Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Eset Smartsecuriy waarschuwing
18-09-2012, 12:52 door Anoniem, 3 reacties
Goedemiddag,
Ik heb op mijn laptop Eset smartsecurity als virusscan.
Nu heb ik sinds 2 dagen zodra ik op skype zit en gewoon aan het skypen ben, ik een waarschuwing krijg van Eset. De waarschuwing geeft aan : Niet vertrouwd SSL certificaat. Er staat onder dan een tekst waarin staat uitgelegd dat het een gecodeerd SSL cerfiticaat is maar niet vertrouwd.
daaronder staat er ook een naam, de 1e keer stond er : Speedtouch 780
en de 2e keer toen ik deze waarschuwing kreeg was een dag na de 1e en toen stond er: sander.doorsander.nl??
Ik heb de opties op de SSL certificaat als vertrouwd te markeren zodat ik meer over het cerificaat kan zien of zoiets dan moet ik ja klikken...ik klik maar altijd op "nee" omdat ik niet weet wat dit precies is.
Ik gebruik mijn laptop alleen voor het skypen en om verslagen te maken omdat het zo'n klein ding is en zo ontzettend traag.
Ik hoop dat iemand hier meer verstand van heeft en mij kan vertellen wat dit nu precies is.
Mijn dank is groot.
Ik heb op mijn laptop Eset smartsecurity als virusscan.
Nu heb ik sinds 2 dagen zodra ik op skype zit en gewoon aan het skypen ben, ik een waarschuwing krijg van Eset. De waarschuwing geeft aan : Niet vertrouwd SSL certificaat. Er staat onder dan een tekst waarin staat uitgelegd dat het een gecodeerd SSL cerfiticaat is maar niet vertrouwd.
daaronder staat er ook een naam, de 1e keer stond er : Speedtouch 780
en de 2e keer toen ik deze waarschuwing kreeg was een dag na de 1e en toen stond er: sander.doorsander.nl??
Ik heb de opties op de SSL certificaat als vertrouwd te markeren zodat ik meer over het cerificaat kan zien of zoiets dan moet ik ja klikken...ik klik maar altijd op "nee" omdat ik niet weet wat dit precies is.
Ik gebruik mijn laptop alleen voor het skypen en om verslagen te maken omdat het zo'n klein ding is en zo ontzettend traag.
Ik hoop dat iemand hier meer verstand van heeft en mij kan vertellen wat dit nu precies is.
Mijn dank is groot.
Reacties (3)
19-09-2012, 23:32 door
Bitwiper
Ik vermoed dat je "SSL scanning" aan hebt staan in Eset NOD32.
NOD32 zal "zo dicht mogelijk bij je netwerkstekker" al het netwerkverkeer inspecteren. In het geval van versleutelde verbindingen, bijv. bij https tussen je webbrowser en een webserver (maar ook bij Skype), "ziet" NOD32 dan uitsluitend versleutelde netwerkpakketjes; het is natuurlijk zinloos om die te scannen.
Als "SSL scanning" is aangezet sta je NOD32 toe om versleutelde SSL verbindingen "open te breken" (ik heb geen idee of, naast SSL, ook de door Skype gebruikte versleuteling ondersteund wordt). In elk geval bij https (SSL of TLS) zal er steeds sprake zijn van twee versleutelde verbindingen in plaats van één:
1) tussen jouw webbrowser en NOD32;
2) tussen NOD32 en de webserver.
Halverwege tussen die twee verbindingen in zijn de netwerkpakketjes niet versleuteld en kan NDO32 ze scannen. Bij de tweede verbinding ontvangt NOD32 het echte certificaat van de webserver. Voor de eerste verbinding genereert NOD32 on the fly een nepcertificaat dat lijkt op het origineel, echter deze is digitaal ondertekend door NOD32 in plaats van door een vertrouwde uitgever van digitale certificaten.
In https://support.mozilla.org/en-US/questions/932616#answer-353114 zie je 2 plaatjes (klik erop om te vergroten). Het gaat hier om iemand die met Firefox naar naar z'n bank (Santander) gaat en een certificaatfoutmelding krijgt (linker plaatje). In het rechterplaatje zie je aan de rechterkant, onder "Issued by", dat "ESET SSL Filter CA" de uitgever is van het certificaat. Als ik naar https://retail.santander.co.uk/ surf en het certificaat bekijk, zie ik dat deze is ondertekend door "VeriSign Class 3 International Server CA - G3".
Om de certificaatfoutmelding in Firefox weg te krijgen zal de gebruiker het Eset rootcertificaat in Firefox moeten importeren (waarschijnlijk heeft de gebruiker eerst Eset geïnstalleerd en later Firefox waardoor dit niet vanzelf gegaan is).
In http://kb.eset.com/esetkb/index?page=content&id=SOLN3076 van 23 augustus 2012 bevestigt Eset dat hun SSL inspection functionaliteit ervoor kan zorgen dat Microsoft/Windows update niet meer werkt. De oorzaak hiervan is SSL scanning door Eset, en het feit dat Microsoft eerder dit jaar beter is gaan checken op mogelijk ongeldige updates.
In mijn bijdragen in http://www.security.nl/artikel/42782/1/Sleutelblunder_in_systeem_kritieke_infrastructuur.html wijs ik erop dat Fortinet iets vergelijkbaars doet maar in alle verkochte apparaten hetzelfde certificaat uitlevert waarvan de private key ondertussen "gelekt" is. Het risico van een gecompromitteerd root certificaat in je webbrowser (of in Windows) is groot, omdat aanvallers dan eenvoudig nepcertificaten kunnen genereren waar jouw webbrowser geen alarm op geeft.
Ik heb nooit iets met Eset gedaan en weet niet of zij netjes een uniek root certificaat genereren op elke PC waarop Eset wordt geïnstalleerd (als dat zo is en de private key niet ergens onversleuteld in een bestandje of het register te vinden is, dan ben je hier wel safe mee).
Ik weet ook niets van Skype. Certificaten voor "Speedtouch 780" en "sander.doorsander.nl" kan ik ook niet verklaren. Ik heb geen idee of deze op de een of andere manier met Skype meekomen. Overigens is http://doorsander.nl/ een website van ene Sander Roy van Veen, wellicht dat je met hem Skyped of hij contact met jou zocht?
Persoonlijk zou ik SSL scanning uitzetten. Ik vraag me sterk af of op een PC de voordelen opwegen tegen de nadelen (bij een appliance zoals Fortinet zal er veelal sprake zijn van een andere virusscanner in die appliance dan op de PC, dat geeft weer wat meerwaarde - mits er een uniek root certificaat gebruikt wordt).
Laat je even weten wat je bevindingen zijn?
NOD32 zal "zo dicht mogelijk bij je netwerkstekker" al het netwerkverkeer inspecteren. In het geval van versleutelde verbindingen, bijv. bij https tussen je webbrowser en een webserver (maar ook bij Skype), "ziet" NOD32 dan uitsluitend versleutelde netwerkpakketjes; het is natuurlijk zinloos om die te scannen.
Als "SSL scanning" is aangezet sta je NOD32 toe om versleutelde SSL verbindingen "open te breken" (ik heb geen idee of, naast SSL, ook de door Skype gebruikte versleuteling ondersteund wordt). In elk geval bij https (SSL of TLS) zal er steeds sprake zijn van twee versleutelde verbindingen in plaats van één:
1) tussen jouw webbrowser en NOD32;
2) tussen NOD32 en de webserver.
Halverwege tussen die twee verbindingen in zijn de netwerkpakketjes niet versleuteld en kan NDO32 ze scannen. Bij de tweede verbinding ontvangt NOD32 het echte certificaat van de webserver. Voor de eerste verbinding genereert NOD32 on the fly een nepcertificaat dat lijkt op het origineel, echter deze is digitaal ondertekend door NOD32 in plaats van door een vertrouwde uitgever van digitale certificaten.
In https://support.mozilla.org/en-US/questions/932616#answer-353114 zie je 2 plaatjes (klik erop om te vergroten). Het gaat hier om iemand die met Firefox naar naar z'n bank (Santander) gaat en een certificaatfoutmelding krijgt (linker plaatje). In het rechterplaatje zie je aan de rechterkant, onder "Issued by", dat "ESET SSL Filter CA" de uitgever is van het certificaat. Als ik naar https://retail.santander.co.uk/ surf en het certificaat bekijk, zie ik dat deze is ondertekend door "VeriSign Class 3 International Server CA - G3".
Om de certificaatfoutmelding in Firefox weg te krijgen zal de gebruiker het Eset rootcertificaat in Firefox moeten importeren (waarschijnlijk heeft de gebruiker eerst Eset geïnstalleerd en later Firefox waardoor dit niet vanzelf gegaan is).
In http://kb.eset.com/esetkb/index?page=content&id=SOLN3076 van 23 augustus 2012 bevestigt Eset dat hun SSL inspection functionaliteit ervoor kan zorgen dat Microsoft/Windows update niet meer werkt. De oorzaak hiervan is SSL scanning door Eset, en het feit dat Microsoft eerder dit jaar beter is gaan checken op mogelijk ongeldige updates.
In mijn bijdragen in http://www.security.nl/artikel/42782/1/Sleutelblunder_in_systeem_kritieke_infrastructuur.html wijs ik erop dat Fortinet iets vergelijkbaars doet maar in alle verkochte apparaten hetzelfde certificaat uitlevert waarvan de private key ondertussen "gelekt" is. Het risico van een gecompromitteerd root certificaat in je webbrowser (of in Windows) is groot, omdat aanvallers dan eenvoudig nepcertificaten kunnen genereren waar jouw webbrowser geen alarm op geeft.
Ik heb nooit iets met Eset gedaan en weet niet of zij netjes een uniek root certificaat genereren op elke PC waarop Eset wordt geïnstalleerd (als dat zo is en de private key niet ergens onversleuteld in een bestandje of het register te vinden is, dan ben je hier wel safe mee).
Ik weet ook niets van Skype. Certificaten voor "Speedtouch 780" en "sander.doorsander.nl" kan ik ook niet verklaren. Ik heb geen idee of deze op de een of andere manier met Skype meekomen. Overigens is http://doorsander.nl/ een website van ene Sander Roy van Veen, wellicht dat je met hem Skyped of hij contact met jou zocht?
Persoonlijk zou ik SSL scanning uitzetten. Ik vraag me sterk af of op een PC de voordelen opwegen tegen de nadelen (bij een appliance zoals Fortinet zal er veelal sprake zijn van een andere virusscanner in die appliance dan op de PC, dat geeft weer wat meerwaarde - mits er een uniek root certificaat gebruikt wordt).
Laat je even weten wat je bevindingen zijn?
Ik heb het even doorgelezen.
Het klopt ik heb inderdaad SSL scanning van Eset aanstaan. Ik dacht dat dit er juist voor zorgde dat alles door de scan werd gehaald. Ik heb deze functie altijd al aangehad volgens mij..maar ik kreeg de waarschuwing dus niet altijd..gebruik de laptop eigenlijk heel weinig misschien vandaar.
Ik wist niet dat ik hierdoor Eset toelaat om de versleutelde verbinding open te breken. Goed om te weten!!
Ik zal de functie vanaf nu dan maar uitschakelen..kijken hoe het dan loopt.
Wat betreft speedtouch en sander.doorsander die zou linken naar een website van doorsander...ken ik totaal niet en ook nooit contact mee gehad of gezocht dus dat zal het ook wel niet zijn. Ik denk niet dat wij er ooit achter zullen komen wat het nou precies is.
Hartelijk dank voor uw reactie, duidelijkheid, goede voorbeelden en tijd.
Het klopt ik heb inderdaad SSL scanning van Eset aanstaan. Ik dacht dat dit er juist voor zorgde dat alles door de scan werd gehaald. Ik heb deze functie altijd al aangehad volgens mij..maar ik kreeg de waarschuwing dus niet altijd..gebruik de laptop eigenlijk heel weinig misschien vandaar.
Ik wist niet dat ik hierdoor Eset toelaat om de versleutelde verbinding open te breken. Goed om te weten!!
Ik zal de functie vanaf nu dan maar uitschakelen..kijken hoe het dan loopt.
Wat betreft speedtouch en sander.doorsander die zou linken naar een website van doorsander...ken ik totaal niet en ook nooit contact mee gehad of gezocht dus dat zal het ook wel niet zijn. Ik denk niet dat wij er ooit achter zullen komen wat het nou precies is.
Hartelijk dank voor uw reactie, duidelijkheid, goede voorbeelden en tijd.
Steeds meer malware is in staat om zelf over een SSL verbinding te werken. Dat iets met SSL geencrypteerd is geeft geen enkele garantie over de inhoud. Dat is de reden dat ESET deze functionaliteit aan boord heeft. Natuurlijk zitten er nadelen aan het toevoegen van een (overigens uniek) rootcertificaat aan je systeem, maar nu steeds meer malware gebruik maakt van SSL om zo lang mogelijk onopgemerkt te blijven vind ik dat de voordelen sterker beginnen te wegen dan de nadelen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
