DEFCON 17 non è il nome di un caccia di ultima generazione, nè il nome di una missione super segreta: piuttosto si tratta di una delle conferenze hacker piu importanti che si sono svolte quest’anno.

Il convegno si è svolto questa estate, e tra i vari lavori, è stata presentata una ricerca di nome “The Day of Updates” di Itzik Kotler e Tomer Bitton.

I due ricercatori hanno presentato un grazioso tool di nome Ippon, in grado di fare una cosa molto carina: inserirsi nei meccanismi di update automatico di molti software in modo da far credere al programma di scaricare un aggionamento, quando in realtà viene scaricato tutt’altro.

Si tratta tecnicamente di un attacco MITM: Man In The Middle, che quest’anno va tanto di modo e che è destinato ad avere sempre più successo.

In questa tipologia di attacco, sfruttando varie vulnerabilità, l’attaccante riesce a inserirsi nella comunicazione tra due soggetti, senza che nessuno dei due se ne accorga, potendo fare qualsiasi cosa si vuole: limitarsi a intercettare le informazioni oppure dirottare i vari comandi e inviare al pc vittima-destinatario ciò che si vuole.

La scorsa settimana vi avevo parlato di una vulnerabilità nei WiFi di tutti gli smartphone (compreso il tanto lodato iPhone) che viene sfruttata proprio attraverso questo metodo di attacco: in questo caso, il “man-in-the-middle” si limita a intercettare le informazioni, come account, password e altri dati di accesso.

Ippon invece è un software  in grado di operare questo attacco man-in-the-middle ai danni dei meccanismi di update di programmi come Adobe Reader, Alcohol 120, Notepad++ e Skype.

In sostanza, questo tool permette di far scaricare sul computer della vittima qualsiasi malware, facendo credere al software che si tratti di un normale update del programma stesso, nella assoluta inconsapevolezza dell’utente del pc vittima.

Il tool utilizza un database interno (sotto forma di file XML) che contiene una lista di indirizzi Web da intercettare qualora un’applicazione tenti di aggiornarsi.

Per non allarmare troppo, vi è da sottolineare che ad esempio Windows Update utilizza tecniche di di encryption e protezione che non permettono tale intercettazione.

Inoltre ad esempio Firefox utilizza una connessione HTTPS e una firma digitale per gli aggiornamenti : questa dovrebbe essere la via da seguire per tutti i programmi.

Quindi al momento programmi di un certo peso come Acrobat e Skype risultano assolutamente vulnerabili a questo tool.

Vuoi tutti gli aggiornamenti di IbA's Blog in tempo reale? Abbonati ai nostri Feed RSS.