• IT-Karriere:
  • Services:

Sicherheitslücken in Kaspersky-Software

Bereits 2015 berichtete Golem.de darüber, dass die Kaspersky-Software dank HTTPS-Interception dafür sorgte, dass Nutzer weiterhin für die Monate davor entdeckte Freak-Sicherheitslücke verwundbar waren. Erst kürzlich fand Tavis Ormandy von Googles Project Zero heraus, dass in dieser Kaspersky-Funktion eine noch viel schlimmere Sicherheitslücke steckte: Praktisch reduzierte sie die Sicherheit von RSA-Keys auf lächerliche 32 Bit.

Hochwertiger TLS-Stack durch Minderwertigen ersetzt

Stellenmarkt
  1. GK Software SE, Köln, Jena, Schöneck/Vogtland, Sankt Ingbert
  2. IT-Servicezentrum der bayerischen Justiz, Schwabmünchen, Bamberg

Browserhersteller verwenden üblicherweise viel Energie darauf, dass ihre TLS-Stacks sehr sicher sind, und implementieren viele moderne Features, um Angriffen zu widerstehen. Auch sind sie oft vorne mit dabei, wenn es darum geht, in Standardisierungsgremien bessere Sicherheitsmechanismen zu entwickeln. Von den Herstellern der meisten TLS-Interception-Lösungen sieht man praktisch nie ein derartiges Engagement. Daher überrascht die Situation auch nicht: Wer eine HTTPS-Interception-Lösung einsetzt, ersetzt in aller Regel einen sehr hochwertigen TLS-Stack durch einen Minderwertigen.

Die Autoren der jetzt veröffentlichten Studie kommen zu dem Schluss, dass eine sehr grundsätzliche Diskussion über HTTPS-Interception notwendig ist. So schreiben sie, dass es in der Security-Community keinen Konsens darüber gibt, ob HTTPS-Interception überhaupt akzeptabel ist. In ihrer Kritik sind sie aber noch vergleichsweise zurückhaltend.

Der wichtigste Grund, weshalb Sicherheitsprodukte überhaupt verschlüsselte Verbindungen mitlesen, ist das Erkennen von Angriffen und Malware. Doch die Malwareerkennung steht generell gerade unter Beschuss. Viele namhafte IT-Sicherheitsexperten haben sich in jüngster Zeit sehr kritisch über Antiviren-Programme geäußert und halten den gesamten Ansatz für verfehlt. Dass mittels HTTPS-Interception ein bestehender, gut funktionierender Sicherheitsmechanismus wie TLS durch sogenannte Sicherheitssoftware ausgehebelt wird, dürfte diese Diskussion weiter befeuern.

Der Autor dieses Texts hat auf dem Chaos Communication Camp 2015 einen Vortrag zum Thema mit dem Titel TLS Interception considered harmful gehalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • ohne Tracking
  • mit ausgeschaltetem Javascript
 Bis zu zehn Prozent der Verbindungen betroffen
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Hardware-Angebote
  1. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)
  2. (u. a. Asus Rog Strix X570-F + Ryzen 7 3700X für 555,00€, Asus Tuf B450-Plus + Ryzen 7 2700 für...

FreiGeistler 10. Feb 2017

Lieber Virus Total Uploader im "Senden an", habe eine Krücke von Laptop. Firefox warnt...

TrollNo1 10. Feb 2017

Hier könnte Ihre Werbung stehen!

ArcherV 10. Feb 2017

'zilla


Folgen Sie uns
       


Golem.de hackt Wi-Fi-Kameras per Deauth

WLAN-Überwachungskameras lassen sich ganz einfach ausknipsen - Golem.de zeigt, wie.

Golem.de hackt Wi-Fi-Kameras per Deauth Video aufrufen
Power-to-X: Sprit aus Ökostrom, Luft und Wasser
Power-to-X
Sprit aus Ökostrom, Luft und Wasser

Die Energiewende ist ohne synthetische Treibstoffe nicht zu schaffen. In Karlsruhe ist eine Anlage in Betrieb gegangen, die das mithilfe von teilweise völlig neuen Techniken schafft.
Ein Bericht von Wolfgang Kempkens

  1. The Ocean Cleanup Interceptor fischt Plastikmüll aus Flüssen
  2. The Ocean Cleanup Überarbeiteter Müllfänger sammelt Plastikteile im Pazifik

Death Stranding im Test: Paketbote trifft Postapokalypse
Death Stranding im Test
Paketbote trifft Postapokalypse

Seltsam, aber super: Der Held in Death Stranding ist ein mit Frachtsendungen überladener Kurier und Weltenretter. Mit ebenso absurden wie erstklassig umgesetzten Ideen hat Hideo Kojima ein tolles Spiel für PS4 und Windows-PC (erst 2020) geschaffen, das viel mehr bietet als Filmspektakel.
Von Peter Steinlechner

  1. PC-Version Death Stranding erscheint gleichzeitig bei Epic und Steam
  2. Kojima Productions Death Stranding erscheint auch für Windows-PC

ZFS erklärt: Ein Dateisystem, alle Funktionen
ZFS erklärt
Ein Dateisystem, alle Funktionen

Um für möglichst redundante und sichere Daten zu sorgen, ist längst keine teure Hardware mehr nötig. Ein Grund dafür ist das Dateisystem ZFS. Es bietet Snapshots, sichere Checksummen, eigene Raid-Level und andere sinnvolle Funktionen - kann aber zu Anfang überfordern.
Von Oliver Nickel

  1. Dateisystem OpenZFS soll einheitliches Repository bekommen
  2. Dateisystem ZFS on Linux unterstützt native Verschlüsselung

    •  /