想讨论一下后门程序可否通过windows update进入用户系统。

a2120258

如题，想讨论一下，如果有人入侵了微软的更新服务器，将后门程序植入进去。那么windows 10这样的不能自主控制更新的操作系统，是否会因为自动更新而被后门入侵。以前江民杀毒软件的升级服务器被入侵植入了木马病毒，导致升级江民杀毒软件的用户都感染了木马病毒。那么操作系统的更新是否也有可能这样入侵呢？windows 10的自动更新还不能自主关闭，那么只要入侵windows update服务器就可以控制全球大多数电脑了。

风之咩~

既然前提是都已经能入侵微软了 不管是可行性还是技术手段当然都不是问题
不过你应该不是来讨论这个的 只是想说win10的不可控而已 那么你觉得微软和用户相连的只有更新通道么

a2120258

风之咩~ 发表于 2018-4-26 16:56
既然前提是都已经能入侵微软了 不管是可行性还是技术手段当然都不是问题
不过你应该不是来讨论这个的 只是 ...

感觉windows 10就是管的太多了，将用户完全傻瓜化，完全没有给用户应有的思考。像更新这些东西，完全是用户需要更新就更新，不需要更新，就没必要强求。毕竟用户自己的设备由用户自己管理，windows 10要是把自动更新，云服务，小娜语音，自带的杀毒软件之类的全部剔除出去，由用户自我选择是否需要，那么windows 10应该还算不错的操作系统。

a2120258

风之咩~ 发表于 2018-4-26 16:56
既然前提是都已经能入侵微软了 不管是可行性还是技术手段当然都不是问题
不过你应该不是来讨论这个的 只是 ...

我记得好几年前江民杀毒软件的升级服务器被入侵了，然后凡是升级杀毒软件的用户都被感染木马病毒。这个事情在当时闹的挺大的，2013年1月28号江民升级后全盘被感染木马病毒。现在网络上已经搜不到了。假如有一天微软的升级服务器被入侵，那么是否意味者黑客可以将开启自动更新的windows 10设备全部变成肉鸡呢？说实在的最讨厌windows 10的自动升级和云服务了。

ghostByWolf

a2120258 发表于 2018-4-26 18:08
我记得好几年前江民杀毒软件的升级服务器被入侵了，然后凡是升级杀毒软件的用户都被感染木马病毒。这个事 ...

能够干掉微软更新服务器的组织或个人,肯定可以通过其他方式攻击,控制个人的电脑,不用纠结这种想法...
再者 能够入侵微软服务器并替换掉正常的文件,而且数字签名认证通过的. 细思恐极
..不喜欢win10的那些组件的可以使用 网信版......

a2120258

ghostByWolf 发表于 2018-4-27 11:02
能够干掉微软更新服务器的组织或个人,肯定可以通过其他方式攻击,控制个人的电脑,不用纠结这种想法...
再 ...

这种做法确实可行的，记得2013年1月28日吗？黑客通过杀毒软件的升级服务器，大面积感染用户电脑。凡是升级的都被全盘感染，没有升级的或者没有使用那款杀毒软件的，就没事。那么换个角度，黑客入侵windows update服务器，植入后门，那么自动更新的电脑就将全面感染病毒，这种事情还是有可能的。像这样的入侵价值比较高，因为一旦成功，几乎所有自动更新的windows都将变成肉鸡。记得几年前杀毒软件查杀系统组件吗？当时很多人都说是误杀，但是我觉得不一定是误杀，因为微软升级补丁后，多款杀毒软件对其报毒，而查杀后，系统奔溃。

ghostByWolf

a2120258 发表于 2018-4-27 12:20
这种做法确实可行的，记得2013年1月28日吗？黑客通过杀毒软件的升级服务器，大面积感染用户电脑。凡是升 ...

这种问题无解啊....
而且微软现在很明显,不想放手这一块儿的权限.为了冲业绩 强制升级系统这种事情都干的出来,更别说无法关闭 自动更新了...
只能祈祷 微软安全工作做的很好...
这种事情不是一次两次了....但是没办法.除非我们现在有能够和win,linux,unix这些系统抗衡的系统 以及软件生态圈...否则一切都是无用功.

a2120258

ghostByWolf 发表于 2018-4-27 13:32
这种问题无解啊....
而且微软现在很明显,不想放手这一块儿的权限.为了冲业绩 强制升级系统这种事情都干 ...

linux操作系统好像不适合普通用户，不够直接友好，还是宏内核。说句实在的宏内核没有混合内核好。

ghostByWolf

a2120258 发表于 2018-4-27 13:53
linux操作系统好像不适合普通用户，不够直接友好，还是宏内核。说句实在的宏内核没有混合内核好。

但是linux  升级服务器 不依靠某个特定的服务器去升级....而且维护的组织还是比较多的...被攻击的可能性不大

峪飞鹰

这种情况当然可能发生，并且自动更新系统可以当作后门来理解。

微软（以及合法的计算机公司），会使用一整套安全措施来避免楼主提到的情况发生。

实现这个目的的方案就是“数字证书”。

数字证书可以理解为一对密钥，密钥分私钥和公钥，公钥公开，任何人都能拿到。私钥保密，只有持有者拥有。私密钥加密的数据，唯公钥可解；公钥加密的数据，唯私钥可解。这就形成了严密的加密保护。

那么，数字证书就是，计算文件本身的 hash 值，然后用私钥对 hash 值加密，所有拿到公钥的人，可以重新运算一遍 hash，然后用发布者（开发商的）公钥解密加密的 hash，和自己计算的 hash 比较，相等就说明，文件未经篡改。

比如：



这是一张微软软件的发布证书，随 exe 附送。其中含有 3 张数字证书的公钥及数据。三张证书中的根证书，签署第二层的中级证书，第二层的中级证书，签署最下面的证书，最下面的证书签署整个 exe 文件（或者 cab 包）。

这里面层层计算，必须都合法，才能判定文件未被篡改。你试着拿任何微软的 exe 文件，改一个字节，然后再看，证书会提示无效。

这里面根证书是最难破解的（通过公钥推导出私钥），并且是物理保护的（什么意思？就是放在用层层防核弹的墙包围的房间里，与网络完全断开，进出人员要筛选登记等）。

所以，即使你攻破了微软的自动更新服务器，你拿到了微软的文件，你想改它虽然可以随便改，但是你过不了系统的证书签名和验证。当 Windows 自动更新执行的时候，下载下来的文件会完整校验整个签名合法性，如果文件没有通过签名校验，那么是不会被执行的。

而且你要知道，虽然你访问的是微软的下载文件域名（如 download.microsoft.com —— 自动更新不使用这个域名，仅举例），实际上可能访问的只是你网络的 ISP 提供的缓存计算机，或者 CDN 服务商提供的分发服务器。这些服务器上存的文件一样可以被服务提供者而非微软修改，但改了没用，过不了数字签名验证。不过这些服务器的篡改可能是意外造成的，如写入文件错误什么的，这会导致部分地区的人更新 Windows Update 的时候持续报告文件损坏的错误，而无法正常更新。

至于 Linux，其实也使用的是这一套方案，但方法不同，Linux信任的是开发商（每个软件发布者）自身的信用，他通过发布者将发布的 gpg 公钥上传到发布服务器，来验证发布文件是否来源属于发布者本人。

最后，数字签名还有很多可以谈，不符合我们的讨论范围，只好就此打住。

简言：仅仅攻破微软的更新服务器是没有用的，你必须拿到签署文件的证书私钥，把被修改的文件重新签名，才能让自动更新系统执行。

插曲：楼上提到的江民的那个，实在是低级错误，说明他当年的自动更新代码逻辑中，不会判断证书，或者判断有错误的地方。