Abo
  • Services:
Anzeige
"Der Computer ist sicher" vermeldet Kaspersky - und öffnet die FREAK-Sicherheitslücke für Online-Banking-Seiten.
"Der Computer ist sicher" vermeldet Kaspersky - und öffnet die FREAK-Sicherheitslücke für Online-Banking-Seiten. (Bild: Screenshot)

HTTPS: Kaspersky ermöglicht Freak-Angriff

Verschiedene Antiviren-Programme enthalten Features, um verschlüsselte HTTPS-Verbindungen zu scannen. Dabei gefährden sie die Sicherheit der Verschlüsselung. Besonders drastisch: In der aktuellen Version von Kaspersky ist die Freak-Sicherheitslücke noch nicht geschlossen.

Anzeige

Viele Programme nutzen Man-in-the-Middle-Angriffe, um verschlüsselten Netzverkehr zu untersuchen und zu filtern, beispielsweise Jugendschutzfilter, Firewalls in Unternehmen oder Antiviren-Programme. Wir haben einige Antiviren-Programme, die mit derartigen Man-in-the-Middle-Technologien arbeiten, untersucht. Zwar haben wir keine fatalen Sicherheitslücken wie in Superfish gefunden, aber alle getesteten Programme verschlechtern die Sicherheit von TLS auf die eine oder andere Weise. Die kritischste Lücke haben wir in Kaspersky Internet Security gefunden.

Man-in-the-Middle-Angriff zur Inhaltsfilterung

Anlass für unsere Untersuchungen war eine Software namens Superfish, die auf Lenovo-Laptops vorinstalliert war und vor zwei Monaten für Schlagzeilen sorgte. Superfish manipulierte den HTTPS-Datenverkehr und schuf dabei eine Sicherheitslücke, die die Sicherheit der TLS-Verschlüsselung komplett aushebelte. Es stellte sich heraus, dass eine ganze Reihe von Programmen ähnliche Sicherheitslücken hatten, etwa das von Comodo beworbene Privdog.

Superfish nutzte eine Technologie, die weit verbreitet ist: Durch ein im Browser installiertes TLS-Zertifikat wird ein Man-in-the-Middle-Angriff auf die verschlüsselte Verbindung ermöglicht. Für jede HTTPS-Seite, die ein Nutzer mit dem Browser aufruft, wurde dann ein neues, von diesem Browser-Zertifikat unterschriebenes Zertifikat verwendet. Superfish machte dabei einen fatalen Fehler: Alle Installationen der Software nutzten dasselbe Zertifikat - und der private Schlüssel war Teil der Software und ließ sich extrahieren.

Warnung im öffentlichen Forum blieb ohne Reaktion

Bei den jetzt von uns untersuchten Antiviren-Programmen enthält Kaspersky Internet Security die kritischste Lücke: Das Programm nutzt offenbar intern eine alte Version von OpenSSL, die noch für die Freak-Sicherheitslücke verwundbar ist. Die Freak-Lücke ist ein Problem von OpenSSL, bei dem ein Angreifer einen Fehler in der State Machine von OpenSSL ausnutzen kann, um eine Verbindung mit einem uralten, unsicheren Modus zu erzwingen. Besonders erschreckend: Bereits wenige Stunden, nachdem die Freak-Lücke bekanntgeworden war, entdeckte ein Nutzer, dass Kaspersky Internet Security für dieses Problem ebenfalls verwundbar ist, und postete dies im öffentlichen Forum von Kaspersky. Doch bis heute hat Kaspersky diese Lücke nicht geschlossen.

Kaspersky aktiviert in der Standardeinstellung die HTTPS-Filterung nur für bestimmte, besonders kritische Webseiten. Insbesondere Onlinebanking-Webseiten versucht Kaspersky dadurch zu schützen und auf Malware zu scannen. Aktuell ist diese Filterung aber ein drastisches Sicherheitsrisiko.

Zwei weitere Antiviren-Programme, die ebenfalls HTTPS-Verbindungen scannen, sind Avast und ESET. Bei Avast ist die HTTPS-Filterung in der Standardeinstellung aktiviert, bei ESET steht sie nur als Option zur Verfügung.

Alle getesteten Programme deaktivieren HTTP Public Key Pinning

Ein Problem, das alle von uns getesteten Man-in-the-Middle-Lösungen haben ist, dass sie das Feature HTTP Public Key Pinning (HPKP) deaktivieren. HPKP ist ein vor kurzem verabschiedeter Standard, der es Webseiten ermöglicht, Browsern zu signalisieren, dass sie einen Hash des kryptographischen Schlüssels eines Zertifikats und einen Ersatzschlüssel abspeichern und bei künftigen Verbindungen prüfen sollen. Die Browser, die HPKP unterstützen - Chrome und Firefox - sind bei der Implementierung von HPKP einen Kompromiss eingegangen: Für manuell installierte Zertifikate wird das Key Pinning deaktiviert. Der Grund sind die bestehenden Lösungen zur HTTPS-Filterung, anders würden sie nicht funktionieren.

Theoretisch könnte eine Software, die den HTTPS-Verkehr filtert, selbst die Key-Pinning-Prüfung durchführen. Doch keine von uns getestete Software tut dies bisher. In allen Fällen ist es also so, dass die HTTPS-Filterung von Antiviren-Programmen ein bestehendes, sehr sinnvolles Sicherheitsfeature deaktiviert.

Einige weitere Unschönheiten: Avast und ESET unterstützen kein OCSP-Stapling. ESET erlaubt keine Verbindungen mit dem aktuellen TLS-Standard 1.2. Kaspersky aktiviert die Komprimierung von TLS, von der seit langem bekannt ist, dass sie unsicher ist und die sogenannte CRIME-Attacke ermöglicht. Sowohl Avast als auch Kaspersky akzeptieren Verbindungen mit einem Diffie-Hellman-Schlüsselaustausch mit völlig unsinnigen Parametern.

Filterung von HTTPS-Verbindungen generell problematisch

Es zeigt sich hier erneut, dass die Filterung von HTTPS-Verbindungen durch Man-in-the-Middle-Angriffe generell sehr problematisch ist. Alle getesteten Programme haben verschiedene Probleme. Es wäre zu hoffen gewesen, dass nach dem Superfish-Debakel etwas mehr Bewusstsein für diese Probleme besteht. Dass ausgerechnet Hersteller von Antiviren-Programmen, also von Tools, die angeblich für mehr Sicherheit sorgen sollen, hier so schlecht abschneiden, ist erschreckend.


eye home zur Startseite
keböb 29. Apr 2015

Wenn man als Firma oder Privatperson im Informatik-/Supportbereich von sowas abhängig...

HubertHans 29. Apr 2015

Sandbox ist schon unnuetzer Tuennes. Aktuelle Schadsoftware erkennt das und zieht den...

M. 27. Apr 2015

Dass MitM böse ist, immer und völlig ungeachtet der Umstände. Weder eine Schlangenöl...



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt, Berlin
  2. ESG Elektroniksystem- und Logistik-GmbH, Garching bei München
  3. Fraunhofer-Institut für Materialfluss und Logistik, Dortmund
  4. T-Systems International GmbH, Wolfsburg


Anzeige
Spiele-Angebote
  1. (-31%) 8,99€
  2. 10,99€
  3. 69,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Gulp-Umfrage

    Welche Kenntnisse IT-Freiberufler brauchen

  2. HPE

    650 Millionen Dollar für den Einstieg in die Hyperkonvergenz

  3. Begnadigung

    Danke, Chelsea Manning!

  4. Android 7

    Nougat für Smartphones von Sony, Oneplus, LG und Huawei

  5. Simplygon

    Microsoft reduziert 3D-Details

  6. Nach Begnadigung Mannings

    Assange weiter zu Auslieferung in die USA bereit

  7. Startups

    Rocket will 2017 drei Firmen in Gewinnzone bringen

  8. XMPP

    Chatsecure bringt OMEMO-Verschlüsselung fürs iPhone

  9. Special N.N.V.

    Nanoxias Lüfter sollen keinerlei Vibrationen übertragen

  10. Intel

    Internet-of-Things-Plattform auf x86-Basis angekündigt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  2. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel
  3. Raspberry Pi Compute Module 3 ist verfügbar

Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

  1. Re: Schöner Zug, aber...

    Moe479 | 04:53

  2. Re: heh?

    Moe479 | 04:41

  3. Re: Bringt mich auf eine Idee

    mdxdave | 04:36

  4. Re: Auskühlen ist keine gute Idee. Cloud...

    Vögelchen | 04:32

  5. Re: Darf man eigentlich urheberrechliches...

    mdxdave | 04:30


  1. 19:06

  2. 17:37

  3. 17:23

  4. 17:07

  5. 16:53

  6. 16:39

  7. 16:27

  8. 16:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel