Pas på falske automatiske opdateringer på åbne netværk

3. november 2010 kl. 15:554
Usignerede softwareopdateringer gør det muligt at vende det, der skulle være en sikkerhedsmekanisme, til et angrebsvåben. Det kan ramme blandt andet Skype, Java og iTunes.
Artiklen er ældre end 30 dage

Sidder du på det trådløse netværk til en konference, da dialogboksen dukker op med besked om en ny opdatering til Apples iTunes, så er det en god idé at sige nej tak.

Det er nemlig muligt for andre personer på det samme netværk at kapre den automatiske opdateringsmekanisme i en række populære programmer som eksempelvis iTunes, Skype og Java.

På den måde kan et ondsindet program installeres forklædt som en opdatering, der ankommer til brugerens pc. Denne teknik anvendes i værktøjet Evilgrade, som kan kapre opdateringen af mere end 60 programmer. Det skriver it-sikkerhedsbloggeren Brian Krebs.

Angrebet forudsætter, at hackeren har adgang til netværket og kan styre, at brugerens trafik bliver sendt gennem hackerens pc. Det er dog forholdsvis enkelt på et normalt åbent netværk, som det man typisk finder på konferencer, på hoteller og i lufthavne.

Artiklen fortsætter efter annoncen

Problemet skyldes, at mange softwareleverandører ikke bruger en digital signatur til at signere softwareopdateringer.

Microsoft, som udsender månedlige sikkerhedsopdateringer, bruger en krypteringsnøgle til at signere sine opdateringer, så opdateringsklienten i Windows kun tager imod opdateringer, der har den rigtige signatur.

Mange andre programmer, heriblandt flere sikkerhedsprogrammer, bruger imidlertid ingen digital signatur af filerne. Derfor skal hackeren blot narre klienten til at tro, at den fil, han sender, er en gyldig opdatering.

Da opdateringen i øvrigt foregår via den rigtige opdateringsmekanisme, så vil det for brugeren blot se ud som om, at der kommer en normal opdatering. Derfor det heller ikke vække opsigt, hvis opdateringen beder om bekræftelse på at få lov til at foretage ændringer på pc'en.

Artiklen fortsætter efter annoncen

Evilgrade er designet til at kunne angribe sårbare opdateringsmekanismer, uanset hvilken platform det sårbare program kører på. Det forudsætter blot, at hackeren laver en programpakke, der er beregnet til at køre på brugerens platform.

4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
4. november 2010 kl. 17:46

De fleste åbne trådløse netværk jeg har undersøgt med Kismet (bl.a i S-togene) bruger L2 Separation, hvilket svarer til at man er koblet op gennem en switch.

Så kan den ene ikke se de andre på samme AP/switch istedet for en hub.