Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Działania producentów antywirusów mogą narażać nas na niebezpieczeństwo

Rekomendowane odpowiedzi

Google, Mozilla, Cloudfare oraz badacze z dwóch uniwersytetów skrytykowali producentów oprogramowania antywirusowego za przechwytywanie ruchu HTTPS. Działania takie mogą bowiem narażać użytkowników na niebezpieczeństwo. Programy antywirusowe nie mają domyślnie dostępu do ruchu HTTPS. Jednak ich producenci obchodzą ten problem instalując własne certyfikaty root, dzięki czemu ich programy mogą analizować szyfrowany ruch pod kątem bezpieczeństwa. Metoda ta jest często stosowana, jednak jej krytycy mówią, że sposób, w jaki przechwytywany jest ruch HTTPS nie tylko zmniejsza bezpieczeństwo użytkownika, ale wiąże się z wprowadzeniem nowych luk.

Badacze przeanalizowali 8 miliardów bezpiecznych połączeń z serwerami aktualizacji Firefoksa, witrynami sklepów internetowych oraz siecią Cloudflare. Stwierdzili, że oprogramowanie antywirusowe przechwyciło 4% ruchu do serwerów Firefoksa, 6,2% ruchu do sklepów i 10,9% połączeń z Cloudflare. Zbadano także wpływ przechwycenia ruchu na bezpieczeństwo połączenia. Okazało się, że 97% przechwyconych połączeń do serwerów Mozilli stało się mniej bezpiecznych. Problem ten dotknął tez 32% połączeń do sklepów i 54% połączeń do Cloudflare.

Przechwycone połączenia nie tylko wykorzystywały słabsze algorytmy szyfrujące, ale 10-40 procent wspierało algorytmy, które zostały już złamane, co pozwala na przeprowadzenie ataków typu man-in-the-middle, przechwycenie, osłabienie i odszyfrowanie połączenia - czytamy w raporcie. Społeczność zajmująca się bezpieczeństwem od dawna wiedziała, że programy antywirusowe przechwytują połączenia HTTPS, ale problem był ignorowany, gdyż sądziliśmy, że dotyczy on niewielkiego odsetka połączeń. Okazuje się jednak, że przechwytywanie jest zdumiewająco szeroko rozpowszechnione i może mieć negatywne konsekwencje - dodają autorzy analizy.


« powrót do artykułu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Ciekawi mnie, że CloudFlare wypowiada się w ten sposób na ten temat, bo sami mają sporo za uszami jeżeli chodzi o narażanie użytkowników na niebezpieczeństwo. Chodzi mi przede wszystkim o to, że często użytkownik łącząc się z jakąś stroną internetową korzystającą z usług CloudFlare widzi w pasku adresu "https" i zieloną kłódkę. Ma prawo myśleć, że połączenie od jego komputera do serwisu internetowego jest bezpieczne, szyfrowane. W praktyce często połączenie jest szyfrowane jedynie od użytkownika do serwera CloudFlare, a dalej z serwera CloudFlare do serwera na którym znajduje się strona internetowa dane są już przesyłane bez szyfrowania, przez HTTP (nie HTTPS). Dane przesyłane bez szyfrowania z serwera serwisu internetowego do CloudFlare (by dalej przesłać je do użytkownika) mogą zostać przechwycone i nawet zmodyfikowane. Oczywiście nie powinno to mieć miejsca w przypadku używania protokołu HTTPS. Jest to bardzo istotne wprowadzenie użytkownika w błąd i narażanie go na niebezpieczeństwo. To nie jedyna rzecz jaką CloudFlare ma za uszami, więcej można przeczytać np. tutaj: http://www.crimeflare.com/cfssl.html

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...