image

Mozilla gaat Firefox-gebruikers waarschuwen voor mitm-aanvallen

vrijdag 1 februari 2019, 10:22 door Redactie, 2 reacties

Mozilla gaat Firefox-gebruikers in de volgende versie van de browser waarschuwen voor man-in-the-middle-aanvallen op versleutelde verbindingen, zo heeft de opensource-ontwikkelaar in een blogposting bekendgemaakt. De waarschuwing verschijnt als gebruikers een https-site bezoeken en een programma op het systeem deze verbinding probeert te onderscheppen.

Het kan dan bijvoorbeeld om gaan om anti-virussoftware die de versleutelde verbinding probeert te inspecteren. Gebruikers krijgen dan een certificaatwaarschuwing te zien met de melding "MOZILLA_PKIX_ERROR_MITM_DETECTED". In dit geval is het certificaat dat voor de website wordt gebruikt afkomstig van een certificaatautoriteit die niet bij Firefox bekend is en wordt daarom standaard niet vertrouwd. Gebruikers krijgen vervolgens de mogelijkheid om de pagina te verlaten of voor het certificaat een uitzondering te maken.

Wat betreft anti-virussoftware of andere beveiligingspakketten die versleutelde verbindingen van Firefox onderscheppen adviseert Mozilla het verwijderen van deze producten en over te stappen op de beveiligingssoftware van Microsoft, zoals Security Essentials en Windows Defender, dat standaard in Windows 8.1 en Windows 10 zit ingebouwd. De mitm-waarschuwing zal in Firefox 66 worden ingeschakeld. Deze versie staat voor 19 maart gepland. Google waarschuwt gebruikers al sinds Chrome 63 voor mitm-aanvallen.

Reacties (2)
01-02-2019, 10:48 door Willieworteltjes
Vreemd: in de verwijzing naar het Chrome 63 artikel staat deze zin "De waarschuwing wordt ook niet getoond in het geval kwaadaardige software een man-in-the-middle uitvoert. "
Dus is Mozilla dan wel verder met haar waarschuwing?
01-02-2019, 17:05 door Anoniem
Door Willieworteltjes: Vreemd: in de verwijzing naar het Chrome 63 artikel staat deze zin "De waarschuwing wordt ook niet getoond in het geval kwaadaardige software een man-in-the-middle uitvoert. "
Dus is Mozilla dan wel verder met haar waarschuwing?

Volgens mij gaat het over hetzelfde of bijna hetzelfde. Firefox noemt het:
We turned on the MitM error page by default in 66, alerting users that their connection is probably broken because of an application in the middle of their traffic.

Een mooi voorbeeld van wat het doet:
https://support.mozilla.org/en-US/questions/1223172
Veel AntiVirusprodukten gebruiken een soort MITM-certificaat voor https-scanning.
Er kan ook andere software op je PC actief zijn die zoiets doet, bijvoorbeeld malware, proxy-ware.
Https-scanning (of ssl-scanning, tls-scanning) betekent dat een stuk software op je PC de data van je encrypted verbinding alvast decodeert om de ware inhoud ervan bloot te leggen voor een bepaald doel voordat het bij je browser aanbelandt.

Een AV-scanner scant het als het goed is op de aanwezigheid van bedreigende software, en waarschuwt je er in voorkomende gevallen voor nog voordat het op je computer wordt uitgevoerd.
(zodat je het nog kan tegenhouden en zodoende uit de ellende blijft)
Maar https-scanning is altijd al een omstreden eigenschap geweest. En wel om 2 redenen:

1. De browser kan dan meestal het echte certificaat van de bezochte server niet meer beoordelen op "vertrouwd" of "niet vertrouwd", want de browser ziet altijd en eeuwig dat AV-mitm certificaat onafhankelijk van welke site je bezoekt.
Je ruilt dan dus a.h.w. een stuk belangrijke security van je browser in voor een stuk security dat jouw AV-scanner je zou kunnen geven. (of niet!)
En als je dan dus niet heeeeel goed weet wat je AV-scanner wel en met name vooral niet goed controleert (!!!),
kan je in bepaalde gevallen met https-scanning kwetsbaarder zijn dan zonder https-scanning.

2. Het is eigenlijk al een wat omstreden gedachte dat AV-scanners de ware data blootlegt van vertrouwelijke informatie.
O ja? Is dat zo?
Ja, dat is zo!
De vertrouwelijkheid van een https-verbinding geldt immers tussen jou en de server waar je mee bent verbonden.
Het kan ongewenst zijn om AV-software hierbij als derde mee te laten luisteren in geval het inderdaad werkelijk om heel vertrouwelijke informatie gaat.
Bijv. je weet immers van een bank (nadat je goed hebt gecontroleerd dat je daarmee een directe verbinding hebt)
toch al dat er een ontzettend lage kans is dat een professionele bankserver jou malware zou serveren.
Dus waarom moet een AV-scanner al jou bankgegevens dan meekijken en controleren op virussen?
Dat zou alleen maar een risico zijn.
Bang dat er Banking malware op je PC staat?
Dan zou je je PC moeten laten scannen. Niet de verbinding.

Hah. O ja joh? Is dat zo?
En waarom zou AV-scannen van de verbinding nou weer een risico zijn dan,
dom miezerig eigenwijs klein pietepeuterig sukkeltje pukkeltje?


Ach, wel mijn uitgehongerde allervriendelijkste hooggeëerd geweten, dat is om 2 redenen a) en b):
a) een AV-scanner bestaat uit toegevoegde software,
en elke software bevat meestal kwetsbaarheden die kunnen worden uitgebuit door een kwaadwillende hacker.
Toegevoegde software vergroot dus het aanvalsoppervlak: AV-software is een extra ding dat een hacker kan proberen aan te vallen.
Dit betekent in de praktijk dat hierdoor de kans van een kwaadwillende hacker juist weer toeneemt om jou te bespioneren,
in de maling te nemen, of te bestelen.
Maar hoeveel kwetsbaarder je er van wordt, hangt ook af van hoe goed of slecht de AV-software is ontworpen!
Alleen.... daar heb je als gemiddelde gebruiker meestal veel te weinig zicht op.
https://www.security.nl/posting/513138/Test%3A+Veiligheid+virusscanners+laat+te+wensen+over
Wanneer doet en AV-scanner meer kwaad dan goed? Dat is best wel moeilijk om te bepalen zelfs voor de expert.
Apple maakt goede software maar ook daar vind men af en toe kwetsbaarheden in.
En er is maar 1 nodig om te kunnen worden gehackt.

b) Een AV-scanner "doet iets" met de door haar onversleutelde datastroom om deze te kunnen controleren op virussen.
Maar dat kan wel eens inhouden dat er gegevens waarschijnlijk niet of niet allemaal alleen maar lokaal op jouw PC blijven.
Het vereist jouw vertrouwen op de AV-fabrikant en hun software, en zulk vertrouwen is als een zijden draadje.


Wat je vaak ziet is dat delen van de datastroom worden samengevat tot een hash, en dat de AV-fabrikant deze hash-uitkomst doorstuurt naar hun server om deze te vergelijken met een database van bekende hashes van cruciale delen die in bekende malware voorkomt.
Meestal is een hash niet gemakkelijk terug te rekenen, maar zeg nooit "nooit".
Kijk wat er gebeurt is met oudere hashmethoden: MD5, SHA1...
Ook onze huidige moderne hasmethoden worden een keer oud, en.... bewaren van gegevens kan heel lang tegenwoordig,
vooral in bepaalde landen. Ik denk dat bijv. een buitenlandse inlichtingendienst, spionagedienst of opsporingsdienst als ze het zouden willen er in een aantal gevallen wel iets mee kan.

Het doel lijkt mij dus een bewustere omgang met https/ssl/tls-scanning omdat er bepaalde risico's aan zijn verbonden,
en bewustere omgang met het al of niet bezoeken van websites met niet-vertrouwde certificaten
eveneens omdat daar wat meer risico's aan zijn verbonden.
En tenslotte niet te vergeten kan het denk ik een waarschuwing zijn voor verdachte proxy-software
die misschien wel zonder je medeweten door een hacker op je systeem is terechtgekomen.

Je zou zo'n "MOZILLA_PKIX_ERROR_MITM_DETECTED" -melding bijv. nooit mogen krijgen bij internetbankieren overheidzaken doen via internet e.d. en andere vertrouwelijke zaken. (onmiddellijk wegklikken en uitzoeken waar het aan ligt)
Enne...

blijve lachuh
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.