Abo
  • Services:

HTTPS: Kaspersky ermöglicht Freak-Angriff

Verschiedene Antiviren-Programme enthalten Features, um verschlüsselte HTTPS-Verbindungen zu scannen. Dabei gefährden sie die Sicherheit der Verschlüsselung. Besonders drastisch: In der aktuellen Version von Kaspersky ist die Freak-Sicherheitslücke noch nicht geschlossen.

Artikel veröffentlicht am , Hanno Böck
"Der Computer ist sicher" vermeldet Kaspersky - und öffnet die FREAK-Sicherheitslücke für Online-Banking-Seiten.
"Der Computer ist sicher" vermeldet Kaspersky - und öffnet die FREAK-Sicherheitslücke für Online-Banking-Seiten. (Bild: Screenshot)

Viele Programme nutzen Man-in-the-Middle-Angriffe, um verschlüsselten Netzverkehr zu untersuchen und zu filtern, beispielsweise Jugendschutzfilter, Firewalls in Unternehmen oder Antiviren-Programme. Wir haben einige Antiviren-Programme, die mit derartigen Man-in-the-Middle-Technologien arbeiten, untersucht. Zwar haben wir keine fatalen Sicherheitslücken wie in Superfish gefunden, aber alle getesteten Programme verschlechtern die Sicherheit von TLS auf die eine oder andere Weise. Die kritischste Lücke haben wir in Kaspersky Internet Security gefunden.

Man-in-the-Middle-Angriff zur Inhaltsfilterung

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart, Esslingen
  2. eco Verband der Internetwirtschaft e.V., Köln

Anlass für unsere Untersuchungen war eine Software namens Superfish, die auf Lenovo-Laptops vorinstalliert war und vor zwei Monaten für Schlagzeilen sorgte. Superfish manipulierte den HTTPS-Datenverkehr und schuf dabei eine Sicherheitslücke, die die Sicherheit der TLS-Verschlüsselung komplett aushebelte. Es stellte sich heraus, dass eine ganze Reihe von Programmen ähnliche Sicherheitslücken hatten, etwa das von Comodo beworbene Privdog.

Superfish nutzte eine Technologie, die weit verbreitet ist: Durch ein im Browser installiertes TLS-Zertifikat wird ein Man-in-the-Middle-Angriff auf die verschlüsselte Verbindung ermöglicht. Für jede HTTPS-Seite, die ein Nutzer mit dem Browser aufruft, wurde dann ein neues, von diesem Browser-Zertifikat unterschriebenes Zertifikat verwendet. Superfish machte dabei einen fatalen Fehler: Alle Installationen der Software nutzten dasselbe Zertifikat - und der private Schlüssel war Teil der Software und ließ sich extrahieren.

Warnung im öffentlichen Forum blieb ohne Reaktion

Bei den jetzt von uns untersuchten Antiviren-Programmen enthält Kaspersky Internet Security die kritischste Lücke: Das Programm nutzt offenbar intern eine alte Version von OpenSSL, die noch für die Freak-Sicherheitslücke verwundbar ist. Die Freak-Lücke ist ein Problem von OpenSSL, bei dem ein Angreifer einen Fehler in der State Machine von OpenSSL ausnutzen kann, um eine Verbindung mit einem uralten, unsicheren Modus zu erzwingen. Besonders erschreckend: Bereits wenige Stunden, nachdem die Freak-Lücke bekanntgeworden war, entdeckte ein Nutzer, dass Kaspersky Internet Security für dieses Problem ebenfalls verwundbar ist, und postete dies im öffentlichen Forum von Kaspersky. Doch bis heute hat Kaspersky diese Lücke nicht geschlossen.

Kaspersky aktiviert in der Standardeinstellung die HTTPS-Filterung nur für bestimmte, besonders kritische Webseiten. Insbesondere Onlinebanking-Webseiten versucht Kaspersky dadurch zu schützen und auf Malware zu scannen. Aktuell ist diese Filterung aber ein drastisches Sicherheitsrisiko.

Zwei weitere Antiviren-Programme, die ebenfalls HTTPS-Verbindungen scannen, sind Avast und ESET. Bei Avast ist die HTTPS-Filterung in der Standardeinstellung aktiviert, bei ESET steht sie nur als Option zur Verfügung.

Alle getesteten Programme deaktivieren HTTP Public Key Pinning

Ein Problem, das alle von uns getesteten Man-in-the-Middle-Lösungen haben ist, dass sie das Feature HTTP Public Key Pinning (HPKP) deaktivieren. HPKP ist ein vor kurzem verabschiedeter Standard, der es Webseiten ermöglicht, Browsern zu signalisieren, dass sie einen Hash des kryptographischen Schlüssels eines Zertifikats und einen Ersatzschlüssel abspeichern und bei künftigen Verbindungen prüfen sollen. Die Browser, die HPKP unterstützen - Chrome und Firefox - sind bei der Implementierung von HPKP einen Kompromiss eingegangen: Für manuell installierte Zertifikate wird das Key Pinning deaktiviert. Der Grund sind die bestehenden Lösungen zur HTTPS-Filterung, anders würden sie nicht funktionieren.

Theoretisch könnte eine Software, die den HTTPS-Verkehr filtert, selbst die Key-Pinning-Prüfung durchführen. Doch keine von uns getestete Software tut dies bisher. In allen Fällen ist es also so, dass die HTTPS-Filterung von Antiviren-Programmen ein bestehendes, sehr sinnvolles Sicherheitsfeature deaktiviert.

Einige weitere Unschönheiten: Avast und ESET unterstützen kein OCSP-Stapling. ESET erlaubt keine Verbindungen mit dem aktuellen TLS-Standard 1.2. Kaspersky aktiviert die Komprimierung von TLS, von der seit langem bekannt ist, dass sie unsicher ist und die sogenannte CRIME-Attacke ermöglicht. Sowohl Avast als auch Kaspersky akzeptieren Verbindungen mit einem Diffie-Hellman-Schlüsselaustausch mit völlig unsinnigen Parametern.

Filterung von HTTPS-Verbindungen generell problematisch

Es zeigt sich hier erneut, dass die Filterung von HTTPS-Verbindungen durch Man-in-the-Middle-Angriffe generell sehr problematisch ist. Alle getesteten Programme haben verschiedene Probleme. Es wäre zu hoffen gewesen, dass nach dem Superfish-Debakel etwas mehr Bewusstsein für diese Probleme besteht. Dass ausgerechnet Hersteller von Antiviren-Programmen, also von Tools, die angeblich für mehr Sicherheit sorgen sollen, hier so schlecht abschneiden, ist erschreckend.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)

keböb 29. Apr 2015

Wenn man als Firma oder Privatperson im Informatik-/Supportbereich von sowas abhängig...

HubertHans 29. Apr 2015

Sandbox ist schon unnuetzer Tuennes. Aktuelle Schadsoftware erkennt das und zieht den...

M. 27. Apr 2015

Dass MitM böse ist, immer und völlig ungeachtet der Umstände. Weder eine Schlangenöl...


Folgen Sie uns
       


Nuraphone Kopfhörer- Test

Der Nuraphone bietet einen automatischen Hörtest, der den Frequenzgang des Kopfhörers je nach Nutzer unterschiedlich einstellt. Die Klangqualität des ungewöhnlichen Kopfhörers hat Golem.de im Test überzeugt.

Nuraphone Kopfhörer- Test Video aufrufen
Red Dead Online angespielt: Schweigsam auf der Schindmähre
Red Dead Online angespielt
Schweigsam auf der Schindmähre

Der Multiplayermodus von Red Dead Redemption 2 schickt uns als ehemaligen Strafgefangenen in den offenen Wilden Westen. Golem.de hat den handlungsgetriebenen Einstieg angespielt - und einen ersten Onlineüberfall gemeinsam mit anderen Banditen unternommen.

  1. Spielbalance Updates für Red Dead Online und Battlefield 5 angekündigt
  2. Rockstar Games Red Dead Redemption 2 geht schrittweise online
  3. Games US-Spielemarkt erreicht Rekordumsätze

Machine Learning: Wie Technik jede Stimme stehlen kann
Machine Learning
Wie Technik jede Stimme stehlen kann

Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
Ein Bericht von Felix Lill

  1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
  2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
  3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
Sony-Kopfhörer WH-1000XM3 im Test
Eine Oase der Stille oder des puren Musikgenusses

Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
Ein Test von Ingo Pakalski


      •  /