215524

Malware-Download via Software-Update

03.08.2009 | 16:23 Uhr |

Israelische Sicherheitsfachleute haben auf der Hackerkonferenz Defcon ein Tool vorgestellt, das die eingebauten Update-Funktionen vieler Programme ausnutzen soll, um den Rechner mit Malware zu verseuchen.

Die Hackerkonferenz Defcon findet traditionell im Anschluss an die Sicherheitskonferenz Black Hat am gleichen Ort statt. Viele Black-Hat-Besucher bleiben auch zur Defcon in Las Vegas. Sie konnten in diesem Jahr am Samstagabend etwa eine Präsentation von Itzik Kotler und Tomer Bitto aus Israel verfolgen. Die Sicherheitsfachleute haben ein Tool namens "Ippon" vorgestellt, das den Aktualisierungsfunktionen populärer Programme ein vorgebliches Update unterschiebt.

Der Name Ippon ist aus dem Judo entlehnt, bei dem es die höchste Wertung darstellt, die sofort zum Sieg führt. Die Israelis vom Sicherheitsunternehmen Radware bezeichnen damit ihr Programm, das sich als eine Art Ad-hoc-Proxy zwischen die Update-Routinen von Programmen und die Download-Server der Hersteller drängt. Es bemerkt, wenn ein Programm nach Updates sucht, fängt dessen Verbindung zum Hersteller-Server ab und gaukelt ihm die Verfügbarkeit eines Updates vor. Das vermeintliche Update kann zum Beispiel Malware enthalten, die den Rechner infiziert und Daten ausspioniert.

Ippon kann auch als Access Point für WLAN-Verbindungen agieren, zum Beispiel an öffentlichen Orten oder in Hotels. In drahtgebundenen Netzwerken täuscht es die passende IP-Adresse per ARP-Spoofing vor. Ippon enthält eine erweiterbare Datenbank im XML-Format mit den Parametern populärer Programme, deren Update-Routinen sich für solche Man-in-the-Middle-Angriffe eignen.

Nicht täuschen lassen sich etwa Windows Update oder Firefox sowie andere Update-Mechanismen, die mit verschlüsselten Verbindungen und digitalen Signaturen abgesichert sind.

0 Kommentare zu diesem Artikel
215524