Virusscanners moeten internetgebruikers tegen allerlei dreigingen beschermen, maar als het gaat om de veiligheid van HTTPS-sites ondermijnen ze die juist, zo stelt de Duitse beveiligingsonderzoeker Hanno Bock. Hij onderzocht drie virusscanners, die van Avast, ESET en Kaspersky Lab, en ontdekte dat Kaspersky Lab gebruikers kwetsbaar maakt voor verschillende SSL-aanvallen.

SSL zorgt onder andere voor een versleutelde verbinding tussen een gebruiker en de website en is te herkennen aan HTTPS in de adresbalk. Doordat de verbinding is versleuteld kunnen virusscanners de inhoud van het webverkeer niet bekijken. Daarom onderscheppen veel anti-virusleveranciers de HTTPS-verbinding via een eigen certificaat, net zoals bij Superfish van Lenovo het geval was, zo stelt Bock. In het geval van Avast wordt het versleutelde verkeer standaard onderschept, terwijl Kaspersky Lab alleen verbindingen naar bepaalde websites onderschept, zoals bijvoorbeeld banksites. Bij ESET staat het onderscheppen van SSL in de meeste gevallen uitgeschakeld, maar kan wel worden ingeschakeld.

Certificaatpinning

Als een virusscanner HTTPS-verkeer onderschept, is het verantwoordelijk voor de versleutelde verbinding. Volgens Bock zou je van beveiligingsbedrijven mogen verwachten dat dit op een veilige manier gebeurt, maar de werkelijkheid is anders. "Alle virusscanners die ik testte verlaagden de veiligheid van SSL-verbindingen op de één of andere manier." Zo blijkt dat bij alle drie de virusscanners "certificaatpinning" niet meer werkt. Een maatregel die Man-in-the-Middle-aanvallen moet voorkomen. Websites kunnen hiermee de publieke sleutel van hun certificaat aan de browser doorgeven. De volgende keer dat de website wordt bezocht en er een andere sleutel wordt aangetroffen slaat de browser alarm.

Dankzij certificaatpinning werden de malafide SSL-certificaten van DigiNotar ontdekt. Pinning staat niet ingeschakeld voor zelf geïnstalleerde certificaten, zoals de certificaten die virusscanners installeren om het verkeer te onderscheppen. Volgens Bock kunnen virusscanners certificaatpinning wel uitvoeren, maar doen ze dit niet. Bij de virusscanner van Kaspersky Lab ontdekte de onderzoeker dat die kwetsbaar is voor de FREAK- en CRIME-aanvallen, waardoor een aanvaller die zich tussen de gebruiker en het internet bevindt het versleutelde verkeer kan ontsleutelen. Het FREAK-lek zou al een maand geleden in het forum van Kaspersky Lab zijn gerapporteerd, maar is nog altijd niet opgelost.

Verder bleek ESET geen TLS 1.2 te ondersteunen, waardoor er een onveiliger algoritme wordt gebruikt. Zowel Avast als ESET ondersteunen geen OCSP-stapling en schakelt Kaspersky Lab onveilige TLS-compressie in waardoor gebruikers kwetsbaar voor de CRIME-aanval zijn. Bock ontdekte daarnaast dat het versleutelde webverkeer niet wordt onderschept als er een EV SSL-certificaat wordt gebruikt. Deze certificaten worden na een strengere controle dan bij normale SSL-certificaten uitgegeven en kosten ook meer. Een EV SSL-certificaat kleurt de adresbalk groen. Door deze verbinding te onderscheppen zou de adresbalk niet meer groen zijn en kunnen gebruikers denken dat er iets mis is. De werkwijze verbaast de onderzoeker, omdat cybercriminelen dus via een EV SSL-certificaat malware zouden kunnen verspreiden.

Niet doen

Al met al is Bock teleurgesteld in de virusscanners en adviseert de leveranciers dan ook om het HTTPS-verkeer niet te onderscheppen. "Man-in-the-Middle was een omschrijving van een aanvalstechniek. Het is vreemd dat sommige mensen het nu als een legitieme beveiligingstechnologie beschouwen." Volgens Bock moet het filteren dan ook op de computer gebeuren of helemaal niet. Ook nemen browsers tegenwoordig allerlei maatregelen om de HTTPS-verbinding te beveiligen. Iets waar virusscanners volgens Bock niet mee moeten rotzooien.