Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Onderzoeker: virusscanners ondermijnen veiligheid HTTPS

maandag 27 april 2015, 10:56 door Redactie, 11 reacties

Virusscanners moeten internetgebruikers tegen allerlei dreigingen beschermen, maar als het gaat om de veiligheid van HTTPS-sites ondermijnen ze die juist, zo stelt de Duitse beveiligingsonderzoeker Hanno Bock. Hij onderzocht drie virusscanners, die van Avast, ESET en Kaspersky Lab, en ontdekte dat Kaspersky Lab gebruikers kwetsbaar maakt voor verschillende SSL-aanvallen.

SSL zorgt onder andere voor een versleutelde verbinding tussen een gebruiker en de website en is te herkennen aan HTTPS in de adresbalk. Doordat de verbinding is versleuteld kunnen virusscanners de inhoud van het webverkeer niet bekijken. Daarom onderscheppen veel anti-virusleveranciers de HTTPS-verbinding via een eigen certificaat, net zoals bij Superfish van Lenovo het geval was, zo stelt Bock. In het geval van Avast wordt het versleutelde verkeer standaard onderschept, terwijl Kaspersky Lab alleen verbindingen naar bepaalde websites onderschept, zoals bijvoorbeeld banksites. Bij ESET staat het onderscheppen van SSL in de meeste gevallen uitgeschakeld, maar kan wel worden ingeschakeld.

Certificaatpinning

Als een virusscanner HTTPS-verkeer onderschept, is het verantwoordelijk voor de versleutelde verbinding. Volgens Bock zou je van beveiligingsbedrijven mogen verwachten dat dit op een veilige manier gebeurt, maar de werkelijkheid is anders. "Alle virusscanners die ik testte verlaagden de veiligheid van SSL-verbindingen op de één of andere manier." Zo blijkt dat bij alle drie de virusscanners "certificaatpinning" niet meer werkt. Een maatregel die Man-in-the-Middle-aanvallen moet voorkomen. Websites kunnen hiermee de publieke sleutel van hun certificaat aan de browser doorgeven. De volgende keer dat de website wordt bezocht en er een andere sleutel wordt aangetroffen slaat de browser alarm.

Dankzij certificaatpinning werden de malafide SSL-certificaten van DigiNotar ontdekt. Pinning staat niet ingeschakeld voor zelf geïnstalleerde certificaten, zoals de certificaten die virusscanners installeren om het verkeer te onderscheppen. Volgens Bock kunnen virusscanners certificaatpinning wel uitvoeren, maar doen ze dit niet. Bij de virusscanner van Kaspersky Lab ontdekte de onderzoeker dat die kwetsbaar is voor de FREAK- en CRIME-aanvallen, waardoor een aanvaller die zich tussen de gebruiker en het internet bevindt het versleutelde verkeer kan ontsleutelen. Het FREAK-lek zou al een maand geleden in het forum van Kaspersky Lab zijn gerapporteerd, maar is nog altijd niet opgelost.

Verder bleek ESET geen TLS 1.2 te ondersteunen, waardoor er een onveiliger algoritme wordt gebruikt. Zowel Avast als ESET ondersteunen geen OCSP-stapling en schakelt Kaspersky Lab onveilige TLS-compressie in waardoor gebruikers kwetsbaar voor de CRIME-aanval zijn. Bock ontdekte daarnaast dat het versleutelde webverkeer niet wordt onderschept als er een EV SSL-certificaat wordt gebruikt. Deze certificaten worden na een strengere controle dan bij normale SSL-certificaten uitgegeven en kosten ook meer. Een EV SSL-certificaat kleurt de adresbalk groen. Door deze verbinding te onderscheppen zou de adresbalk niet meer groen zijn en kunnen gebruikers denken dat er iets mis is. De werkwijze verbaast de onderzoeker, omdat cybercriminelen dus via een EV SSL-certificaat malware zouden kunnen verspreiden.

Niet doen

Al met al is Bock teleurgesteld in de virusscanners en adviseert de leveranciers dan ook om het HTTPS-verkeer niet te onderscheppen. "Man-in-the-Middle was een omschrijving van een aanvalstechniek. Het is vreemd dat sommige mensen het nu als een legitieme beveiligingstechnologie beschouwen." Volgens Bock moet het filteren dan ook op de computer gebeuren of helemaal niet. Ook nemen browsers tegenwoordig allerlei maatregelen om de HTTPS-verbinding te beveiligen. Iets waar virusscanners volgens Bock niet mee moeten rotzooien.

Nieuw-Zeelandse school monitort internetgedrag leerlingen
Trackingbedrijf volgde stiekem 9 miljoen mensen in winkels
Reacties (11)
27-04-2015, 11:14 door Erik van Straten
Kaspersky gebruikt OpenSSL libraries die niet atomatisch worden geüpdate. Als je SSL inspection gebruikt moet je regelmatig de Kaspersky website checken op updates.

Bij eerdere versies heb ik ook gezien dat de private key, behorende bij het rootcertificaat, eenvoudig te vinden is. Onobfuscated en niet beschermd met NTFS permissies die lezen blokkeren voor ordinary users. Uitermate slordig.

Nb ik heb ook situaties gezien waarbij dat rootcertificaat was geïmporteerd in Windows terwijl SSL inspection niet (meer?) werd gebruikt.
27-04-2015, 12:39 door Anoniem
Avast! laat (liet?) afgekeurde certificaten door

Avast is replacing certificates with its own without bothering to check the validity of those certificates!
Plaatje : http://www.thesafemac.com/wp-content/uploads/2015/02/Avast-cert-fail.png

It’s trivial to test it if you have Avast installed, and have not disabled Avast’s HTTPS scanning: just navigate over to revoked.grc.com, a site designed for testing purposes that uses a revoked SSL certificate. As you can see from the screenshot at right, the site opens just fine, using Avast’s replacement certificate.
"Avast’s man in the middle (Updates)" March 5, 2015
http://www.thesafemac.com/avasts-man-in-the-middle/

Heb je Avast! (?)
Doe de test op grc.com zelf en kijk of het inderdaad (nog) het geval is.
27-04-2015, 13:03 door [Account Verwijderd]
[Verwijderd]
27-04-2015, 14:42 door Anoniem
Virusscanners in hun huidige vorm zijn sowieso waanzin (pakkans is zeer laag en je systeem wordt er vaak juist onveiliger door).
Denk dat er maar een heel klein percentage van de gebruikers bij gebaat is en je het geld beter kan besteden aan bewustwording en betere (inrichting van de) infrastructuur.
27-04-2015, 16:19 door Anoniem
Bitdefender Total Security 2015 heeft een feature die SSL scanning wordt genoemd,momenteel geeft die problemen op mijn pc bij gebruik van Chrome browser. Deze SSL scanning feature staat standaard uitgeschakeld,maar werd door mij ingeschakeld omdat mij veiliger leek.De ingeschakelde SSL scanning veroorzaakt voor zover ik kon zien geen problemen bij gebruik IE en Firefox browser.
27-04-2015, 16:20 door Anoniem
Bitdefender gebruikt idd ook eigen certificaten.
27-04-2015, 19:49 door Anoniem
Door Anoniem: Virusscanners in hun huidige vorm zijn sowieso waanzin (pakkans is zeer laag en je systeem wordt er vaak juist onveiliger door).
Denk dat er maar een heel klein percentage van de gebruikers bij gebaat is en je het geld beter kan besteden aan bewustwording en betere (inrichting van de) infrastructuur.

Onbeschermd het net op en dan internetbankieren?
28-04-2015, 08:56 door Anoniem
De virusscanner die als MitM tussen de browser en het netwerk gaat zitten is een achterhaalde architectuur.

Beter is het dat browsers verbinding end-to-end versleutelen en de ontvangen data aan de lokale virusscanner aanbieden voor een oordeel.
28-04-2015, 08:58 door Anoniem
Precies de reden waarom ik van Avast naar Avira ben overgestapt.
28-04-2015, 09:09 door Anoniem
Door Anoniem: Bitdefender Total Security 2015 heeft een feature die SSL scanning wordt genoemd,momenteel geeft die problemen op mijn pc bij gebruik van Chrome browser. Deze SSL scanning feature staat standaard uitgeschakeld,maar werd door mij ingeschakeld omdat mij veiliger leek.De ingeschakelde SSL scanning veroorzaakt voor zover ik kon zien geen problemen bij gebruik IE en Firefox browser.

Had het zelfde en velen met mij ineens kon je niet meer inloggen bij hotmail omdat deze instelling was ingeschakeld door Bitdefender . na uitschakeling kon je weer inloggen op Hotmail .
28-04-2015, 09:15 door johanw
Het scannen van websites zet ik sowieso uit in virusscanners. Al was het maar uit privacyoverwegingen, het gaat de virusbouwer niks aan welke sites ik bezoek. Verder slaan ze vooral alarm op zaken die ik al anders afgevangen heb zoals besmette advertenties (zie ik dankzij een adblocker toch niet). Als ik een besmet bestand binnenhaal moet de filescanner maar alarm slaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Image

Senior Security Consultant

Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.

Lees meer

Wat baart jou momenteel meer zorgen, traditionele criminaliteit of cybercrime?

11 reacties
Aantal stemmen: 801
Image
BYOD
07:55 door Anoniem

Wanneer mensen een eigen device (BYOD) mee nemen naar werk: hoe bescherm jullie je daartegen? (Ben zelf tegen het gebruik van ...

8 reacties
Lees meer
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Prive bestanden van OneDrive worden openbaar bij gebruik van Versiegeschiedenis
02-03-2021 door hny3425

Als je voor OneDrive betaalt, kun je de functie Versiegeschiedenis gebruiken. Erg handig als je een vorige versie van een ...

25 reacties
Lees meer
Certified Secure LIVE Online training
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter