Grupa naukowców opublikowała ważny raport poruszający problematykę bezpieczeństwa produktów do ochrony komputerów domowych i firmowych oraz ich wpływu na pogorszenie szyfrowania komunikacji w kontekście stosowania przez producentów ataków man-in-the-middle (podstawianie własnego certyfikatu celem rozszyfrowania i przeskanowania nagłówków HTTPS), co prowadzi do zastosowania słabszych funkcji szyfrujących dane przekazywanych z powrotem jako odpowiedź do serwera.

Jeżeli do tej pory nie wiedzieliście, w jaki sposób wasze antywirusy są w stanie przeskanować szyfrowany ruch HTTPS, to śpieszymy z wyjaśnieniami – producenci stosują prawdziwe ataki mn-in-the-middle (link is external), w których posługują się swoimi certyfikatami SSL instalowanymi w magazynie „Zaufane Główne Urzędy Certyfikacji” (możecie to sprawdzić wpisując: Uruchom→ certmgr.msc). Robią to z dobrych pobudek: aby odszyfrować, następnie przeskanować i ponownie zaszyfrować przesyłane informacje, które wysyłane są z powrotem do serwera przez przeglądarkę lub inny protokół komunikacyjny. Są też i dobre strony takiego podejścia do ochrony – niektóre antywirusy mogą blokować połączenia szyfrowane bardzo starymi protokołami SSL 2.0 i 3.0, które podatne są na manipulację, w tym wymuszanie korzystania ze słabszszych funkcji szyfrujących komunikację, a to już może prowadzić do rozszyfrowania informacji.

Badacze po przeanalizowaniu 8 miliardów zapisanych parametrów negocjowania bezpiecznego połączenia (TLS handshake) w odpowiedzi od otworzonych stron internetowych (e-commerce oraz „schowanych” za CloudFlare), wzięli pod lupę kilkanaście najpopularniejszych rozwiązań do ochrony komputerów:

Większość sprawdzonych aplikacji antywirusowych umożliwia skanowanie stron HTTPS, ale zastosowany protokół TLS w wersji 1.0 i 1.2 podatny jest na różne ataki. Producenci powinni zastosować algorytm TLS 1.3, który zapewnia znacznie większą poufność i integralność transmisji danych.

Z rozwiązaniami do zastosowań komercyjnych wcale nie jest lepiej:

Prawie wszystkie produkty do przechwytywania i „przepuszczania” ruchu sieciowego w celu jego filtrowania przez lokalne proxy obniżają bezpieczeństwo komunikacji.

Dostawcy poszczególnych rozwiązań z całą pewnością angażują wiele zasobów i dokładają należytych starań, aby pomóc w egzekwowaniu strategii bezpieczeństwa oraz zasad dotyczących skanowania potencjalnych wektorów ataku i tym samym starają się poprawić bezpieczeństwo klienta końcowego. Jednak medal ten ma dwie strony – pomiędzy nimi a podmiotami, które starają się ciągle ulepszać standardy komunikacji przyczyniając się do ulepszania mechanizmów szyfrowania, rysuje się pewien konflikt, którego szczegóły zostały zawarte w badaniu:

- Częstotliwość stosowania ataków man-in-the-midde jest znacznie większa, niż wcześniej sądzono. Robią to w zasadzie wszyscy.

- Większość wskazanych w badaniu produktów do ochrony sieci firmowych podatnych jest na szpiegowanie użytkowników i wstrzykiwanie kodu. W efekcie zmniejszają bezpieczeństwo połączenia, np. nie weryfikują poprawności certyfikatów. Tylko Blue Coat zdobył najwyższą ocenę „A”. Pozostałe produkty firm: Barracuda, Checkpoint, Cisco, Fortinet, Juniper, Microsoft, Sophos, Untangle i WebTitan nie najlepiej „zabierają się” za ponowne szyfrowanie parametrów negocjowania połączenia i nie zawsze stosują bezpieczne metody szyfrowania pakietów oraz kluczowych danych wymaganych do negocjowania ustawień zabezpieczeń transmisji.

- Większość sprawdzonych rozwiązań do ochrony sieci domowych podatna jest na atak POODLE, Logjam, CRIME. Niektórzy producenci, którzy filtrują ruch sieciowy na portach "80 / 8080 / 443" nie sprawdzają poprawności certyfikatów.

- Najbezpieczniejszy skaner ruchu szyfrowanego posiada Avast (chociaż badacze skupili się na sprawdzeniu starej wersji antywirusa), który otrzymał ocenę "A".

- Pozostałe 24 antywirusy posiadają jedną lub więcej wad, które mogą zostać wykorzystane do odszyfrowania komunikacji przez atakującego (podatności BEAST, FREAK, Logjam na TLS).

- Badacze zachęcają dostawców oprogramowania antywirusowego do całkowitego zaprzestania przechwytywania ruchu HTTPS, ponieważ antywirusy i tak mają już duży dostęp do lokalnych zasobów.

Antywirusy vs. reszta świata

Opublikowane badanie w kontekście ostatnich komentarzy byłego pracownika Mozilli oraz zespołu odpowiedzialnego za przeglądarkę Google Chrome z pewnością dolewają oliwy do ognia. Jak dowiadujemy się ze źródła, niektóre osoby głęboko wtajemniczone w rozwój przeglądarek zarzucają wszystkim producentom antywirusów (poza Microsoftem - ciekawe dlaczego?), że ich rozwiązania ochronne obniżają poziom bezpieczeństwa przeglądarek. Na przykład, kiedy po raz pierwszy do przeglądarek wprowadzono mechanizm ASLR, wielu producentów AV wstrzykiwało własne DLL-e do ASLR, aby sprawdzać bezpieczeństwo tych procesów. W efekcie mogło się to zakończyć zablokowaniem aktualizacji tj. uniemożliwieniem dostarczenia użytkownikom poprawek bezpieczeństwa. Jednak z drugiej strony, ci sami producenci przeglądarek chyba zapominają o ilości luk, które są znajdywane w ich produktach.

I komu tutaj wierzyć? Czyją stronę trzymać? Może Windows Defendera? Zdecydowanie nie – przed tym pseudo-antywirusem jeszcze długa droga do osiągnięcia zadowalającego poziomu. Jeśli ktoś nie wierzy, niech rzuci okiem na nasze ostatnie testy i prześledzi wyniki Microsoft Windows Defender:

AUTOR:

Adrian Ścibor

Podziel się