image

'Onderscheppen https door anti-virus helpt doorsnee internetter'

maandag 27 februari 2017, 15:33 door Redactie, 9 reacties
Laatst bijgewerkt: 27-02-2017, 16:04

Recentelijk publiceerden Mozilla, Google en verschillende wetenschappers een rapport waarin wordt uitgehaald naar het onderscheppen van https-verkeer door anti-virussoftware, maar een dergelijke feature kan doorsnee internetgebruikers juist helpen. Dat stelt Martijn Grooten van Virus Bulletin.

Om https-verkeer te onderscheppen installeren anti-virusproducten vaak een eigen rootcertificaat, waardoor er een lokale man-in-the-middle ontstaat. Bij de implementatie laten de leveranciers echter steken vallen, waardoor de versleutelde verbindingen soms worden verzwakt, waar een aanvaller tussen de gebruiker en het internet misbruik van kan maken, zo ontdekten de onderzoekers.

Ook hekelden de onderzoekers dat door deze werkwijze het end-to-end-principe van https wordt gebroken. "Dit is waar, maar gaat voorbij aan een belangrijk punt, een tekortkoming in de veiligheid op één gebied kan (soms) tot betere veiligheid ergens anders leiden, en dus winst opleveren", stelt Grooten. Hij merkt op dat dit niet voor iedereen geldt, zoals security professionals, die vaak over goed beveiligde systemen beschikken en betere kennis van de verschillende dreigingen hebben.

"De meeste mensen zijn echter geen security professionals en kennen misschien niet het risico van het surfen met een verouderde browserplug-in of weten een handig programma van een kwaadaardig programma met dezelfde naam te onderscheiden. Voor hen zit het web vol gevaren, die steeds vaker van https gebruikmaken." Het gebruik van beveiligingssoftware kan het risico van een besmetting behoorlijk verkleinen, aldus Grooten.

Wel hekelt hij het feit dat anti-virussoftware de versleutelde verbindingen bij het onderscheppen van https-verkeer verzwakt. Aan de andere kant maken aanvallers hier waarschijnlijk geen gebruik van. "Dat is misschien de voornaamste reden dat aardig wat beveiligingsproducten tls niet goed implementeren. Het raakt hun klanten namelijk niet. Toch is er nog steeds geen excuus om cryptografie niet goed te implementeren." Afsluitend laat Grooten weten dat aan de hand van dergelijke onderzoeken niet meteen moet worden geconcludeerd dat anti-virusproducten waardeloos zijn. Daarnaast verwacht hij dat de fabrikanten de gevonden problemen zullen verhelpen.

Reacties (9)
27-02-2017, 15:53 door Anoniem
Van eenzelfde nivo

"Onderscheppen https door overheid helpt doorsnee burger'
27-02-2017, 15:58 door Erik van Straten
"Dat is misschien de voornaamste reden dat aardig wat beveiligingsproducten tls niet goed implementeren. Het raakt hun klanten namelijk niet. Toch is er nog steeds geen excuus om cryptografie goed te implementeren."
Zelfs als AV boeren cryptografie perfect zouden implementeren, zien gebruikers geen EV-certificaat als deze door de betreffende htttps site wordt aangeboden. Hoezo raakt dat klanten niet?
27-02-2017, 15:59 door Anoniem
als antivirusproduct dien je de encryptie te respecteren en het controleren te starten vanaf de plaats waarin het onversleuteld ter beschikking komt (in de browser vermoedelijk) en voordat het door de browser wordt verwerkt.

kwalijke plugins dien je ook als antivirusproduct te detecteren en te blokkeren; evt. een optie bieden om toch door te gaan op incidentele basis.

zoals nu wordt ingegrepen in het https verkeer ondermijnt het de point to point veiligheidsgarantie van https-verkeer.
27-02-2017, 17:03 door Anoniem
"De meeste mensen zijn echter geen security professionals en kennen misschien niet het risico van het surfen met een verouderde browserplug-in of weten een handig programma van een kwaadaardig programma met dezelfde naam te onderscheiden. Voor hen zit het web vol gevaren, die steeds vaker van https gebruikmaken."
Dit heeft echter niets met HTTPS-MITM te maken. Een virusscanner kan prima in het OS zelf een melding geven dat plugins moeten worden geupdate. En gedownloade programma's kunnen ook na het downloaden maar voor het uitvoeren worden gescand. Waarom zou ik daarvoor de HTTPS-verbinding moeten openbreken???
27-02-2017, 19:36 door Anoniem
Https is o.a. bedoelt om je privacy te bewaren.
Maar SSL-scanning kan een virusboer toegang geven tot vertrouwlijke communicatie.
Niet de bedoeling van https.

Maar niet alle websites met https zijn even privacygevoelig.
Dus er bestaan ook wel https websites waarop sslscanning maar heel weinig je privacy kan aantasten.
Daar kun je best sslscanning overwegen.
Ook kun je enigszins laten meewegen hoe groot de kans is om op een bepaalde https website een virus op te lopen.
Bijvoorbeeld: hoeveel kans op een virus loop je nu bij het bezoeken van www.security.nl? Heb je daar dan wel SSL-scanning voor nodig? Dat zijn heel persoonlijke keuzes, waar niet iedereen hetzelfde over zal denken.

Dus als de virusboeren wat met sslscanning willen doen, lever er dan een "NOscript-achtige" UI bij,
maar dan met de optie om automatisch en per bezochte website de gebruiker te laten kiezen
of er op de bezochte website wel of niet ssl-scanning toegepast moet worden.
En deze keuze vervolgens op te slaan, zodat het een volgende keer niet opnieuw hoeft te worden gevraagd.
(tenminste.... als een doorsnee internetter de bedoeling hiervan begrijpt en in staat is om redelijke afwegingen te maken)

Goeroehoedjes
28-02-2017, 00:10 door Anoniem
Een av-product moet configurabel zijn. Wil ik dit wel en dat niet? Een opt-in aanbieden voor ziets.
Daarom ben ik een groot voorstander van een custom install en haal er dan nog eens een junk remover overheen.

Alles wat je aan AV wil laten draaien, draaien dus. Wat je niet wilt of denkt nodig te hebben is alleen maar "overkill".
Maar laten vallen wat je nodig hebt en inleveren voor een beetje extra cycles is dom en kortzichtig.

Het is wel afhankelijk van wat je online doet en wat je inzicht is in de eventuele gevaren die je loopt.
Er zijn dus sites waar een AV gedreven MiM niet nodig is, waarover we het hier hebben,
of waar het zelfs niet gewenst zou zijn.

Maar ieder zit niet achter 14 proxies of denkt gelijk hier draait "public-void class", oh....XSS gevaar!

Goed getweakte script blocking and request policy doet al een heleboel. Op den duur weet je precies waar je weg moet wezen.

Maar je weet niet wat je misschien tegen kan komen. Er loert genoeg vanuit elke hoek van het Interweb: cloaking, iframe, script injectie gevaar, SEO spam ook in een tracking veilige browser als epic browser vanwege de luizig beveiligde zoekmachine. Een amateursite vol met verkeerde WordPress settings en oude meuk-plug-ins. Echt je weet het niet, je komt het allemaal tegen, speelgoed gratis certificaatjes als root geinstalleerd op een bulk-gehoste geparkeerde tracking site. jQuery all sorts als Engelse drop en met voor een deel af te voeren libraries. Geen rekening houden met de gevaren van inline scripting en zondigen tegen de "same origin policy". Input output validatie niet op orde, Http-only cookie gevaar en clickjacking everywhere.

Voor mij is dit al zo lang 'roepen in de woestijn' tegen de hordes horende doven en ziende blinden.
Denk maar aan dat beroemde schilderij van Jeroen Bosch. Maar als altijd, we staan erbij en kijken ernaar.

Maar trek ik er maart 1 over de streep die wat oog krijgt voor veiligheid online en zich er iets in gaat verdiepen,
ben ik op m'n oude dag de gelukkigste mens van deze planeet.

Kom op jongens, gooi om die lijn van ongeinteresseerdheid.

Hoe krijg je zoiets als een onveilig web weer enigzins veilig om op te surfen, dan moet je als AV toch ook wat, toch?

My two cents.
28-02-2017, 08:47 door Anoniem
Het breken van EV-certificaten lijkt mij altijd een slecht idee.
Het breken van HPKP, dane etc. lijkt mij altijd een slecht idee.
28-02-2017, 13:48 door Anoniem
wij van wc eend...
01-03-2017, 16:18 door Anoniem
Door Anoniem: wij van wc eend...

Dat dacht ik ook, denk je nou echt dat Martijn zichzelf in zijn voeten gaat schieten door te zeggen dat het iets slechts is?
Prviacy opofferen om security te verbeteren...tja...liever niet.
Daarbij werken al die grote bekende commerciele virus scanners niet goed, detecteren ze niet vreemd gedrag snel genoeg en is een aanpassing van ransomware variant X al voldoende om alles weer te omzeilen.
Ik ben erg benieuwd hoe scanners zoals SentinelOne het doen tegenover Eset/Avast/McAfee/Symantac/Kaspersky/etc.
Netflix heeft dat licht al gezien heeft al hun bekende oude conservatieve AV gedumpt voor SentinelOne.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.