Virusscanners ondermijnen veiligheid versleutelde verbindingen

Virusscanners en software voor ouderlijk toezicht ondermijnen de veiligheid van versleutelde verbindingen, zo blijkt uit onderzoek van Xavier de Carné de Carnavalet en Mohammad Mannan van het Concordia Institute for Information Systems Engineering van de Concordia Universiteit in Montreal.

Tls/ssl-certificaten zorgen er onder andere voor dat websites kunnen worden geïdentificeerd en het webverkeer wordt versleuteld. Zo weten gebruikers dat ze op de juiste website zitten en hun verkeer beveiligd wordt verstuurd. Doordat het verkeer is beveiligd kunnen ook beveiligingspakketten het niet inspecteren. Om versleuteld verkeer toch te kunnen controleren en filteren voegt de beveiligingssoftware een ‘TLS-proxy’ toe. Er wordt een eigen rootcertificaat op de computer geïnstalleerd, zodat versleutelde verbindingen zonder waarschuwingen aan de gebruiker kunnen worden onderschept. De manier waarop de beveiligingspakketten dit doen heeft echter gevolgen voor de veiligheid van versleutelde verbindingen, aldus de onderzoekers.

Ze onderzochten (pdf) tien beveiligingspakketten en vier programma’s voor ouderlijk toezicht. Bij vier producten is het standaard voor een aanvaller mogelijk om via een actieve man-in-the-middle-aanval een server na te bootsen zonder dat er alarm wordt geslagen. In dit geval kan een aanvaller versleuteld verkeer onderscheppen en gebruikers naar phishingsites doorsturen. Bij twee andere producten moet eerst TLS-filtering worden ingeschakeld voordat dit mogelijk is. Verder blijkt dat de beveiligingspakketten browsers misleiden door te laten denken dat een versleutelde verbinding veiliger is dan in werkelijk het geval is, door bijvoorbeeld kunstmatig de TLS-versie van een server waarmee verbinding wordt gemaakt op de computer te verhogen.

Problemen

Bij het onderzoek liepen de onderzoekers tegen allerlei problemen aan. Zo bleek dat een verlopen proefversie van Kaspersky alle aangeboden ssl-certificaten accepteerde, iets wat in een nieuwere versie inmiddels is verholpen. Gebruikers die de versie van maart 2015 hebben geinstalleerd lopen echter risico. Ook bleek dat de privesleutels van de toegevoegde certificaten konden worden achterhaald. CYBERsitter, KinderGate en PC Pandora, software voor ouderlijk toezicht, blijken bijna alle ongeldige certificaten te accepteren. Iets wat ook het geval was met de software van G Data. Inmiddels vraagt de software om bevestiging van de gebruiker. De virusscanner van BullGuard blijkt de handtekening van certificaten niet te controleren en accepteert valse certificaten. Verder controleren negen proxies niet of een certificaat is ingetrokken.

De onderzoekers concluderen dan ook dat geen enkele TLS-proxy veilig is met betrekking tot de uitgevoerde tests. Soms is het daarbij eenvoudig voor een aanvaller om een man-in-the-middle-aanval uit te voeren zodra het product op een computer is geïnstalleerd.
De onderzoekers trekken dan ook het doel van TLS-proxies, zeker in het geval van virusscanners in twijfel, omdat ze de veiligheid van de computer juist moeten vergroten. “Deze producten blijken juist de voordelen van verbeteringen in het SSL-ecosysteem ernstig te ondermijnen”, aldus de onderzoekers, die dan ook het veelgehoorde advies om anti-virussoftware te gebruiken in twijfel trekken. Tevens adviseren ze browserontwikkelaars om gebruikers te waarschuwen als het verkeer lokaal op hun computer door een TLS-proxy wordt onderschept.

Een man-in-the-middle-aanval is een aanval waarbij informatie tussen twee communicerende partijen onderschept wordt zonder dat beide partijen daar weet van hebben. Hierbij bevindt de computer van de aanvaller zich tussen de twee communicerende partijen. De berichten kunnen daarbij mogelijk gelezen en veranderd worden. Ook kunnen berichten worden verzonden die niet door de andere partij zijn geschreven. De naam van de aanval verwijst naar de derde persoon die in het midden tussen de twee partijen staat en de langskomende berichten bekijkt en aanpast. Voorbeelden hiervan zijn het onderscheppen van e-mail en ander dataverkeer tussen twee of meerdere computers. Ook het onderscheppen van brieven en telefoongesprekken kan men zien als man-in-the-middle-aanvallen.

Tabel

Bron: CX Security

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *