Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Avast! Web/Mail Shield Root

03-03-2015, 21:32 door Anoniem, 13 reacties
Ik kreeg bij het bezoeken en afronden van een bestelling bij thuisbezorgd.nl
een onbeveiligde verbinding waarschuwing,door middel van een geel driehoekig schild voor het https protocol.

www.thuisbezorgd.nl

Identiteit niet geverifieerd

Verbinding (tab2)

De identiteit van deze website is geverifieerd
door avast! Web/Mail Shield Root,maar de
website heeft geen openbare auditgegevens

De site gebruikt verouderde
beveiligingsinstellingen die ertoe kunnen leiden
dat de site door toekomstige versies van Chrome niet veilig
kan worden geopend.


Certificaatinformatie

Verleen aan *.thuisbezorgd.nl

Verleend door avast! Web/Mail Shield Root

Geldig van 19-10-2014 t/m 21-10-2016


Ligt het probleem bij thuisbezorgd.nl en moeten ze hun website beveiliging aanpassen?,
of is dit een avast probleem,compatible etc

groeten
Lester
Reacties (13)
04-03-2015, 00:10 door Anoniem
Alleen de handshake size heeft een blurb: https://www.wormly.com/test_ssl/h/www.thuisbezorgd.nl/i/104.20.3.86/p/443
en hier is ook alles goed: https://www.sslshopper.com/ssl-checker.html#hostname=www.thuisbezorgd.nl
DNS ook goed: http://www.dnsinspect.com/thuisbezorgd.nl/1425423999
Ook geen trackers te vinden.

luntrus
04-03-2015, 00:43 door choi - Bijgewerkt: 04-03-2015, 02:17
Volgens mij geeft Chrome een geel driehoekje aan als de website SHA-1 gebruikt voor de beveiliging (Google wil SHA-1 uitbannen).* Ik krijg bij het bezoeken van thuisbezorgd.nl in Chrome echter geen geel driehoekje te zien. Misschien heeft e.e.a te maken met de manier waarop de Avast web shield werkt.

Ik vermoed-met de nadruk op vermoed- dat het volgende gebeurd. De web shield van Avast scant het dataverkeer on-the-fly op malware. Dit is echter niet mogelijk met https-verkeer, simpelweg omdat dit versleuteld en beveiligd is met een SSL-certificaat. De SSL-proxy (i.e web shield) van Avast kan dit certificaat dus ook niet verifiëren.

Om dit probleem te omzeilen installeert Avast op een manier die mij niet helemaal duidelijk is zijn eigen certificaat (vandaar de tekst 'verleend door Avast' onder de certificaatinformatie) om zodoende het https-verkeer toch in leesbare vorm te kunnen onderscheppen. Het is dus een soort van man-in-the-middle mechanisme, echter zonder malafide bedoelingen (het is dus geen Superfish). Of dit kan leiden tot een certificaatwaarschuwing in Chrome kan ik niet met zekerheid zeggen (ik draai geen Avast dus ik kan het ook niet testen).

*https://konklone.com/post/why-google-is-hurrying-the-web-to-kill-sha-1
04-03-2015, 01:02 door Anoniem
Bedankt voor je bericht.

Is het betrouwbaar wat er nu gebeurt dat het verkeer toch in leesbare vorm kan worden onderschept door avast free 2015.?

door het zijn eigen certificaat te gebruiken?

Deze melding heb ik nooit eerder van avast gehad,wel gebruik ik voor alle websites ook https everywhere.
04-03-2015, 01:14 door Anoniem
Door choi: -knip- ...zonder malafide bedoelingen (het is dus geen Superfish).
Weet je dat wel zeker? Superfish had an sich ook geen malafide bedoelingen. Niet dat dit het zelfde is maar ik wantrouw dingen die zich in een potentieel veilige verbinding proberen te nestelen.
04-03-2015, 09:08 door Anoniem
Het toeval wil, dat juist gisteren een update is verschenen van Avast. Wellicht de oplossing voor het probleem?
04-03-2015, 13:54 door Anoniem
I'm glad to announce a new version of Avast Antivirus for Windows (Free, Pro, Internet Security, Premier).
Version number: 2015.10.2.2214

What's new:

- Improved Windows 10 Compatibility

- Browser Cleanup integrated to Avast UI and added to Smart Scan

- WebShield improvements for faster browsing and fixed issues with expired certificates <----------------------

- Avast NG virtualization – performance and stability fixes

- AccessAnywhere feature is removed and replaced with remote connection feature available through Account screen in all editions(not limited to Premier)

- New design of Chrome plugin

- Better license activation during setup
04-03-2015, 18:01 door choi
Door Anoniem: Bedankt voor je bericht.

Is het betrouwbaar wat er nu gebeurt dat het verkeer toch in leesbare vorm kan worden onderschept door avast free 2015.?

door het zijn eigen certificaat te gebruiken?

Deze melding heb ik nooit eerder van avast gehad,wel gebruik ik voor alle websites ook https everywhere.

Legitieme vraag. Van wat ik weet uit discussies over het potentiele gevaar van SSL-proxy's zijn ook de spreekwoordelijke experts er niet over eens of de security-winst van een SSL-proxy opweegt tegen het potentiele gevaar daarvan (i.e een man-in-the middle scenario).

Ik kan de bron niet direct achterhalen maar ik meen dat Avast en de meeste andere applicaties die SSL-proxy's gebruiken (Kaspersky, Skype enz.) voor elke installatie een unieke sleutel genereren. Superfish daarentegen gebruikte dezelfde root certificate/ sleutel voor elke installatie.

Het is aan de gebruiker om de afweging te maken of hij/zij een SSL-proxy wil blijven gebruiken. Naar aanleiding van jouw topic moet ik toegeven dat ik er nu pas echt over ben gaan nadenken en ik ben er zelf nog niet uit.
04-03-2015, 18:02 door choi
Door Anoniem:
Door choi: -knip- ...zonder malafide bedoelingen (het is dus geen Superfish).
Weet je dat wel zeker? Superfish had an sich ook geen malafide bedoelingen. Niet dat dit het zelfde is maar ik wantrouw dingen die zich in een potentieel veilige verbinding proberen te nestelen.

Zie mijn commentaar van 18:01
04-03-2015, 18:13 door choi
Door Anoniem: I'm glad to announce a new version of Avast Antivirus for Windows (Free, Pro, Internet Security, Premier).
Version number: 2015.10.2.2214

What's new:


- WebShield improvements for faster browsing and fixed issues with expired certificates <----------------------



Goed gezien, de vraag is in hoeverre dit hier van toepassing is. Avast forceert ook in het geval van self signed certificates (ook als deze nog geldig zijn) een browserwaarschuwing maar daar is in het geval van thuisbezorgd.nl geen sprake van.
04-03-2015, 20:34 door choi
De bron van de discussie over SSL-proxy's waar ik op 18:01 naar verwijs heb ik inmiddels kunnen achterhalen. Of hetgeen besproken wordt excact van toepassing is op de situatie van de TS weet ik niet maar het geeft wel een duidelijker beeld van de werking van Avast m.b.t mogelijke veiligheidsissues bij het gebruik van SSL-proxy's.

....I cannot just grab the Avast private key from my own computer and use it to attack someone else who has Avast installed. The same cannot be said for superfish.

Another difference is that Avast does not just blindly man-in-the-middle everything. Instead, it first verifies the validity of the original certificate. If the original certificate is valid, it will proceed to man-in-the-middle the traffic so it can scan for malware. But if there is a problem with the original certificate, it will intentionally man-in-the-middle with a certificate NOT installed in the trusted certificate list, generating a browser warning. ....When visiting a website with a valid certificate, Avast MITMs the traffic to scan for malware.....But if I visit a site with a self-signed certificate, Avast will intentionally MITM with an untrusted certificate to generate a browser warning - notice the name "Avast Web/Mail Shield UNTRUSTED root"


https://security.stackexchange.com/questions/82285/are-the-certificates-from-skype-click-to-call-and-avast-web-mail-shield-any/82306?noredirect=1#comment136075_82306
07-03-2015, 20:27 door choi - Bijgewerkt: 07-03-2015, 20:40
Met de onthullingen van de nieuwste man-in-the-middle FREAK-aanval heet van de pers is het misschien een goed idee om de client-test te doen met een veilig bevonden browser (op dit moment Chrome en Firefox) en met de Avast web shield actief (dit geldt ook voor andere AV-pakketten en applicaties die TLS/SSL-verkeer onderscheppen).

Als de uitslag aangeeft dat een veilig bevonden browser kwetsbaar is voor een FREAK-aanval dan ligt dat waarschijnlijk aan Avast: Chrome for Windows and all versions of Firefox are known to be safe. However, even if your browser is safe, certain third-party software, including some anti-virus products and adware programs, can expose you to the attack by intercepting TLS connections from the browser. If you are using a safe browser but our client test says you’re vulnerable, this is a likely cause.
https://freakattack.com/

FREAK-attack client test:
https://freakattack.com/clienttest.html

Zie ook:
https://www.security.nl/posting/420935/Microsoft+waarschuwt+voor+TLS_SSL-lek+in+Windows
https://www.security.nl/posting/419968/AV%27s+met+MitM+certificaten
07-03-2015, 21:01 door Anoniem
Voor mij dus geen Avast meer!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.