Malware kommt mittels Software-Update

Die Defcon-Konferenz findet traditionell im Anschluss an die Sicherheitskonferenz Black Hat am gleichen Ort statt. Viele Black-Hat-Besucher bleiben auch zur Defcon in Las Vegas. Sie konnten in diesem Jahr am vergangenen Wochenende etwa eine Präsentation von Itzik Kotler und Tomer Bitto aus Israel verfolgen. Die Sicherheitsfachleute haben ein Tool namens «Ippon» vorgestellt, das den Aktualisierungsfunktionen populärer Programme ein vermeintliches Update unterjubelt.

Der Name Ippon stammt aus dem Judo-Sport. Dort stellt er die höchste Wertung dar, die sofort zum Sieg führt. Das gleichnamige Programm der Israelis vom Sicherheitsunternehmen Radware, drängt sich als eine Art Ad-hoc-Proxy zwischen die Update-Routinen von Programmen und die Download-Server der Hersteller. Es bemerkt, wenn eine Software nach Updates sucht, fängt dieVerbindung zum Hersteller-Server ab und gaukelt ihm die Verfügbarkeit eines Updates vor. Das vermeintliche Update kann zum Beispiel Malware enthalten, die den Rechner infiziert und Daten ausspioniert.

Ippon kann auch als Access Point für WLAN-Verbindungen agieren, beispielsweise an öffentlichen Orten oder in Hotels. In drahtgebundenen Netzwerken täuscht es die passende IP-Adresse per ARP-Spoofing (Address Resolution Protocol) vor. Ippon enthält eine erweiterbare Datenbank im XML-Format mit den Parametern populärer Programme, deren Update-Routinen sich für solche Man-in-the-Middle-Angriffe eignen. Nicht täuschen lassen sich etwa Windows Update oder Firefox sowie andere Update-Mechanismen, die mit verschlüsselten Verbindungen und digitalen Signaturen abgesichert sind.