Nieuws
image

Onderzoeker: virusscanners ondermijnen veiligheid HTTPS

maandag 27 april 2015, 10:56 door Redactie, 11 reacties

Virusscanners moeten internetgebruikers tegen allerlei dreigingen beschermen, maar als het gaat om de veiligheid van HTTPS-sites ondermijnen ze die juist, zo stelt de Duitse beveiligingsonderzoeker Hanno Bock. Hij onderzocht drie virusscanners, die van Avast, ESET en Kaspersky Lab, en ontdekte dat Kaspersky Lab gebruikers kwetsbaar maakt voor verschillende SSL-aanvallen.

SSL zorgt onder andere voor een versleutelde verbinding tussen een gebruiker en de website en is te herkennen aan HTTPS in de adresbalk. Doordat de verbinding is versleuteld kunnen virusscanners de inhoud van het webverkeer niet bekijken. Daarom onderscheppen veel anti-virusleveranciers de HTTPS-verbinding via een eigen certificaat, net zoals bij Superfish van Lenovo het geval was, zo stelt Bock. In het geval van Avast wordt het versleutelde verkeer standaard onderschept, terwijl Kaspersky Lab alleen verbindingen naar bepaalde websites onderschept, zoals bijvoorbeeld banksites. Bij ESET staat het onderscheppen van SSL in de meeste gevallen uitgeschakeld, maar kan wel worden ingeschakeld.

Certificaatpinning

Als een virusscanner HTTPS-verkeer onderschept, is het verantwoordelijk voor de versleutelde verbinding. Volgens Bock zou je van beveiligingsbedrijven mogen verwachten dat dit op een veilige manier gebeurt, maar de werkelijkheid is anders. "Alle virusscanners die ik testte verlaagden de veiligheid van SSL-verbindingen op de één of andere manier." Zo blijkt dat bij alle drie de virusscanners "certificaatpinning" niet meer werkt. Een maatregel die Man-in-the-Middle-aanvallen moet voorkomen. Websites kunnen hiermee de publieke sleutel van hun certificaat aan de browser doorgeven. De volgende keer dat de website wordt bezocht en er een andere sleutel wordt aangetroffen slaat de browser alarm.

Dankzij certificaatpinning werden de malafide SSL-certificaten van DigiNotar ontdekt. Pinning staat niet ingeschakeld voor zelf geïnstalleerde certificaten, zoals de certificaten die virusscanners installeren om het verkeer te onderscheppen. Volgens Bock kunnen virusscanners certificaatpinning wel uitvoeren, maar doen ze dit niet. Bij de virusscanner van Kaspersky Lab ontdekte de onderzoeker dat die kwetsbaar is voor de FREAK- en CRIME-aanvallen, waardoor een aanvaller die zich tussen de gebruiker en het internet bevindt het versleutelde verkeer kan ontsleutelen. Het FREAK-lek zou al een maand geleden in het forum van Kaspersky Lab zijn gerapporteerd, maar is nog altijd niet opgelost.

Verder bleek ESET geen TLS 1.2 te ondersteunen, waardoor er een onveiliger algoritme wordt gebruikt. Zowel Avast als ESET ondersteunen geen OCSP-stapling en schakelt Kaspersky Lab onveilige TLS-compressie in waardoor gebruikers kwetsbaar voor de CRIME-aanval zijn. Bock ontdekte daarnaast dat het versleutelde webverkeer niet wordt onderschept als er een EV SSL-certificaat wordt gebruikt. Deze certificaten worden na een strengere controle dan bij normale SSL-certificaten uitgegeven en kosten ook meer. Een EV SSL-certificaat kleurt de adresbalk groen. Door deze verbinding te onderscheppen zou de adresbalk niet meer groen zijn en kunnen gebruikers denken dat er iets mis is. De werkwijze verbaast de onderzoeker, omdat cybercriminelen dus via een EV SSL-certificaat malware zouden kunnen verspreiden.

Niet doen

Al met al is Bock teleurgesteld in de virusscanners en adviseert de leveranciers dan ook om het HTTPS-verkeer niet te onderscheppen. "Man-in-the-Middle was een omschrijving van een aanvalstechniek. Het is vreemd dat sommige mensen het nu als een legitieme beveiligingstechnologie beschouwen." Volgens Bock moet het filteren dan ook op de computer gebeuren of helemaal niet. Ook nemen browsers tegenwoordig allerlei maatregelen om de HTTPS-verbinding te beveiligen. Iets waar virusscanners volgens Bock niet mee moeten rotzooien.

Reacties (11)
27-04-2015, 11:14 door Erik van Straten
Kaspersky gebruikt OpenSSL libraries die niet atomatisch worden geüpdate. Als je SSL inspection gebruikt moet je regelmatig de Kaspersky website checken op updates.

Bij eerdere versies heb ik ook gezien dat de private key, behorende bij het rootcertificaat, eenvoudig te vinden is. Onobfuscated en niet beschermd met NTFS permissies die lezen blokkeren voor ordinary users. Uitermate slordig.

Nb ik heb ook situaties gezien waarbij dat rootcertificaat was geïmporteerd in Windows terwijl SSL inspection niet (meer?) werd gebruikt.
27-04-2015, 12:39 door Anoniem
Avast! laat (liet?) afgekeurde certificaten door

Avast is replacing certificates with its own without bothering to check the validity of those certificates!
Plaatje : http://www.thesafemac.com/wp-content/uploads/2015/02/Avast-cert-fail.png

It’s trivial to test it if you have Avast installed, and have not disabled Avast’s HTTPS scanning: just navigate over to revoked.grc.com, a site designed for testing purposes that uses a revoked SSL certificate. As you can see from the screenshot at right, the site opens just fine, using Avast’s replacement certificate.
"Avast’s man in the middle (Updates)" March 5, 2015
http://www.thesafemac.com/avasts-man-in-the-middle/

Heb je Avast! (?)
Doe de test op grc.com zelf en kijk of het inderdaad (nog) het geval is.
27-04-2015, 13:03 door [Account Verwijderd]
[Verwijderd]
27-04-2015, 14:42 door Anoniem
Virusscanners in hun huidige vorm zijn sowieso waanzin (pakkans is zeer laag en je systeem wordt er vaak juist onveiliger door).
Denk dat er maar een heel klein percentage van de gebruikers bij gebaat is en je het geld beter kan besteden aan bewustwording en betere (inrichting van de) infrastructuur.
27-04-2015, 16:19 door Anoniem
Bitdefender Total Security 2015 heeft een feature die SSL scanning wordt genoemd,momenteel geeft die problemen op mijn pc bij gebruik van Chrome browser. Deze SSL scanning feature staat standaard uitgeschakeld,maar werd door mij ingeschakeld omdat mij veiliger leek.De ingeschakelde SSL scanning veroorzaakt voor zover ik kon zien geen problemen bij gebruik IE en Firefox browser.
27-04-2015, 16:20 door Anoniem
Bitdefender gebruikt idd ook eigen certificaten.
27-04-2015, 19:49 door Anoniem
Door Anoniem: Virusscanners in hun huidige vorm zijn sowieso waanzin (pakkans is zeer laag en je systeem wordt er vaak juist onveiliger door).
Denk dat er maar een heel klein percentage van de gebruikers bij gebaat is en je het geld beter kan besteden aan bewustwording en betere (inrichting van de) infrastructuur.

Onbeschermd het net op en dan internetbankieren?
28-04-2015, 08:56 door Anoniem
De virusscanner die als MitM tussen de browser en het netwerk gaat zitten is een achterhaalde architectuur.

Beter is het dat browsers verbinding end-to-end versleutelen en de ontvangen data aan de lokale virusscanner aanbieden voor een oordeel.
28-04-2015, 08:58 door Anoniem
Precies de reden waarom ik van Avast naar Avira ben overgestapt.
28-04-2015, 09:09 door Anoniem
Door Anoniem: Bitdefender Total Security 2015 heeft een feature die SSL scanning wordt genoemd,momenteel geeft die problemen op mijn pc bij gebruik van Chrome browser. Deze SSL scanning feature staat standaard uitgeschakeld,maar werd door mij ingeschakeld omdat mij veiliger leek.De ingeschakelde SSL scanning veroorzaakt voor zover ik kon zien geen problemen bij gebruik IE en Firefox browser.

Had het zelfde en velen met mij ineens kon je niet meer inloggen bij hotmail omdat deze instelling was ingeschakeld door Bitdefender . na uitschakeling kon je weer inloggen op Hotmail .
28-04-2015, 09:15 door johanw
Het scannen van websites zet ik sowieso uit in virusscanners. Al was het maar uit privacyoverwegingen, het gaat de virusbouwer niks aan welke sites ik bezoek. Verder slaan ze vooral alarm op zaken die ik al anders afgevangen heb zoals besmette advertenties (zie ik dankzij een adblocker toch niet). Als ik een besmet bestand binnenhaal moet de filescanner maar alarm slaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure