News 05.08.2009, 07:31 Uhr

Malware mittels Software-Update

Israelische Sicherheitsspezialisten haben auf der Hacker-Konferenz Defcon ein Werkzeug vorgestellt, das die eingebauten Update-Funktionen vieler Applikationen missbraucht.
Die Defcon-Konferenz findet traditionell im Anschluss an die Sicherheitskonferenz Black Hat am gleichen Ort statt. Viele Black-Hat-Besucher bleiben auch zur Defcon in Las Vegas. Sie konnten in diesem Jahr eine Präsentation von Itzik Kotler und Tomer Bitto aus Israel verfolgen. Die Sicherheitsfachleute haben ein Werkzeug namens «Ippon» vorgestellt, das den Aktualisierungsfunktionen populärer Programme ein vermeintliches Update unterjubelt.
Der Name Ippon stammt aus dem Judo-Sport. Dort stellt er die höchste Wertung dar, die sofort zum Sieg führt. Das gleichnamige Programm der Israelis vom Sicherheitsunternehmen Radware, drängt sich als eine Art Ad-hoc-Proxy zwischen die Update-Routinen von Programmen und die Download-Server der Hersteller. Es bemerkt, wenn eine Software nach Updates sucht, fängt die Verbindung zum Hersteller-Server ab und gaukelt ihm die Verfügbarkeit eines Updates vor. Das vermeintliche Update kann zum Beispiel Malware enthalten, die den Rechner infiziert und Daten ausspioniert.
Ippon kann auch als Access Point für WLAN-Verbindungen agieren, beispielsweise an öffentlichen Orten oder in Hotels. In drahtgebundenen Netzwerken täuscht es die passende IP-Adresse per ARP-Spoofing (Address Resolution Protocol) vor. Ippon enthält eine erweiterbare Datenbank im XML-Format mit den Parametern populärer Programme, deren Update-Routinen sich für solche Man-in-the-Middle-Angriffe eignen. Nicht täuschen lassen sich etwa Windows Update oder Firefox sowie andere Update-Mechanismen, die mit verschlüsselten Verbindungen und digitalen Signaturen abgesichert sind.


Kommentare

Avatar
Adriano
06.08.2009
Interessant in diesem zusamenhang wäre eine komplette Liste der Software die von diesem hack betroffen ist - Alle Neue .NET2-Programme können direkt im Internet nach schauen ob es eine Neue Version gibt. Sollte es eine geben, kann der Benutzer direkt holen (wie z.B. Paint.NET). Viele Anwendungen benutzen aber auch das "Live Update" wie Symantec. Beide greifen auf das Internet zu um zu schauen ob es eine neue Version gibt.

Avatar
Nitro
06.08.2009
Danke für die Antwort, auch wenn ich nicht wirklich etwas damit anfangen kann. Bei mir ist es eigentlich der Virenscanner und eine Antimalwaresoftware die beim Start automatisch nach updates suchen gehen. Muss ich den jetzt da Angst haben mir was einzufangen oder kann ich die so weiterlaufen lassen wie gehabt ? Bin ehrlich ein wenig verwirrt deswegen.

Avatar
Adriano
06.08.2009
Danke für die Antwort, auch wenn ich nicht wirklich etwas damit anfangen kann. Bei mir ist es eigentlich der Virenscanner und eine Antimalwaresoftware die beim Start automatisch nach updates suchen gehen. Muss ich den jetzt da Angst haben mir was einzufangen oder kann ich die so weiterlaufen lassen wie gehabt ? Bin ehrlich ein wenig verwirrt deswegen. Ich wollte auch keine Antwort geben, da ich nicht weiss wie sich dieses Virus verhalten will... Eigentlich kann niemand (von extern) der Update modifizieren. Der Virus muss schon auf dein PC sein, damit er ein Update-Programm modifizieren kann. Anders kann es nicht gehen. Warum ein Virus dann Update-Programme ändert und nicht direkt auf das System zugreift weiss ich wirklich nicht. EDIT: Oder vielleicht muss man es so verstehen: Wenn du FF hast, kontrolliert der Browser immer auf neue Versionen. Wenn die Hacker mal der FTP-Zugriff von Mozilla hacken, könnten sie eigentlich eine modifizierte Version hochladen. Firefox will sich dann aktualisieren und aktualisiert sich mit ein anderes Programm der eigentlich ein Virus ist.