W nawiązaniu do wczorajszej publikacji pt. ”Popularne rozwiązania do ochrony komputerów mogą obniżać poziom szyfrowania dla SSL/TLS”, Emsisoft, niewielka firma (aczkolwiek z dużymi sukcesami), która dostarcza rozwiązania bezpieczeństwa głównie na rynek konsumencki, opublikowała na własnym blogu stanowisko w ten sprawie. Z informacji, które możemy tam przeczytać dowiadujemy się, że w kontekście tego raportu (ale także ostatnich doniesień ze strony Mozilli oraz Google, które wręcz oskarżały firmy antywirusowe o zaniżanie poziomu bezpieczeństwa) zgłaszają się do nich klienci, którzy obawiają się, że Emsisoft stosuje podobne praktyki przechwytywania ruchu HTTPS w module chroniącym użytkownika podczas przegadania stron internetowych.
Emsisoft, w przeciwieństwie do znaczącej większości producentów antywirusów (o ile pamięć mnie nie myli) nigdy nie skanował stron HTTPS w kontekście rozszyfrowywania komunikacji z wykorzystaniem własnego certyfikatu (atak man-in-the-middle). Chroni użytkowników w inny sposób – weryfikuje bezpieczeństwo adresów IP (baza danych „czarnych” adresów IP malware, stron phishingowych, PNP oraz hostów wyświetlających reklamy) oraz sprawdza, czy zgadzają się one z nazwami DNS. Jednym słowem, moduł „Bezpieczne Surfowanie” kontroluje, czy adres IP w ustawieniach DNS domeny faktycznie pokrywa się z rekordem „A” lub kilkoma uwzględnionymi rekordami (jeśli jest to bardzo wielki serwis).
Dla przykładu, domena avlab.pl dział tylko na jednym adresie IP:
test@test:~$ host avlab.pl avlab.pl has address 109.95.156.139
Ale już wp.pl czy google.com może mieć tych adresów kilka lub kilkadziesiąt i w zależności od lokalizacji użytkownika strona będzie wczytywana z innego serwera (jak najbliżej użytkownika).
Chociaż Emsisoft sam nie rozszyfrowywuje ruchu przechodzącego przez przeglądarkę, to stosuje szyfrowane połączenie (SSL) w komunikacji antywirusa z serwerami aktualizacji, baz danych, złośliwych hostów, etc.
Metoda ochrony uwzględniona przez Emsisoft nie tylko nie wymaga ogromnych baz danych w chmurze, ale jest także – jakby na to nie patrzeć – bardziej przyjazna prywatności użytkownika.
W jakim celu przechwytywać ruch HTTPS?
Powodów jest kilka:
- W celu wykrywania złośliwych skryptów,
- Stron potencjalnie zagrożonych phishngiem,
- Adresów IP serwerów kontrolowanych przez przestępców,
- Opracowywania sygnatur IDS,
- Sprawdzania, w jaki sposób działa aplikacja,
Tak więc, jedynym sposobem do sprawdzania tych wszystkich potencjalnie szkodliwych aktywności jest ich przechwytywanie. Odbywa się to poprzez najzwyklejszy atak man-in-the-middle z certyfikatem SLL. Technicznie rzec biorąc, przeglądarka komunikuje się z lokalnym serwerem proxy HTTPS, dlatego wszystkie szyfrowane strony posiadają „zieloną kłódkę” bezpieczeństwa. Antywirus jako pośrednik w tym ruchu odszyfrowuje, skanuje, a następnie ponownie szyfruje i wysyła do przeglądarki zaszyfrowaną komunikację.
Jak pokazało badanie, większość producentów robi to źle – co nie oznacza, że nie powinni tego robić wcale. Jednak nie wiadomo z jakiego powodu niektórzy z nich stosują nie do końca bezpieczne metody kryptograficzne do ponownego zaszyfrowania komunikacji, które są przecież podatne na różnego rodzaju ataki w następstwie których można przechwycić i odszyfrować przekazywane dane.
