Después del revuelo generado alrededor de Diginotar, el robo de certificados y la cantidad de sitios web que se han visto comprometidos, el modelo de basado en las autoridades certificadoras de confianza se nos ha quedado algo cojo y, posiblemente, a Diginotar le salga bastante caro este robo. Mientras tanto, el que sí ha salido de entre las sombras, aunque bajo un seudónimo, es el supuesto autor del robo, un hacker que se autodenomina Comodohacker y que además de confesar tener acceso a otras cuatro autoridades más de certificación, dice también que sería capaz de lanzar actualizaciones falsas de Windows.
Estoy en condiciones de lanzar actualizaciones de Windows. Las declaracioens de Microsoft acerca de Windows Update y de que no se puede lanzar una actualización de este tipo son totalmente falsas. He sido capaz de revertir todo el protocolo de actualización de Windows, cómo se leen los archivos XML a través de SSL, que incluyen la URL, el número de kilobytes, el hash SHA-1 de archivo para cada actualización, cómo se verifica que el archivo descargado haya sido firmado con Win VerifyTrust API y... ¡Simplemente podría lanzar actualizaciones a través de Windows Update! ¿Lo ven? Soy muy inteligente, fuerte, peligroso y poderoso, ¿no?
Dicho así, la amenaza más clara no puede ser. Según afirma en su comunicado, Comodohacker sería capaz de lanzar actualizaciones falsas y bajo su control, por tanto, estaría en condiciones de ocultar código malicioso en ellas. Pero, ¿es un farol o realmente podría pasar?
Microsoft comentó en su blog que era consciente de que algunos de los certificados falsificados afectaban a Microsoft.com, Windowsupdate.com y Update.microsoft.com, algo que los de Redmond atajaron eliminando a Diginotar de su lista de "confianza", algo que se aplicó a través de una actualización (tanto automática como manual). Por tanto, Microsoft considera que, tras esto, sus actualizaciones son seguras y, por tanto, Windows Update estaría protegido de cualquier amenaza:
Los atacantes no podrían aprovechar un certificado fraudulento de Windows Update para instalar malware a través de una actualización. [...] El cliente de Windows Update sólo instalará actualizaciones firmadas por el certificado de Microsoft, que es gestionado por la propia compañía, así que el servicio no puede estar en riesgo.
¿Farol o amenaza real? Por las palabras de Microsoft parece que todo se queda en un mero farol y, quizás, con este anuncio, se hayan apresurado a comprobarlo porque, en el hipotético caso de cumplirse la amenaza, no quisiera imaginarme las consecuencias.