image

Google en Mozilla hekelen onderscheppen https door anti-virus

woensdag 8 februari 2017, 16:39 door Redactie, 22 reacties

Google, Mozilla, Cloudflare alsmede onderzoekers van twee universiteiten hebben kritiek geuit op het onderscheppen van https-verkeer door anti-virussoftware. Volgens de onderzoekers en bedrijven heeft dit namelijk vergaande gevolgen voor de veiligheid van gebruikers en hun internetverbinding.

Https-verkeer is standaard niet toegankelijk voor beveiligingssoftware. Door bijvoorbeeld een eigen rootcertificaat op computers te installeren kunnen de beveiligingspakketten de inhoud van dit verkeer toch analyseren. Een werkwijze die anti-virusproducenten volgens de onderzoekers steeds vaker toepassen. De manier waarop anti-virusbedrijven het https-verkeer onderscheppen gaat echter ten koste van de beveiliging ervan. Daarnaast introduceren de virusscanners allerlei kwetsbaarheden, aldus het onderzoek.

Voor het onderzoek keken de onderzoekers naar bijna 8 miljard beveiligde verbindingen naar de updateservers van Firefox, verschillende populaire webwinkels en het contentdistributienetwerk van Cloudflare. 4 procent van de verbindingen naar de Firefox-servers werd onderschept. Bij de webwinkels was dit 6,2 procent. Het aantal onderschepte Cloudflare-verbindingen kwam op 10,9 procent uit.

Vervolgens analyseerden de onderzoekers de veiligheid van de beveiligde verbindingen. In 97 procent van de Firefox-verbindingen ging de veiligheid door het onderscheppen achteruit. Bij de webwinkels was dit 32 procent en in het geval van Cloudflare bleek dat 54 procent van de verbindingen minder veilig was geworden. Niet alleen zorgen de virusscanners ervoor dat er zwakke cryptografische algoritmes worden gebruikt, ze ondersteunen ook bekende kwetsbare algoritmes waardoor een aanvaller tussen gebruikers en het internet versleuteld verkeer kan ontsleutelen.

Groot probleem

"Hoewel de securitygemeenschap al lang weet dat beveiligingsproducten verbindingen onderscheppen, hebben we het probleem grotendeels genegeerd, omdat we dachten dat het alleen een klein deel van de verbindingen betrof. We hebben echter ontdekt dat het onderscheppen op grote schaal plaatsvindt met zorgwekkende gevolgen. We hopen door deze bevindingen openbaar te maken dat fabrikanten hun securityprofielen verbeteren en de securitygemeenschap alternatieven voor het onderscheppen van https gaat bespreken", zo laten de onderzoekers in hun conclusie weten.

Ze vinden in ieder geval dat anti-virusbedrijven het onderscheppen van https-verkeer moeten heroverwegen. Virusscanners draaien namelijk al lokaal op een computer en hebben zodoende al toegang tot het lokale bestandssysteem, geheugen van de browser en alle content die via https wordt geladen. "Gegeven hun geschiedenis van verkeerde tls-configuraties en beveiligingslekken die aanvallers op afstand code laten uitvoeren, adviseren we anti-virusbedrijven ten zeerste om te heroverwegen of het onderscheppen van https verantwoordelijk is", zo stellen de onderzoekers (pdf).

Image

Reacties (22)
08-02-2017, 17:07 door Anoniem
Ik dacht al 'Hee, Norton/Symantec staat er niet bij.' In de pdf staat waarom:

"We tested and found that the following products did not intercept TLS
connections: 360 Total, Ahnlabs V3 Internet Security, Avira AV 2016, Comodo
Internet Security, F-Secure Safe, K7 Total Security, Malwarebytes, McAfee
Internet Security, Microsoft Windows Defender, Norton Security, Panda Internet
Security 2016, Security Symantec Endpoint Protection, Tencent PC Manager,
Trend Micro Maximum Security 10, and Webroot SecureAnywhere."
08-02-2017, 19:44 door Anoniem
Google en Mozilla hekelen onderscheppen https door anti-virus
Mij altijd al afgevraagd of dat onderscheppen van https door virusscanners wel alleen is bedoeld voor de veiligheid, of vooral om nog meer (privé) informatie over je te verzamelen voor de grote BigData database...
Want dat testen op virussen gebeurt naar mijn weten tegenwoordig meestal in de cloud.
08-02-2017, 21:07 door Anoniem
Waarom maakt Mozilla geen gebruik van in het OS of in standaard systeenlibraries aanwezige TLS functionaliteit, zodat
antivirusproducten de plaintext kunnen scannen via ofwel daarin aanwezige aftapfuncties (zoals ze ook doen voor disk I/O
en plaintext netwerkverkeer) ofwel door deze libraries te vervangen door versies die dat hebben?
Door TLS in Mozilla producten zelf te regelen maakt men dat voor antivirusproducten onmogelijk en moet men wel
terugvallen op de veel onveiliger man-in-the-middle aanpak die er nu gebruikt wordt.
Mozilla is daar dus zelf schuldig aan.
08-02-2017, 21:17 door Anoniem
Kaspersky doet dit ook. Ik kan ook niet zo makkelijk vinden hoe ik dit uitzet. Iemand een idee?
08-02-2017, 21:54 door Anoniem
Google en Mozilla hekelen onderscheppen https door anti-virus
Toch maar Linux installeren? Voorlopig heb je voor Linux nog geen anti-virus nodig.
08-02-2017, 21:59 door Anoniem
Ik gebruik Bitdefender voor Mac, maar dan wel een gratis on-demand scanner uit de AppStore.
Voordeel: er wordt niet voortdurend verkeer gemonitord. Na de dag wordt een scan uitgevoerd.
08-02-2017, 22:35 door Anoniem
ja.. en dan zie de logging van websense / forcepoint en kom daar tegen dat er zeker 10 gevallen zijn per dag waarbij 'malicious webpages' worden bezocht door gebruikers. En nee hoor.. geen kwestie van 'spooky' websites maar gewoon sites die voor day2day business gebruikt worden door het bedrijf. De besmette iFrames / links / Nuclear / AK etc vliegen je om de oren.

Had je die gevonden zonder session hijacking? nope. Had een virusscanner wat gedaan? nope. Het merendeel nestelt zich in het geheugen of erger.. gewoon aan het windows proces (ransomware anyone?)

Succes mensen met een ieder zijn thuis 'oplossing' kom eens terug als je verantwoordelijk bent in het bedrijfsleven voor de cybersecurity en constant die afweging financiële middelen vs (schijn?) veiligheid moet maken. Waar alles OOK centraal manageble moet zijn, policy based en zo goed mogelijke bescherming tegen werkelijk elke gebruiker van verschillend skill niveau. Kortweg; niet realistisch en alleen maar publishen omdat het momenteel mode is om iets over privacy te zeggen.

groeten,
Eminus
08-02-2017, 22:50 door Anoniem
Door Anoniem: Kaspersky doet dit ook. Ik kan ook niet zo makkelijk vinden hoe ik dit uitzet. Iemand een idee?
Ik zou zeggen laat maar lekker aan staan. Bedenk dat Kaspersky dit doet om jouw computer veilig te houden, en ik zou toch eerder op deze virusscanner vertrouwen dan op de "veilig" melding van een browser.
09-02-2017, 00:01 door Anoniem
Door Anoniem:
Google en Mozilla hekelen onderscheppen https door anti-virus
Toch maar Linux installeren? Voorlopig heb je voor Linux nog geen anti-virus nodig.

Dat is een vergissing. Een Linux systeem is ook potentieel kwetsbaar voor bepaalde kwaadaardige websites, scripts met een payload, foutieve configuraties of ronduit brakke programmatuur. Wel is het zo dat het risico tot op heden aanmerkelijk laag gebleven is. Al geldt waarschijnlijk niet meer zo voor Google's Android op mobieltjes, dat is afgeleid van Linux.

Los daarvan, door tenminste ClamAV (www.clamav.net) te installeren, bescherm je niet alleen jezelf in aanmerkelijk betere mate dan anders het geval zou zijn, maar ook minder onderlegde MS Windows en Apple Mac gebruikers, die door de door jou doorgestuurde MS Word, Excel en PowerPoint bestanden te openen, mogelijk in de problemen kunnen raken.

Door ook derden in de keten van communicatie actief te beschermen, bescherm je immers ook je eigen integriteit en daarmee je welbegrepen eigenbelang. Ter vergelijking: net als bij een medische vaccinatie geldt dat vrijwel iedereen er aan mee moet doen om een maximale immuniteit voor de gehele populatie te verkrijgen.

Het advies is daarom om tenminste ClamAV onder de /home/* directories van Linux, of op de mailserver te draaien, om zodoende het eigen systeem te vrijwaren van onder meer MS Windows en Apple Mac malware die je klanten het leven aardig lastig of zuur kan maken.

Veel banken vereisen voorts in hun algemene voorwaarden dat de gebruiker van hun webdiensten hun eigen systeem, op de zaak of thuis, voldoende adequaat bijhouden, de firewall goed instellen en de nodige anti-virus programmatuur moeten toepassen. Ook als Linux gebruiker kun je je maar beter aan die eisen houden, dus door actieve preventie toe te passen.

Juridisch gezien sta je ook dan een stuk sterker als je dergelijke preventieve maatregelen aan de hand van installatie bestanden en logfiles kunt aantonen, mocht er later toch een probleem elders ontstaat dat naar jouw zaak doorverwijst.
Je kunt dan in ieder geval met documentatie aantonen dat je redelijkerwijs de nodige preventieve maatregelen toepast.
09-02-2017, 02:15 door Anoniem
Door Anoniem: Kaspersky doet dit ook. Ik kan ook niet zo makkelijk vinden hoe ik dit uitzet. Iemand een idee?
In KIS2016: Settings | Additional | Network | Encrypted connections scanning: Do not scan encrypted connections.
Een eventueel geïnstalleerd certificaat van Kaspersky kan dan ook meteen verwijderd worden.
09-02-2017, 06:46 door Anoniem
Door Anoniem: Waarom maakt Mozilla geen gebruik van in het OS of in standaard systeenlibraries aanwezige TLS functionaliteit, zodat
antivirusproducten de plaintext kunnen scannen via ofwel daarin aanwezige aftapfuncties (zoals ze ook doen voor disk I/O
en plaintext netwerkverkeer) ofwel door deze libraries te vervangen door versies die dat hebben?
Door TLS in Mozilla producten zelf te regelen maakt men dat voor antivirusproducten onmogelijk en moet men wel
terugvallen op de veel onveiliger man-in-the-middle aanpak die er nu gebruikt wordt.
Mozilla is daar dus zelf schuldig aan.

Dan zie ik liever een stukje samenwerking, en een duidelijke optie/vraag/waarschuwing in Firefox of je je gegevens wilt delen met de scanner.

Door het zelf regelen van Firefox, en het voorop lopen in het terugtrekken van twijfelachtige rootcertificaten, is Firefox voor mij de meest betrouwbare browser. Neem bijvoorbeeld het Superfish incident op Lenovo machines. Firefox had geen last van het universal self-signed certificate authority dat met het OS geleverd werdt.
09-02-2017, 08:51 door Anoniem
Het gaat niet alleen om de AV op de werkplek, in de pdf uit de link staat dat veel firewall/security appliances juist security verminderen als je ssl-inspection doet!
Paul
09-02-2017, 09:13 door Anoniem
Direct afschaffen . Gat in de markt voor de malware makers.
Wie heeft er nu geen gratis SSL tegenwoordig. Clean way of getting in.

Letsencrypt gaat weer een hoop SSL-en erbij uitgeven.
09-02-2017, 14:27 door Erik van Straten
Door Anoniem:
Door Anoniem: Kaspersky doet dit ook. Ik kan ook niet zo makkelijk vinden hoe ik dit uitzet. Iemand een idee?
In KIS2016: Settings | Additional | Network | Encrypted connections scanning: Do not scan encrypted connections.
Een eventueel geïnstalleerd certificaat van Kaspersky kan dan ook meteen verwijderd worden.
Dat laatste is zinloos, want Kaspersky Internet Security (in elk geval v17.0.0.611 (c) onder W7 64 Engelstalig) voegt het gewoon weer toe. Ook als je hebt gekozen voor "Do not scan encrypted connections".

Distrusten van Kaspersky cert in Windows certificate store
Wat je wel kunt doen is een kopie van het Kaspersky root certificaat in de Local System Untrusted Certificates store plaatsen. Dat kan als volgt:
- Start certmgr.msc als admin
- Selecteer linksboven "Certificates - Current User"
- Kies menu "View" -> "Options..."
- Zet een vinkje voor "Physical Certificate Stores"
- Open "Untrusted Certificates\Local Computer\Certificates" en laat deze uitgeklapt staan
- Open "Trusted Root Certification Authorities\Local Computer\Certificates"
- Terwijl je de Ctrl toets ingedrukt houdt, sleep je "Kaspersky Anti-Virus Personal Root Certificate" van "Trusted Root Certification Authorities\Local Computer\Certificates" naar "Untrusted Certificates\Local Computer\Certificates" (door de Ctrl toets verschijnt een plusje, d.w.z. er wordt niet verplaatst maar een kopie gemaakt).

Dit is zinvol, want als een aanvaller een private key van een geïnstalleerd root certificaat in handen krijgt, kan hij daar heel veel narigheid mee veroorzaken. Nu heeft Kaspersky sinds enige tijd de NTFS permissies van de private key ("C:\ProgramData\Kaspersky Lab\AVP17.0.0\Data\Cert\KLSSL_privkey.pem" op mijn PC) aangescherpt, maar met "Backup Operator" privilege kom je daar nog gewoon bij (deze private key is niet versleuteld, en als deze dat zou zijn, zou de sleutel daarvan ook weer ergens moeten staan). Alleen al hierom wil ik dit niet.

MSIE
Helaas leidt dit ertoe dat als ik MSIE start met mijn default about:blank pagina, zelfs als ik gekozen heb voor "Do not scan encrypted connections", dat er al snel een foutmelding verschijnt (dus voordat ik een site open):
The security certificate for this site has been revoked.

The site should not be trusted.

Nog sterker, dit gebeurt zelfs als je Kaspersky op "Pause protection" hebt gezet. Het gebeurt alleen niet als je het automatisch opstarten van Kaspersky bij boot het uitgeschakeld, en de computer opnieuw hebt opgestart.

Firefox
Als je het Kaspersky root certificaat in de Firefox untrusted certificate store plaatst (dat Firefox tabblad heet "Servers", Joost mag weten waarom), verwijdert Kaspersky dat (ook met de instelling "Do not scan encrypted connections").

Nb. in Firefox staat het Kaspersky root certificaat onder "AO Kaspersky Lab", dus niet bij de letter "K".

Verwijderen van private key en root cert
Ik heb ook nog een test gedaan door zowel de private key als het root certificaat in "c:\ProgramData\Kaspersky Lab\AVP17.0.0\Data\Cert\" te verwijderen, maar dan maakt Kaspersky direct weer een nieuw setje aan.

Conclusie
M.a.w. je lijkt deze functionaliteit van Kaspersky Internet Security niet helemaal uit te kunnen schakelen (ondanks een door mij gezet wachtwoord op de instellingen). Hoewel er geen daadwerkelijke SSL/TLS-MITM plaats lijkt te vinden bij "Do not scan encrypted connections", loopt mijn PC wel risico's. Ik overweeg dan ook andere AV software.
09-02-2017, 15:25 door Anoniem
Tip: Emsisoft Anti-malware! Scant geen https verkeer!

http://blog.emsisoft.com/2017/02/09/https-interception-what-emsisoft-customers-need-to-know/
09-02-2017, 15:36 door Anoniem
En waarom moet alles zo ellendig lang duren?

Vraag bijvoorbeeld aan allen hier. Waarom heeft M$ nu nog niet het dubbele extensie probleem opgelost?
Lijkt wel of ze het niet willen.

Je ziet staan bijvoorbeeld txt extensie en erachter zit een verborgen uitvoerbaar bestand verborgen...
Hoe veel infecties verder gaat men dit eindelijk oplossen?

luntrus
09-02-2017, 15:50 door GDATABenelux
Het is moeilijk na te gaan in hoeverre dit onderzoek klopt. In ieder geval is duidelijk dat het voor wat betreft G DATA niet klopt. Wij breken - anders dan de auteurs stellen- TLS en SSL niet, wij gebruiken connectiegegevens en controleren die met onze URL blacklist en dat is al sinds jaar en dag onze werkwijze. Wij werken momenteel aan een uitgebreide uitleg over onze werkwijze, die gepubliceerd zal worden op het G DATA SecurityBlog.

Daniëlle van Leeuwen
09-02-2017, 21:04 door Anoniem
Door GDATABenelux: Het is moeilijk na te gaan in hoeverre dit onderzoek klopt. In ieder geval is duidelijk dat het voor wat betreft G DATA niet klopt. Wij breken - anders dan de auteurs stellen- TLS en SSL niet, wij gebruiken connectiegegevens en controleren die met onze URL blacklist en dat is al sinds jaar en dag onze werkwijze. Wij werken momenteel aan een uitgebreide uitleg over onze werkwijze, die gepubliceerd zal worden op het G DATA SecurityBlog.

Daniëlle van Leeuwen

Complimenten aan GDATA dat ze hier openlijk en onder naam reageren. (Dat mag ook wel eens gezegd worden).

Van Avast (op Mac) weet ik wel 100% zeker dat deze echt MiTM doet (en dus bv. ook EV-certificaten gewoon breken) en zelfs reclame injecteren op https-verbindingen naar bv. wehkamp.nl. En bij bv. F-Secure (Mac) zie je dat ze het via een plugin doen, veel netter! Elke AV die https-breekt en MiTM doet komt niet op mijn PC, dus die uitgebreide uitleg van jullie is zeer welkom.
10-02-2017, 01:28 door Anoniem
Ik vraag me af of dit ook gebeurd op Android smartphone met kaspersky security. Kan iemand dit uitleggen?
Alvast bedankt.
10-02-2017, 12:14 door Anoniem
Door Anoniem: Ik vraag me af of dit ook gebeurd op Android smartphone met kaspersky security. Kan iemand dit uitleggen?
Alvast bedankt.


Een MiTM is snel te zien: ga naar de site van je bank. Zie je dan alleen een slotje (= vreemd), of zie je in het groen de naam van de bank (= geldig EV certificaat).
10-02-2017, 17:53 door Anoniem
Een MiTM is snel te zien: ga naar de site van je bank. Zie je dan alleen een slotje (= vreemd), of zie je in het groen de naam van de bank (= geldig EV certificaat).

Bij de browser van samsung zie ik alleen een slotje, als ik daarop klik en dan op certificaat dan zie ik dat alleen https groen is.
Bij Chrome browser zie ik direct het slotje en https op groen staan, de text hierna is gewoon. Maar mijn vraag was eigenlijk, of Kaspersky op android hetzelfde doet als op de pc wat betreft de het onderscheppen. Installeert Kaspersky ook een certificaat op de telefoon waardoor deze dezelfde gevaren oploopt zoals hierboven?

Wat is nu wijsheid? Kaspersky eraf en een andere internet security installeren of valt het nou allemaal wel mee en is het gevaar te overzien? Ik neem aan dat Kaspersky ervoor zorgt dat je systeem veilig is, uiteraard even uitgaande van wat een pakket moet doen. Ik weet dat de gebruiker zelf de grootste factoor is in dit verhaal maar even uitsluitend uitgaand van wat het pakket doet.
10-02-2017, 18:20 door Anoniem
Nogmaals, de functionaliteit van antivirussoftware inperken is geen goed idee.
De 'veilig' melding in de browser (enkel en alleen omdat het https is) heeft weinig om het lijf en biedt veel minder echte veiligheid dan antivirus software. Voor een goede bescherming moet een antivirus programma al het in- en uitgaande verkeer kunnen scannen, dus ook https.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.