Czy oprogramowanie antywirusowe stwarza zagrożenie dla bezpieczeństwa?

10 lutego, 2017
sec_av

W nawiązaniu do wczorajszej publikacji pt. ”Popularne rozwiązania do ochrony komputerów mogą obniżać poziom szyfrowania dla SSL/TLS”, Emsisoft, niewielka firma (aczkolwiek z dużymi sukcesami), która dostarcza rozwiązania bezpieczeństwa głównie na rynek konsumencki, opublikowała na własnym blogu stanowisko w ten sprawie. Z informacji, które możemy tam przeczytać dowiadujemy się, że w kontekście tego raportu (ale także ostatnich doniesień ze strony Mozilli oraz Google, które wręcz oskarżały firmy antywirusowe o zaniżanie poziomu bezpieczeństwa) zgłaszają się do nich klienci, którzy obawiają się, że Emsisoft stosuje podobne praktyki przechwytywania ruchu HTTPS w module chroniącym użytkownika podczas przegadania stron internetowych.

Emsisoft, w przeciwieństwie do znaczącej większości producentów antywirusów (o ile pamięć mnie nie myli) nigdy nie skanował stron HTTPS w kontekście rozszyfrowywania komunikacji z wykorzystaniem własnego certyfikatu (atak man-in-the-middle). Chroni użytkowników w inny sposób – weryfikuje bezpieczeństwo adresów IP (baza danych „czarnych” adresów IP malware, stron phishingowych, PNP oraz hostów wyświetlających reklamy) oraz sprawdza, czy zgadzają się one z nazwami DNS. Jednym słowem, moduł „Bezpieczne Surfowanie” kontroluje, czy adres IP w ustawieniach DNS domeny faktycznie pokrywa się z rekordem „A” lub kilkoma uwzględnionymi rekordami (jeśli jest to bardzo wielki serwis).

Dla przykładu, domena avlab.pl dział tylko na jednym adresie IP:

test@test:~$ host avlab.pl

avlab.pl has address 109.95.156.139

Ale już wp.pl czy google.com może mieć tych adresów kilka lub kilkadziesiąt i w zależności od lokalizacji użytkownika strona będzie wczytywana z innego serwera (jak najbliżej użytkownika).

Chociaż Emsisoft sam nie rozszyfrowywuje ruchu przechodzącego przez przeglądarkę, to stosuje szyfrowane połączenie (SSL) w komunikacji antywirusa z serwerami aktualizacji, baz danych, złośliwych hostów, etc.

Metoda ochrony uwzględniona przez Emsisoft nie tylko nie wymaga ogromnych baz danych w chmurze, ale jest także – jakby na to nie patrzeć – bardziej przyjazna prywatności użytkownika.

W jakim celu przechwytywać ruch HTTPS?

Powodów jest kilka:

  • W celu wykrywania złośliwych skryptów,
  • Stron potencjalnie zagrożonych phishngiem,
  • Adresów IP serwerów kontrolowanych przez przestępców,
  • Opracowywania sygnatur IDS,
  • Sprawdzania, w jaki sposób działa aplikacja,

Tak więc, jedynym sposobem do sprawdzania tych wszystkich potencjalnie szkodliwych aktywności jest ich przechwytywanie. Odbywa się to poprzez najzwyklejszy atak man-in-the-middle z certyfikatem SLL. Technicznie rzec biorąc, przeglądarka komunikuje się z lokalnym serwerem proxy HTTPS, dlatego wszystkie szyfrowane strony posiadają „zieloną kłódkę” bezpieczeństwa. Antywirus jako pośrednik w tym ruchu odszyfrowuje, skanuje, a następnie ponownie szyfruje i wysyła do przeglądarki zaszyfrowaną komunikację.

Jak pokazało badanie, większość producentów robi to źle – co nie oznacza, że nie powinni tego robić wcale. Jednak nie wiadomo z jakiego powodu niektórzy z nich stosują nie do końca bezpieczne metody kryptograficzne do ponownego zaszyfrowania komunikacji, które są przecież podatne na różnego rodzaju ataki w następstwie których można przechwycić i odszyfrować przekazywane dane.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
2 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]