Sicherheitslücken in Kaspersky-Software

Bereits 2015 berichtete Golem.de darüber, dass die Kaspersky-Software dank HTTPS-Interception dafür sorgte, dass Nutzer weiterhin für die Monate davor entdeckte Freak-Sicherheitslücke verwundbar waren. Erst kürzlich fand Tavis Ormandy von Googles Project Zero heraus, dass in dieser Kaspersky-Funktion eine noch viel schlimmere Sicherheitslücke steckte: Praktisch reduzierte sie die Sicherheit von RSA-Keys auf lächerliche 32 Bit.

Hochwertiger TLS-Stack durch Minderwertigen ersetzt

Stellenmarkt
  1. Softwareentwickler (m/w/d) Embedded Systems
    Arburg GmbH & Co. KG, Loßburg
  2. Informatiker / Elektrotechniker / Naturwissenschaftler als Experte (m/w/d) Softwarevalidierung
    RICHARD WOLF GMBH, Knittlingen (Raum Pforzheim/Karlsruhe)
Detailsuche

Browserhersteller verwenden üblicherweise viel Energie darauf, dass ihre TLS-Stacks sehr sicher sind, und implementieren viele moderne Features, um Angriffen zu widerstehen. Auch sind sie oft vorne mit dabei, wenn es darum geht, in Standardisierungsgremien bessere Sicherheitsmechanismen zu entwickeln. Von den Herstellern der meisten TLS-Interception-Lösungen sieht man praktisch nie ein derartiges Engagement. Daher überrascht die Situation auch nicht: Wer eine HTTPS-Interception-Lösung einsetzt, ersetzt in aller Regel einen sehr hochwertigen TLS-Stack durch einen Minderwertigen.

Die Autoren der jetzt veröffentlichten Studie kommen zu dem Schluss, dass eine sehr grundsätzliche Diskussion über HTTPS-Interception notwendig ist. So schreiben sie, dass es in der Security-Community keinen Konsens darüber gibt, ob HTTPS-Interception überhaupt akzeptabel ist. In ihrer Kritik sind sie aber noch vergleichsweise zurückhaltend.

Der wichtigste Grund, weshalb Sicherheitsprodukte überhaupt verschlüsselte Verbindungen mitlesen, ist das Erkennen von Angriffen und Malware. Doch die Malwareerkennung steht generell gerade unter Beschuss. Viele namhafte IT-Sicherheitsexperten haben sich in jüngster Zeit sehr kritisch über Antiviren-Programme geäußert und halten den gesamten Ansatz für verfehlt. Dass mittels HTTPS-Interception ein bestehender, gut funktionierender Sicherheitsmechanismus wie TLS durch sogenannte Sicherheitssoftware ausgehebelt wird, dürfte diese Diskussion weiter befeuern.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Der Autor dieses Texts hat auf dem Chaos Communication Camp 2015 einen Vortrag zum Thema mit dem Titel TLS Interception considered harmful gehalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Bis zu zehn Prozent der Verbindungen betroffen
  1.  
  2. 1
  3. 2
  4. 3


Aktuell auf der Startseite von Golem.de
Victorian Big Battery
Tesla-Speicher brannte vier Tage lang

Viel Aufwand war nötig, um das brennende Akku-Modul zu löschen.

Victorian Big Battery: Tesla-Speicher brannte vier Tage lang
Artikel
  1. Windows 365: Der mietbare Cloud-PC mit Windows kann bestellt werden
    Windows 365
    Der mietbare Cloud-PC mit Windows kann bestellt werden

    Microsoft startet mit Windows 365 und gibt Preise für den Cloud-PC bekannt. Die VMs sollen wie physische Windows-PCs funktionieren.

  2. Android: Googles Tensor-SoC ist eine halbe Mogelpackung
    Android
    Googles Tensor-SoC ist eine halbe Mogelpackung

    Für seinen ersten eigenen Smartphone-Chip liefert Google ausschließlich Erwartbares und dämpft damit sämtliche Hoffnungen an besseren Support und gute Linux-Treiber.
    Ein IMHO von Sebastian Grüner

  3. Apple-Tastatur: Magic Keyboard mit Touch ID jetzt ohne iMac erhältlich
    Apple-Tastatur
    Magic Keyboard mit Touch ID jetzt ohne iMac erhältlich

    Apple verkauft das Magic Keyboard mit Fingerabdruckscanner Touch ID nun auch einzeln - mit und ohne Ziffernblock.

FreiGeistler 10. Feb 2017

Lieber Virus Total Uploader im "Senden an", habe eine Krücke von Laptop. Firefox warnt...

TrollNo1 10. Feb 2017

Hier könnte Ihre Werbung stehen!

ArcherV 10. Feb 2017

'zilla



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Speicherwoche bei Saturn Samsung • C27RG54FQU, 27 Zoll, curved 203,55€ • Bosch Professional Werkzeuge und Messtechnik • Samsung Galaxy Vorbesteller-Aktion • Speicherwoche bei Media Markt • 15% auf Xiaomi-Technik • Hisense UHD-Fernseher • Saturn: 1 Produkt zahlen, 2 erhalten [Werbung]
    •  /