Abo
  • Services:
Anzeige
"Der Computer ist sicher" vermeldet Kaspersky - und öffnet die FREAK-Sicherheitslücke für Online-Banking-Seiten.
"Der Computer ist sicher" vermeldet Kaspersky - und öffnet die FREAK-Sicherheitslücke für Online-Banking-Seiten. (Bild: Screenshot)

HTTPS: Kaspersky ermöglicht Freak-Angriff

"Der Computer ist sicher" vermeldet Kaspersky - und öffnet die FREAK-Sicherheitslücke für Online-Banking-Seiten.
"Der Computer ist sicher" vermeldet Kaspersky - und öffnet die FREAK-Sicherheitslücke für Online-Banking-Seiten. (Bild: Screenshot)

Verschiedene Antiviren-Programme enthalten Features, um verschlüsselte HTTPS-Verbindungen zu scannen. Dabei gefährden sie die Sicherheit der Verschlüsselung. Besonders drastisch: In der aktuellen Version von Kaspersky ist die Freak-Sicherheitslücke noch nicht geschlossen.

Anzeige

Viele Programme nutzen Man-in-the-Middle-Angriffe, um verschlüsselten Netzverkehr zu untersuchen und zu filtern, beispielsweise Jugendschutzfilter, Firewalls in Unternehmen oder Antiviren-Programme. Wir haben einige Antiviren-Programme, die mit derartigen Man-in-the-Middle-Technologien arbeiten, untersucht. Zwar haben wir keine fatalen Sicherheitslücken wie in Superfish gefunden, aber alle getesteten Programme verschlechtern die Sicherheit von TLS auf die eine oder andere Weise. Die kritischste Lücke haben wir in Kaspersky Internet Security gefunden.

Man-in-the-Middle-Angriff zur Inhaltsfilterung

Anlass für unsere Untersuchungen war eine Software namens Superfish, die auf Lenovo-Laptops vorinstalliert war und vor zwei Monaten für Schlagzeilen sorgte. Superfish manipulierte den HTTPS-Datenverkehr und schuf dabei eine Sicherheitslücke, die die Sicherheit der TLS-Verschlüsselung komplett aushebelte. Es stellte sich heraus, dass eine ganze Reihe von Programmen ähnliche Sicherheitslücken hatten, etwa das von Comodo beworbene Privdog.

Superfish nutzte eine Technologie, die weit verbreitet ist: Durch ein im Browser installiertes TLS-Zertifikat wird ein Man-in-the-Middle-Angriff auf die verschlüsselte Verbindung ermöglicht. Für jede HTTPS-Seite, die ein Nutzer mit dem Browser aufruft, wurde dann ein neues, von diesem Browser-Zertifikat unterschriebenes Zertifikat verwendet. Superfish machte dabei einen fatalen Fehler: Alle Installationen der Software nutzten dasselbe Zertifikat - und der private Schlüssel war Teil der Software und ließ sich extrahieren.

Warnung im öffentlichen Forum blieb ohne Reaktion

Bei den jetzt von uns untersuchten Antiviren-Programmen enthält Kaspersky Internet Security die kritischste Lücke: Das Programm nutzt offenbar intern eine alte Version von OpenSSL, die noch für die Freak-Sicherheitslücke verwundbar ist. Die Freak-Lücke ist ein Problem von OpenSSL, bei dem ein Angreifer einen Fehler in der State Machine von OpenSSL ausnutzen kann, um eine Verbindung mit einem uralten, unsicheren Modus zu erzwingen. Besonders erschreckend: Bereits wenige Stunden, nachdem die Freak-Lücke bekanntgeworden war, entdeckte ein Nutzer, dass Kaspersky Internet Security für dieses Problem ebenfalls verwundbar ist, und postete dies im öffentlichen Forum von Kaspersky. Doch bis heute hat Kaspersky diese Lücke nicht geschlossen.

Kaspersky aktiviert in der Standardeinstellung die HTTPS-Filterung nur für bestimmte, besonders kritische Webseiten. Insbesondere Onlinebanking-Webseiten versucht Kaspersky dadurch zu schützen und auf Malware zu scannen. Aktuell ist diese Filterung aber ein drastisches Sicherheitsrisiko.

Zwei weitere Antiviren-Programme, die ebenfalls HTTPS-Verbindungen scannen, sind Avast und ESET. Bei Avast ist die HTTPS-Filterung in der Standardeinstellung aktiviert, bei ESET steht sie nur als Option zur Verfügung.

Alle getesteten Programme deaktivieren HTTP Public Key Pinning

Ein Problem, das alle von uns getesteten Man-in-the-Middle-Lösungen haben ist, dass sie das Feature HTTP Public Key Pinning (HPKP) deaktivieren. HPKP ist ein vor kurzem verabschiedeter Standard, der es Webseiten ermöglicht, Browsern zu signalisieren, dass sie einen Hash des kryptographischen Schlüssels eines Zertifikats und einen Ersatzschlüssel abspeichern und bei künftigen Verbindungen prüfen sollen. Die Browser, die HPKP unterstützen - Chrome und Firefox - sind bei der Implementierung von HPKP einen Kompromiss eingegangen: Für manuell installierte Zertifikate wird das Key Pinning deaktiviert. Der Grund sind die bestehenden Lösungen zur HTTPS-Filterung, anders würden sie nicht funktionieren.

Theoretisch könnte eine Software, die den HTTPS-Verkehr filtert, selbst die Key-Pinning-Prüfung durchführen. Doch keine von uns getestete Software tut dies bisher. In allen Fällen ist es also so, dass die HTTPS-Filterung von Antiviren-Programmen ein bestehendes, sehr sinnvolles Sicherheitsfeature deaktiviert.

Einige weitere Unschönheiten: Avast und ESET unterstützen kein OCSP-Stapling. ESET erlaubt keine Verbindungen mit dem aktuellen TLS-Standard 1.2. Kaspersky aktiviert die Komprimierung von TLS, von der seit langem bekannt ist, dass sie unsicher ist und die sogenannte CRIME-Attacke ermöglicht. Sowohl Avast als auch Kaspersky akzeptieren Verbindungen mit einem Diffie-Hellman-Schlüsselaustausch mit völlig unsinnigen Parametern.

Filterung von HTTPS-Verbindungen generell problematisch

Es zeigt sich hier erneut, dass die Filterung von HTTPS-Verbindungen durch Man-in-the-Middle-Angriffe generell sehr problematisch ist. Alle getesteten Programme haben verschiedene Probleme. Es wäre zu hoffen gewesen, dass nach dem Superfish-Debakel etwas mehr Bewusstsein für diese Probleme besteht. Dass ausgerechnet Hersteller von Antiviren-Programmen, also von Tools, die angeblich für mehr Sicherheit sorgen sollen, hier so schlecht abschneiden, ist erschreckend.


eye home zur Startseite
keböb 29. Apr 2015

Wenn man als Firma oder Privatperson im Informatik-/Supportbereich von sowas abhängig...

HubertHans 29. Apr 2015

Sandbox ist schon unnuetzer Tuennes. Aktuelle Schadsoftware erkennt das und zieht den...

M. 27. Apr 2015

Dass MitM böse ist, immer und völlig ungeachtet der Umstände. Weder eine Schlangenöl...



Anzeige

Stellenmarkt
  1. Bremer Rechenzentrum GmbH, Bremen
  2. vwd TransactionSolutions AG, Frankfurt am Main
  3. GHM Gesellschaft für Handwerksmessen mbH, München
  4. Laserline GmbH, Mülheim-Kärlich


Anzeige
Top-Angebote
  1. (u. a. Avatar, Whiplash, Fast & Furious 6, Braveheart, Forrest Gump, Das fünfte Element, Pain...
  2. 55,00€ (Vergleichspreis ab ca. 75€)
  3. (alle Angebote versandkostenfrei, u. a. The Last Stand Limited Uncut Steelbook 5,00€, Iron Sky...

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Microsoft

    Besucher können die Hololens im Kennedy Space Center nutzen

  2. MacOS 10.12

    Fujitsu warnt vor der Nutzung von Scansnap unter Sierra

  3. IOS 10.0.2

    Apple beseitigt Ausfälle der Lightning-Audio-Kontrollen

  4. Galaxy Note 7

    Samsung tauscht das Smartphone vor der Haustür aus

  5. Falcon-9-Explosion

    SpaceX grenzt Explosionsursache ein

  6. Die Woche im Video

    Schneewittchen und das iPhone 7

  7. 950 Euro

    Abmahnwelle zu Pornofilm-Filesharing von Betrügern

  8. Jailbreak

    19-Jähriger will iPhone-7-Exploit für sich behalten

  9. Alle drei Netze

    Ericsson und Icomera bauen besseres Bahn-WLAN

  10. Oculus Rift

    Palmer Luckey im Netz als Trump-Unterstützer geoutet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starship Technologies: Es wird immer nach Diebstahl und Vandalismus gefragt
Starship Technologies
Es wird immer nach Diebstahl und Vandalismus gefragt
  1. Recore Mein Buddy, der Roboter
  2. Weltraumforschung DFKI-Roboter soll auf dem Jupitermond Europa abtauchen
  3. Softrobotik Oktopus-Roboter wird mit Gas angetrieben

PES 2017 im Test: Vom Feeling her ein gutes Gefühl
PES 2017 im Test
Vom Feeling her ein gutes Gefühl

Classic Computing 2016: Wie Nordhorn für ein Wochenende zu Nerdhome wurde
Classic Computing 2016
Wie Nordhorn für ein Wochenende zu Nerdhome wurde
  1. Fifa 17 Was macht Dragon Age in meiner Fifa-Demo?
  2. Feuerwerkwettbewerb Pyronale 2016 Erst IT macht prächtige Feuerwerke möglich
  3. Flüge gecancelt Delta Airlines weltweit durch Computerpanne lahmgelegt

  1. Re: [Hier Beleidigung einfügen]

    stiGGG | 01:36

  2. Re: Ja und???

    emuuu | 01:17

  3. Re: Performance auf alten Rechner

    Eierspeise | 00:55

  4. Re: "Und geschockt, was neue Dateifunktionen auf...

    FreiGeistler | 00:15

  5. Re: macOS ist fertig

    FreiGeistler | 00:04


  1. 12:51

  2. 11:50

  3. 11:30

  4. 11:13

  5. 11:03

  6. 09:00

  7. 18:52

  8. 17:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel