Als ze nu ook eens zouden samenwerken met de overheden hebben ze de pefecte vermomming. Een werkende antivirus die je daarbij ook nog eens spioneert met als reden veiligheid.
Er moet uiteraard een oplossing komen, de vraag is echter of jij je antivirus op zo een mate vertrouwt dat deze al je data kan lezen (en mogelijks verzenden naar derden of zichzelf).

Ik hoop wel dat deze onzin niet gebeurt als ik de virusscanner geen webverkeer laat scannen. Als ik een virus download slaat hij maar alarm als het op disk opgeslagen wordt hoor.

Grappig dat je dat zegt want de russische AV's doen dit ook ( denk aan Kaspersky bv ).

Als mijn data dan toch onderschept word, dan liever door het monster dat mij beschermt als diegene die me wil aanvallen

Waarom niet een fatsoenlijke API afstemmen tussen browsers en de virusscanner? Dan kan de AV een kopie van de data krijgen en enkel een ACK/NACK geven?

Tot zover de betrouwbaarheid van certificaten en daarmee van het internet. Appt u rustig verder. Er is geen enkele dreiging van piracy - eh, sorry: privacy. En mocht u data missen, geen nood: er is altijd wel iemand die nog een kopie heeft.

Diverse anti-virus leveranciers "detecteren" ook al geen virussen van hun eigen overheid. Dan is dit een logische volgende stap.

Peter

Exit Avast ...

Waarom spreken de anti-virus bouwers ze geen API met browser bouwers af waarmee een browser alle data door de scanner kan laten controleren? Ben je van al die domme workaround 'oplossingen' af.

5 maart 2015 : MitM AVAST keurt ingetrokken certificaten goed !

http://www.thesafemac.com/wp-content/uploads/2015/02/Avast-cert-fail.png

http://www.thesafemac.com/avasts-man-in-the-middle/

Foutje kan je zeggen, was het maar het enige wat je noemt foutje.

Je zou denken, als AdBlocker het zonder kan, moet een AV-leverancier toch ook zonder kunnen. Of het zo maken dat het echt waarde toevoegt, bijvoorbeeld door aanvullende strengere controles toe te passen, in plaats van afbreekt.

Wat Avast denk ik ook graag ziet is dat hun SafePrice software (https://blog.avast.com/2014/03/27/how-does-avast-safeprice-work/) correct werkt, je weet wel, die software die Advertenties injecteert in je pagina.

In hun eigen marketing woorden:

Er zijn voordelen en nadelen aan het scannen van SSL verkeer (lees de berichten hierboven). Wat ik zelf vervelend vind is dat Avast het aan zet zonder dat te melden.

Ik gebruik thuis sinds kort Avast. Net als iedereen moet ook ik rekening betalen. Nu doe ik dat graag via Mijn ING, maar kijk wel altijd of ik het juiste certificaat voor mij heb. Na de installatie van Avast klopt het certificaat niet meer. Het was geen EV certificaat. Voor mij een rede om te kijken wat er mis was. Als snel zag ik dat ik een certificaat had van Avast. Ik had Avast NOOIT (bewust) toestemming gegeven om mijn SSL verkeer te inspecteren, tocht deed Avast het. Alleen was het certificaat dat ik van AVAST kreeg geen EV certificaat maar een standaard SSL certificaat.

De reden om eerder te scannen is dat lang niet alles dat jouw browser "binnenkrijgt" naar disk geschreven wordt, maar wel kwaadaardig kan zijn. Denk aan browser/PDF/Java/Flash/Silverlight exploits en/of aan memory resident malware.

Aan de andere kant is het betrouwbaar scannen van een stream lastig (relatief makkelijk te omzeilen) dan van een compleet "object" (webpage, script, Flash film, geheel gedownload bestand). De browser kan de voortgang van een download bijv. niet weergeven als de MitM virusscanner eerst het hele bestand wil downloaden en scannen voordat deze aan de webbrowser wordt doorgegeven (dit kan ook tot allerlei complicaties leiden, zoals timeouts die de browser denkt te signaleren).

Dus ja, scannen van de "stream" tussen server en browser kan zinvol zijn, maar het nut is beperkt.

Die API's bestaan. Een goed anti-malware pakket bevat iets als "Web Antivirus" dat doet wat jij bedoelt.

Een nadeel van deze aanpak is dat er na de SSL/TLS stack van de browser (of besturingssysteem) gescand wordt, en je dus eventuele aanvallen daarop niet detecteert (in principe zou een virusscanner met SSL/TLS-inspectie Logjam aanvallen kunnen detecteren en verhinderen, maar ik vraag me sterk af of er pakketten zijn geweest die deze functionaliteit snel hebben toegevoegd). Aan de andere kant verplaats je het risico van de browser/OS stack, naar de stack die het anti-malware product gebruikt. En ook daar kunnen kwetsbaarheden in zitten, die mogelijk minder snel aan het licht komen.

Een voordeel van scannen ergens na SSL/TLS decryptie is dat je in veel gevallen complete objecten kunt scannen, d.w.z. voordat deze verder verwerkt worden en schade kunnen aanrichten.

En zelfs als je SSL/TLS-inspectie uitzet zou je nog risico kunnen lopen, namelijk als Avast daarmee het rootcertificaat niet uit alle certificate stores op je systeem verwijdert en/of de bijbehorende private key vernietigt.

Immers, om als CA te kunnen werken, heb je op jouw systeem, naast het rootcertificaat, ook een private key nodig waar Avast bij moet kunnen. Zelfs als die private key in een versleuteld bestand op je schijf staat (ik heb bij Kaspersky gezien dat deze onversleuteld in een bestandje staat met "Everyone: Read" permissies), moet Avast de sleutel daarvan ergens op je systeem hebben staan. M.a.w. waterdicht krijg je dit moeilijk of niet. Als aanvallers, via perongeluk gestarte malware op jouw systeem (bijv. in een unprivilgeded account van een kind), die private key in handen krijgen, kunnen ze daarmee code signeren waarmee later betrekkelijk eenvoudig privilege escalations zijn te realiseren.

Advies: elimineer dergelijke MitM certificaten door deze te kopiëren naar de untrusted certificate container van elke certificate store. En doe dat zomogelijk op systeemniveau, zodat geen enkele gebruiker met misbruik geconfronteerd kan worden. Mocht een pakket (na een update) zelf besluiten om SSL/TLS inspectie weer aan te zetten, zou het pakket natuurlijk ook dat untrusted certificaat kunnen verwijderen, maar met wat geluk gebeurt dit niet en krijg je een waarschuwing bij de eerstvolgende https verbinding.

De security producten beginnen zo onderhand een groter probleem te worden dan hetgeen ze pretenderen te verhelpen. Zo ben ik benieuwd wat er bij deze gebruikers gebeurt als sites HSTS/HPKP gaan enablen. Het zou me niet verbazen als sites dan niet meer resolven, met alle gevolgen van dien.
De security tools van vandaag de dag bieden totaal geen oplossing meer voor het huidige dreigingslandschap. Malware kun je met een paar commando's opnieuw packagen zodat de signature al niet meer klopt. Dan hou je heuristics over, waarvan nog maar de vraag is of ze op tijd de infectie oppikken (denk aan de crypto malware, waarbij die timing erg belangrijk is). En malware in hardware (HDD firmware memory, Graphics memory, BOIS/UEFI enz) of HDD boot sectoren, daar kunnen ze al helemaal niks mee. BadUSB idem. Wat dat betreft verbaasd het me nog dat deze bedrijven (blijkbaar) nog steeds veel geld verdienen. Ik gebruik het iig al jaren niet meer.