Qualche mese fa a Las Vegas si è svolto il DEFCON 17, una tra le conferenze hacker più importanti che si svolgono ogni anno.
Tra i vari talk, che hanno avuto luogo dal 30 luglio al 2 agosto, anche un interessante speech intitolato “The Day of Updates” di Itzik Kotler e Tomer Bitton.
I due ricercatori hanno presentato il tool Ippon: un software in grado di operare attacchi di tipo mitm (man-in-the-middle) ai danni dei meccanismi di update di programmi come Adobe Reader, Alcohol 120, Notepad++ e Skype.
Ippon è infatti in grado di ingannare i software facendo credere che siano disponibili degli aggiornamenti. Un attaccante potrebbe sfruttare questa situazione per inviare rootkit o trojan sotto forma di falso update.
Lo scorso anno era stato presentato un tool analogo realizzato da due programmatori argentini chiamato Evilgrade. A differenza di quest’ultimo Ippon è realizzato in Python e in uno scenario wireless è in grado di funzionare come Rogue Access Point.
Nel classico ambito LAN invece viene usata la tecnica dell’ARP spoofing per realizzare l’attacco mitm.
Il tool utilizza un database interno (sotto forma di file XML) che contiene una lista di indirizzi Web da intercettare qualora un’applicazione tenti di aggiornarsi.
Per evitare problemi simili, i meccanismi di update dovrebbero prevedere l’uso di una connessione HTTPS e di firma digitale per gli aggiornamenti. È per questo che Firefox non è vulnerabile.
A quanto pare anche il sistema Microsoft Windows Update non è interessato poiché adotta soluzioni di encryption e protezione che rendono l’attacco di Ippon inefficiente.