por el servidor de windows update.

Sí hace falta certificado puesto que se utiliza https, que funciona sobre certificados digitales, no puedes analizar que hace ni saber el tráfico de datos puesto que va cifrado, sea actualización vía windows update o con el navegador por web es lo mismo, una conexión https, la cual se basa en certificados digitales.



Un saludo

[orfeos]

Bueno no se mucho de windows y por eso estoy en este foro, buenas a todos, el punto es seria absurdo usurpar el server de windows update ya que esto no nos serviria de casi nada, lo q si se puede es cambiar los dns y redireccionar al servidor creo q esto se llama fishing no se para mi es pinchar la red entre una maquina y un server cualquiera, no necesariamente tiene que ser con el windows update, y seria una lastima perder tanto tiempo tratando de pinchar una red cifrada jeje

[Marchi]

Por favor orfeo lee las normas antes de postear, este thread tuvo su ultimo post hace 8 meses y lo mismo con este otro http://foro.hackhispano.com/showthread.php?t=30385 que tiene mas de un año.

Saludos

[fl4ppo]

a ver .... desde mi punto de vista ... lo cual no digo tener la razon ... me parece que nada es imposible, puede ser extremadamente dificil e improbable ... pero posible es!!!