image

G Data: Onze anti-virussoftware onderschept geen https-verkeer

maandag 13 februari 2017, 17:16 door Redactie, 8 reacties

De anti-virussoftware van het Duitse anti-virusbedrijf G Data is onterecht in een onderzoek over het onderscheppen van https-verkeer door virusscanners genoemd. Dat laat de virusbestrijder weten en is inmiddels ook door de onderzoekers bevestigd, die met een nieuw rapport zullen komen.

In het onderzoek uiten onderzoekers van Google, Mozilla, Cloudflare en twee universiteiten kritiek op het onderscheppen van https-verkeer door anti-virussoftware. Volgens de onderzoekers heeft dit namelijk vergaande gevolgen voor de veiligheid van gebruikers en hun internetverbinding. De manier waarop anti-virusbedrijven het https-verkeer onderscheppen gaat ten koste van de beveiliging ervan, zodat het verkeer kan worden afgeluisterd. Daarnaast introduceren de virusscanners allerlei kwetsbaarheden, aldus het onderzoek.

In een verklaring stelt G Data dat geen één van de beveiligingsoplossingen die het aanbiedt https-verkeer onderschept. "Alleen verkeer van onversleutelde verbindingen wordt gecontroleerd, namelijk ip-adressen en domeinnamen. Die worden vergeleken met een blacklist van bekende kwaadaardige ip-adressen en domeinen", aldus de Duitse virusbestrijder. G Data stelt dat anti-virusleveranciers met een dilemma te maken hebben als het om het controleren van versleuteld verkeer gaat. Idealiter wordt kwaadaardig verkeer onderschept voordat het de computer bereikt, maar dit zou in het geval van https ten koste van de encryptie gaan. Daarom heeft G Data naar eigen zeggen er bewust voor gekozen om https-verkeer niet te onderscheppen.

Reacties (8)
13-02-2017, 19:00 door Anoniem
"In het onderzoek uiten onderzoekers van Google, Mozilla, Cloudflare en twee universiteiten kritiek op het onderscheppen van https-verkeer door anti-virussoftware. "

Opmerkelijk omdat, zoals in andere discussies hier, Cloudflare zich feitelijk aan het zelfde schuldig maakt.
13-02-2017, 19:24 door Anoniem
Mja... het is me wel ook wel een spagaat:
Enerzijds roept men op om alle websites https te maken en browsers met "https-only" uit te rusten.
Daar begint nu ook steeds meer schot in te komen.
Maar anderzijds wanneer zo'n beetje alle websites over zijn naar https, zou deze situatie bij gebrek aan ssl-scanning betekenen dat je geen enkel netwerkverkeer meer kan scannen vóórdat het in je computer terechtkomt...
En dat lijkt me nu ook niet direct zo wenselijk.

Misschien moeten ze een Antivirus versie maken waarbij ssl-scanning mogelijk is, maar waarin je instellingen kunt maken
voor elke website? Een soort "Noscript" constructie, maar dan voor SSL-scanning.
Of anders geen enkele AV, maar eenvoudig een goede backupstrategie en een firewall erbij zou ook niet verkeerd zijn.
Mijn ervaring is nu ook weer niet dat de gemiddelde internetter elke dag, of week of maand weer een virus ontmoet.
Bovendien verminder je het "aanvalsplatform" op je computer als je het zonder AV-software doet.
Regelmatig schrijven experts er over op deze website:

https://www.security.nl/posting/464783/Beveiligingsexpert+hekelt+veiligheid+van+anti-virussoftware
https://www.security.nl/posting/477790/Hoogleraar+hekelt+nut+van+anti-virussoftware
https://www.security.nl/posting/492926/Google-engineer+hekelt+virusscanners+en+beveiligingstips
13-02-2017, 21:57 door Briolet
Wat is zo'n onderzoek dan waard. Volgens de tabel zijn er 3 pakketten van G Data onderzocht. Als er in alle 3 gevallen verkeerd gemeten is, dan kun je de resultaten van al die andere tests ook niet meer vertrouwen.

Dat hele artikel met zijn conclusies kun je dan beter in de prullenbak gooien.
13-02-2017, 22:39 door Anoniem
Dit hele onderzoek is waardeloos en tegen een industrie gericht., Als de antivirus industrie het kan, dan kan malware dat ook (en ze kunnen dat ook, er is genoeg malware dat over SSL praat).

Dus het is niet de antivirus industrie die "de veiligheid van gebruikers en hun internetverbinding" in gevaar brengt, het onderliggend model is het probleem.

Sterker nog: browsers zien natuurlijk wel alles, zij encrypted en decrypten het SSL verkeer.
14-02-2017, 07:01 door Anoniem
Ik zou het nut van die virusscanners wel een aangetoond willen zien.

Mooi voor een polletje op security.nl. "Heeft uw virusscanner ooit een virus tegen gehouden?"
14-02-2017, 09:07 door Anoniem
Door Anoniem: Ik zou het nut van die virusscanners wel een aangetoond willen zien.

Mooi voor een polletje op security.nl. "Heeft uw virusscanner ooit een virus tegen gehouden?"

Jazeker wel! Mijn mening is dat anti virus software in elk geval beschermt tegen bekende virussen maar dat er natuurlijk grote kans is dat er vele onbekende virussen gewoon doorheen glippen.
Ik heb wel eens een prive pc van een collega, welke sterk verouderde anti virus software had, gescand met een up to date ESET NOD32 en dat leverde 134 besmette bestanden op.
14-02-2017, 10:39 door Anoniem
Kreeg gisteren een bestand als bijlage toegestuurd, maar de mail was onbekend en het betrof een 'rekening'. Opsturen naar VirusTotal bleek de detectie 1/52 te zijn. Nu vandaag (14 februari) was de detectie 7/52. Het betrof in dit geval een HTML-bestand dat al naar gelang de browser die je gebruikte een Cryptolocker downloadde. Nu kun je kritiek hebben op VirusTotal en de soort detectie die zij doen, maar na 24 uur een detectie van 7/52 scoren bij zo iets gevaarlijks als een Cryptolocker (waarbij de grote merken het laten afweten, zoals Kaspersky en Bitdefender), dan ga je toch wat afvragen...
14-02-2017, 11:41 door Anoniem
Door Anoniem:
Door Anoniem: Ik zou het nut van die virusscanners wel een aangetoond willen zien.

Mooi voor een polletje op security.nl. "Heeft uw virusscanner ooit een virus tegen gehouden?"

Jazeker wel! Mijn mening is dat anti virus software in elk geval beschermt tegen bekende virussen maar dat er natuurlijk grote kans is dat er vele onbekende virussen gewoon doorheen glippen.
Ik heb wel eens een prive pc van een collega, welke sterk verouderde anti virus software had, gescand met een up to date ESET NOD32 en dat leverde 134 besmette bestanden op.

Heel fijn, weet wel dat malware makers niks anders doen dan hun patroon iets aanpassen en hatsee: alle grote AV's vinden de nieuwste ransomware niet meer..
Zie het hier op wekelijkse basis gebeuren.
Wat helpt wel: 1) security awareness, 2) een next gen AV die naar gedrag kijkt en daar op detecteert op end points

Met 1) kan je eigenlijk alles al tegen houden, mocht je toch druk zijn met het openen van pdf's, of krijg je vanuit bedrijfs policy een managed laptop met java of flash dan is optie 2 een fijne (Netflix heeft oa dit gedaan)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.