Działania producentów antywirusów mogą narażać nas na niebezpieczeństwo

[KopalniaWiedzy.pl 317]

Google, Mozilla, Cloudfare oraz badacze z dwóch uniwersytetów skrytykowali producentów oprogramowania antywirusowego za przechwytywanie ruchu HTTPS. Działania takie mogą bowiem narażać użytkowników na niebezpieczeństwo. Programy antywirusowe nie mają domyślnie dostępu do ruchu HTTPS. Jednak ich producenci obchodzą ten problem instalując własne certyfikaty root, dzięki czemu ich programy mogą analizować szyfrowany ruch pod kątem bezpieczeństwa. Metoda ta jest często stosowana, jednak jej krytycy mówią, że sposób, w jaki przechwytywany jest ruch HTTPS nie tylko zmniejsza bezpieczeństwo użytkownika, ale wiąże się z wprowadzeniem nowych luk.

Badacze przeanalizowali 8 miliardów bezpiecznych połączeń z serwerami aktualizacji Firefoksa, witrynami sklepów internetowych oraz siecią Cloudflare. Stwierdzili, że oprogramowanie antywirusowe przechwyciło 4% ruchu do serwerów Firefoksa, 6,2% ruchu do sklepów i 10,9% połączeń z Cloudflare. Zbadano także wpływ przechwycenia ruchu na bezpieczeństwo połączenia. Okazało się, że 97% przechwyconych połączeń do serwerów Mozilli stało się mniej bezpiecznych. Problem ten dotknął tez 32% połączeń do sklepów i 54% połączeń do Cloudflare.

Przechwycone połączenia nie tylko wykorzystywały słabsze algorytmy szyfrujące, ale 10-40 procent wspierało algorytmy, które zostały już złamane, co pozwala na przeprowadzenie ataków typu man-in-the-middle, przechwycenie, osłabienie i odszyfrowanie połączenia - czytamy w raporcie. Społeczność zajmująca się bezpieczeństwem od dawna wiedziała, że programy antywirusowe przechwytują połączenia HTTPS, ale problem był ignorowany, gdyż sądziliśmy, że dotyczy on niewielkiego odsetka połączeń. Okazuje się jednak, że przechwytywanie jest zdumiewająco szeroko rozpowszechnione i może mieć negatywne konsekwencje - dodają autorzy analizy.

« powrót do artykułu

[pskosinski 0]

Ciekawi mnie, że CloudFlare wypowiada się w ten sposób na ten temat, bo sami mają sporo za uszami jeżeli chodzi o narażanie użytkowników na niebezpieczeństwo. Chodzi mi przede wszystkim o to, że często użytkownik łącząc się z jakąś stroną internetową korzystającą z usług CloudFlare widzi w pasku adresu "https" i zieloną kłódkę. Ma prawo myśleć, że połączenie od jego komputera do serwisu internetowego jest bezpieczne, szyfrowane. W praktyce często połączenie jest szyfrowane jedynie od użytkownika do serwera CloudFlare, a dalej z serwera CloudFlare do serwera na którym znajduje się strona internetowa dane są już przesyłane bez szyfrowania, przez HTTP (nie HTTPS). Dane przesyłane bez szyfrowania z serwera serwisu internetowego do CloudFlare (by dalej przesłać je do użytkownika) mogą zostać przechwycone i nawet zmodyfikowane. Oczywiście nie powinno to mieć miejsca w przypadku używania protokołu HTTPS. Jest to bardzo istotne wprowadzenie użytkownika w błąd i narażanie go na niebezpieczeństwo. To nie jedyna rzecz jaką CloudFlare ma za uszami, więcej można przeczytać np. tutaj: http://www.crimeflare.com/cfssl.html