image

Avast: virusscanner moet HTTPS-verkeer scannen

dinsdag 26 mei 2015, 14:29 door Redactie, 15 reacties
Laatst bijgewerkt: 26-05-2015, 16:56

Nu steeds meer van het internetverkeer via SSL wordt versleuteld is het belangrijk dat virusscanners HTTPS-verkeer kunnen inspecteren, ook al moeten ze hier een "Man-in-the-Middle" met zelf gesigneerde certificaten voor uitvoeren. Dat laat anti-virusbedrijf Avast weten, waarvan de gratis virusscanner tot één van de meestgebruikte anti-virusprogramma's ter wereld wordt.

Voor het versleutelen van verkeer tussen websites en bezoekers wordt een SSL-certificaat gebruikt. Het verkeer is in theorie dan niet meer door derden te bekijken. Om toch te analyseren of het verkeer geen malware of andere kwaadaardige code bevat, installeert Avast op computers een zelf gesigneerd certificaat dat door de browser wordt geaccepteerd. Normaliter geven zelf gesigneerde certificaten in de browser een waarschuwing, omdat de uitgever niet wordt vertrouwd. Om dit op te lossen voegt Avast zichzelf als certificaatautoriteit aan de browser toe, zodat die het certificaat wel vertrouwt.

Zodra de browser een SSL-verbinding opzet zal de virusscanner het eigen certificaat hiervoor gebruiken dat nu geen waarschuwing veroorzaakt. Op deze manier vindt er eigenlijk een Man-in-the-Middle (MITM)-aanval plaats. Volgens Avast is dit noodzakelijk om het verkeer te kunnen scannen. Daarnaast is er ook een verschil met traditionele MITM-aanvallen, aldus de virusbestrijder. "De "man in het midden" die wij gebruiken bevindt zich op dezelfde computer als de browser en maakt gebruik van dezelfde internetverbinding."

Avast laat verder weten dat het voor elk certificaat een andere privésleutel genereert. Een gebruiker zou met zijn eigen installatie dan ook geen verkeer van andere Avast-gebruikers kunnen onderscheppen. Toch stelde onlangs nog een beveiligingsonderzoeker dat de werkwijze van virusscanners, waaronder ook die van Avast, de veiligheid van HTTPS ondermijnen.

Reacties (15)
26-05-2015, 14:34 door Anoniem
Als ze nu ook eens zouden samenwerken met de overheden hebben ze de pefecte vermomming. Een werkende antivirus die je daarbij ook nog eens spioneert met als reden veiligheid.
Er moet uiteraard een oplossing komen, de vraag is echter of jij je antivirus op zo een mate vertrouwt dat deze al je data kan lezen (en mogelijks verzenden naar derden of zichzelf).
26-05-2015, 14:40 door [Account Verwijderd] - Bijgewerkt: 26-05-2015, 14:41
[Verwijderd]
26-05-2015, 14:41 door johanw
Ik hoop wel dat deze onzin niet gebeurt als ik de virusscanner geen webverkeer laat scannen. Als ik een virus download slaat hij maar alarm als het op disk opgeslagen wordt hoor.
26-05-2015, 14:51 door Anoniem
Door Anak Krakatau:
Nu steeds meer van het internetverkeer via SSL wordt versleuteld is het belangrijk dat virusscanners HTTPS-verkeer kunnen inspecteren, ook al moeten ze hier een "Man-in-the-Middle" met zelf gesigneerde certificaten voor uitvoeren.
superfish en privdog zullen het zelfde zeggen.

een russische njet van mijn kant dus.

Grappig dat je dat zegt want de russische AV's doen dit ook ( denk aan Kaspersky bv ).

Als mijn data dan toch onderschept word, dan liever door het monster dat mij beschermt als diegene die me wil aanvallen
26-05-2015, 14:59 door Eric_v_z
Waarom niet een fatsoenlijke API afstemmen tussen browsers en de virusscanner? Dan kan de AV een kopie van de data krijgen en enkel een ACK/NACK geven?
26-05-2015, 15:26 door Anoniem
Tot zover de betrouwbaarheid van certificaten en daarmee van het internet. Appt u rustig verder. Er is geen enkele dreiging van piracy - eh, sorry: privacy. En mocht u data missen, geen nood: er is altijd wel iemand die nog een kopie heeft.
26-05-2015, 15:32 door [Account Verwijderd] - Bijgewerkt: 26-05-2015, 15:32
[Verwijderd]
26-05-2015, 16:02 door Anoniem
Door Anoniem: Als ze nu ook eens zouden samenwerken met de overheden hebben ze de pefecte vermomming. Een werkende antivirus die je daarbij ook nog eens spioneert met als reden veiligheid.

Diverse anti-virus leveranciers "detecteren" ook al geen virussen van hun eigen overheid. Dan is dit een logische volgende stap.

Peter
26-05-2015, 16:12 door Anoniem
Exit Avast ...

Waarom spreken de anti-virus bouwers ze geen API met browser bouwers af waarmee een browser alle data door de scanner kan laten controleren? Ben je van al die domme workaround 'oplossingen' af.
26-05-2015, 16:56 door Anoniem
5 maart 2015 : MitM AVAST keurt ingetrokken certificaten goed !

http://www.thesafemac.com/wp-content/uploads/2015/02/Avast-cert-fail.png

Thursday, March 5, 2015 @ 9:45 am EST: After taking some considerable heat from some folks – including an Avast representative – in the comments below, it turns out that the situation is even worse than I initially realized. Avast is replacing certificates with its own without bothering to check the validity of those certificates!
http://www.thesafemac.com/avasts-man-in-the-middle/

Foutje kan je zeggen, was het maar het enige wat je noemt foutje.
26-05-2015, 22:10 door Anoniem
Je zou denken, als AdBlocker het zonder kan, moet een AV-leverancier toch ook zonder kunnen. Of het zo maken dat het echt waarde toevoegt, bijvoorbeeld door aanvullende strengere controles toe te passen, in plaats van afbreekt.

Wat Avast denk ik ook graag ziet is dat hun SafePrice software (https://blog.avast.com/2014/03/27/how-does-avast-safeprice-work/) correct werkt, je weet wel, die software die Advertenties injecteert in je pagina.

In hun eigen marketing woorden:

The purpose of this feature is to help you find the best offers among participating trusted shops and to notify you about cheaper offers by displaying a small bar on the top of your browser. This ensures that you do business with trusted vendor sites, and save time by having better offers on products presented to you, rather than searching for them manually.
27-05-2015, 09:47 door MBellaard
Er zijn voordelen en nadelen aan het scannen van SSL verkeer (lees de berichten hierboven). Wat ik zelf vervelend vind is dat Avast het aan zet zonder dat te melden.

Ik gebruik thuis sinds kort Avast. Net als iedereen moet ook ik rekening betalen. Nu doe ik dat graag via Mijn ING, maar kijk wel altijd of ik het juiste certificaat voor mij heb. Na de installatie van Avast klopt het certificaat niet meer. Het was geen EV certificaat. Voor mij een rede om te kijken wat er mis was. Als snel zag ik dat ik een certificaat had van Avast. Ik had Avast NOOIT (bewust) toestemming gegeven om mijn SSL verkeer te inspecteren, tocht deed Avast het. Alleen was het certificaat dat ik van AVAST kreeg geen EV certificaat maar een standaard SSL certificaat.
27-05-2015, 12:08 door Erik van Straten
26-05-2015, 14:41 door johanw: Als ik een virus download slaat hij maar alarm als het op disk opgeslagen wordt hoor.
De reden om eerder te scannen is dat lang niet alles dat jouw browser "binnenkrijgt" naar disk geschreven wordt, maar wel kwaadaardig kan zijn. Denk aan browser/PDF/Java/Flash/Silverlight exploits en/of aan memory resident malware.

Aan de andere kant is het betrouwbaar scannen van een stream lastig (relatief makkelijk te omzeilen) dan van een compleet "object" (webpage, script, Flash film, geheel gedownload bestand). De browser kan de voortgang van een download bijv. niet weergeven als de MitM virusscanner eerst het hele bestand wil downloaden en scannen voordat deze aan de webbrowser wordt doorgegeven (dit kan ook tot allerlei complicaties leiden, zoals timeouts die de browser denkt te signaleren).

Dus ja, scannen van de "stream" tussen server en browser kan zinvol zijn, maar het nut is beperkt.

26-05-2015, 14:59 door Eric_v_z: Waarom niet een fatsoenlijke API afstemmen tussen browsers en de virusscanner?
Die API's bestaan. Een goed anti-malware pakket bevat iets als "Web Antivirus" dat doet wat jij bedoelt.

Een nadeel van deze aanpak is dat er na de SSL/TLS stack van de browser (of besturingssysteem) gescand wordt, en je dus eventuele aanvallen daarop niet detecteert (in principe zou een virusscanner met SSL/TLS-inspectie Logjam aanvallen kunnen detecteren en verhinderen, maar ik vraag me sterk af of er pakketten zijn geweest die deze functionaliteit snel hebben toegevoegd). Aan de andere kant verplaats je het risico van de browser/OS stack, naar de stack die het anti-malware product gebruikt. En ook daar kunnen kwetsbaarheden in zitten, die mogelijk minder snel aan het licht komen.

Een voordeel van scannen ergens na SSL/TLS decryptie is dat je in veel gevallen complete objecten kunt scannen, d.w.z. voordat deze verder verwerkt worden en schade kunnen aanrichten.

27-05-2015, 09:47 door MBellaard: Er zijn voordelen en nadelen aan het scannen van SSL verkeer (lees de berichten hierboven). Wat ik zelf vervelend vind is dat Avast het aan zet zonder dat te melden.
En zelfs als je SSL/TLS-inspectie uitzet zou je nog risico kunnen lopen, namelijk als Avast daarmee het rootcertificaat niet uit alle certificate stores op je systeem verwijdert en/of de bijbehorende private key vernietigt.

Immers, om als CA te kunnen werken, heb je op jouw systeem, naast het rootcertificaat, ook een private key nodig waar Avast bij moet kunnen. Zelfs als die private key in een versleuteld bestand op je schijf staat (ik heb bij Kaspersky gezien dat deze onversleuteld in een bestandje staat met "Everyone: Read" permissies), moet Avast de sleutel daarvan ergens op je systeem hebben staan. M.a.w. waterdicht krijg je dit moeilijk of niet. Als aanvallers, via perongeluk gestarte malware op jouw systeem (bijv. in een unprivilgeded account van een kind), die private key in handen krijgen, kunnen ze daarmee code signeren waarmee later betrekkelijk eenvoudig privilege escalations zijn te realiseren.

Advies: elimineer dergelijke MitM certificaten door deze te kopiëren naar de untrusted certificate container van elke certificate store. En doe dat zomogelijk op systeemniveau, zodat geen enkele gebruiker met misbruik geconfronteerd kan worden. Mocht een pakket (na een update) zelf besluiten om SSL/TLS inspectie weer aan te zetten, zou het pakket natuurlijk ook dat untrusted certificaat kunnen verwijderen, maar met wat geluk gebeurt dit niet en krijg je een waarschuwing bij de eerstvolgende https verbinding.
27-05-2015, 13:23 door Anoniem
De security producten beginnen zo onderhand een groter probleem te worden dan hetgeen ze pretenderen te verhelpen. Zo ben ik benieuwd wat er bij deze gebruikers gebeurt als sites HSTS/HPKP gaan enablen. Het zou me niet verbazen als sites dan niet meer resolven, met alle gevolgen van dien.
De security tools van vandaag de dag bieden totaal geen oplossing meer voor het huidige dreigingslandschap. Malware kun je met een paar commando's opnieuw packagen zodat de signature al niet meer klopt. Dan hou je heuristics over, waarvan nog maar de vraag is of ze op tijd de infectie oppikken (denk aan de crypto malware, waarbij die timing erg belangrijk is). En malware in hardware (HDD firmware memory, Graphics memory, BOIS/UEFI enz) of HDD boot sectoren, daar kunnen ze al helemaal niks mee. BadUSB idem. Wat dat betreft verbaasd het me nog dat deze bedrijven (blijkbaar) nog steeds veel geld verdienen. Ik gebruik het iig al jaren niet meer.
27-05-2015, 18:19 door [Account Verwijderd] - Bijgewerkt: 27-05-2015, 18:20
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.