Después del revuelo generado alrededor de Diginotar, el robo de certificados y la cantidad de sitios web que se han visto comprometidos, el modelo de basado en las autoridades certificadoras de confianza se nos ha quedado algo cojo. Mientras tanto, el que sí ha salido de entre las sombras, aunque bajo un seudónimo, es el supuesto autor del robo, un hacker autodenominado Comodohacker y que además de confesar tener acceso a otras cuatro autoridades más de certificación, dice también que sería capaz de lanzar actualizaciones falsas de Windows.
Comentarios
Pues una actualización falsa con un troyano a todos los equipos de escritorio con windows sería una bomba para MicroSoft.
Le saldría más rentable al hacker y a Microsoft tener "conversaciones internas".
Ya, seguro que es verdad. Habla de SSL y demás, pero se le olvida como va a pasar el punto más complicado. Todos los clientes Windows tienen dos cláves públicas almacenadas, y solo instalaran software por windows update si vienen firmados por las claves privadas correspondientes.
Microsoft almacena esas dos claves (solo usa una de ellas, la otra de reserva). No es suficiente con suplantar windows update con un certificado SSL valido, necesitas adicionalmente esas claves secretas. Y no creo que se almacenen en máquinas con acceso a internet
ese farol solamente tiene una manera de demostrarlo. QUE LANCE LAS ACTUALIZACIONES FALSAS!
CON DOS WEBS!