Abo
  • Services:

HTTPS: Kaspersky ermöglicht Freak-Angriff

Verschiedene Antiviren-Programme enthalten Features, um verschlüsselte HTTPS-Verbindungen zu scannen. Dabei gefährden sie die Sicherheit der Verschlüsselung. Besonders drastisch: In der aktuellen Version von Kaspersky ist die Freak-Sicherheitslücke noch nicht geschlossen.

Artikel veröffentlicht am , Hanno Böck
"Der Computer ist sicher" vermeldet Kaspersky - und öffnet die FREAK-Sicherheitslücke für Online-Banking-Seiten.
"Der Computer ist sicher" vermeldet Kaspersky - und öffnet die FREAK-Sicherheitslücke für Online-Banking-Seiten. (Bild: Screenshot)

Viele Programme nutzen Man-in-the-Middle-Angriffe, um verschlüsselten Netzverkehr zu untersuchen und zu filtern, beispielsweise Jugendschutzfilter, Firewalls in Unternehmen oder Antiviren-Programme. Wir haben einige Antiviren-Programme, die mit derartigen Man-in-the-Middle-Technologien arbeiten, untersucht. Zwar haben wir keine fatalen Sicherheitslücken wie in Superfish gefunden, aber alle getesteten Programme verschlechtern die Sicherheit von TLS auf die eine oder andere Weise. Die kritischste Lücke haben wir in Kaspersky Internet Security gefunden.

Man-in-the-Middle-Angriff zur Inhaltsfilterung

Stellenmarkt
  1. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Oberpfaffenhofen
  2. Bosch Gruppe, Reutlingen

Anlass für unsere Untersuchungen war eine Software namens Superfish, die auf Lenovo-Laptops vorinstalliert war und vor zwei Monaten für Schlagzeilen sorgte. Superfish manipulierte den HTTPS-Datenverkehr und schuf dabei eine Sicherheitslücke, die die Sicherheit der TLS-Verschlüsselung komplett aushebelte. Es stellte sich heraus, dass eine ganze Reihe von Programmen ähnliche Sicherheitslücken hatten, etwa das von Comodo beworbene Privdog.

Superfish nutzte eine Technologie, die weit verbreitet ist: Durch ein im Browser installiertes TLS-Zertifikat wird ein Man-in-the-Middle-Angriff auf die verschlüsselte Verbindung ermöglicht. Für jede HTTPS-Seite, die ein Nutzer mit dem Browser aufruft, wurde dann ein neues, von diesem Browser-Zertifikat unterschriebenes Zertifikat verwendet. Superfish machte dabei einen fatalen Fehler: Alle Installationen der Software nutzten dasselbe Zertifikat - und der private Schlüssel war Teil der Software und ließ sich extrahieren.

Warnung im öffentlichen Forum blieb ohne Reaktion

Bei den jetzt von uns untersuchten Antiviren-Programmen enthält Kaspersky Internet Security die kritischste Lücke: Das Programm nutzt offenbar intern eine alte Version von OpenSSL, die noch für die Freak-Sicherheitslücke verwundbar ist. Die Freak-Lücke ist ein Problem von OpenSSL, bei dem ein Angreifer einen Fehler in der State Machine von OpenSSL ausnutzen kann, um eine Verbindung mit einem uralten, unsicheren Modus zu erzwingen. Besonders erschreckend: Bereits wenige Stunden, nachdem die Freak-Lücke bekanntgeworden war, entdeckte ein Nutzer, dass Kaspersky Internet Security für dieses Problem ebenfalls verwundbar ist, und postete dies im öffentlichen Forum von Kaspersky. Doch bis heute hat Kaspersky diese Lücke nicht geschlossen.

Kaspersky aktiviert in der Standardeinstellung die HTTPS-Filterung nur für bestimmte, besonders kritische Webseiten. Insbesondere Onlinebanking-Webseiten versucht Kaspersky dadurch zu schützen und auf Malware zu scannen. Aktuell ist diese Filterung aber ein drastisches Sicherheitsrisiko.

Zwei weitere Antiviren-Programme, die ebenfalls HTTPS-Verbindungen scannen, sind Avast und ESET. Bei Avast ist die HTTPS-Filterung in der Standardeinstellung aktiviert, bei ESET steht sie nur als Option zur Verfügung.

Alle getesteten Programme deaktivieren HTTP Public Key Pinning

Ein Problem, das alle von uns getesteten Man-in-the-Middle-Lösungen haben ist, dass sie das Feature HTTP Public Key Pinning (HPKP) deaktivieren. HPKP ist ein vor kurzem verabschiedeter Standard, der es Webseiten ermöglicht, Browsern zu signalisieren, dass sie einen Hash des kryptographischen Schlüssels eines Zertifikats und einen Ersatzschlüssel abspeichern und bei künftigen Verbindungen prüfen sollen. Die Browser, die HPKP unterstützen - Chrome und Firefox - sind bei der Implementierung von HPKP einen Kompromiss eingegangen: Für manuell installierte Zertifikate wird das Key Pinning deaktiviert. Der Grund sind die bestehenden Lösungen zur HTTPS-Filterung, anders würden sie nicht funktionieren.

Theoretisch könnte eine Software, die den HTTPS-Verkehr filtert, selbst die Key-Pinning-Prüfung durchführen. Doch keine von uns getestete Software tut dies bisher. In allen Fällen ist es also so, dass die HTTPS-Filterung von Antiviren-Programmen ein bestehendes, sehr sinnvolles Sicherheitsfeature deaktiviert.

Einige weitere Unschönheiten: Avast und ESET unterstützen kein OCSP-Stapling. ESET erlaubt keine Verbindungen mit dem aktuellen TLS-Standard 1.2. Kaspersky aktiviert die Komprimierung von TLS, von der seit langem bekannt ist, dass sie unsicher ist und die sogenannte CRIME-Attacke ermöglicht. Sowohl Avast als auch Kaspersky akzeptieren Verbindungen mit einem Diffie-Hellman-Schlüsselaustausch mit völlig unsinnigen Parametern.

Filterung von HTTPS-Verbindungen generell problematisch

Es zeigt sich hier erneut, dass die Filterung von HTTPS-Verbindungen durch Man-in-the-Middle-Angriffe generell sehr problematisch ist. Alle getesteten Programme haben verschiedene Probleme. Es wäre zu hoffen gewesen, dass nach dem Superfish-Debakel etwas mehr Bewusstsein für diese Probleme besteht. Dass ausgerechnet Hersteller von Antiviren-Programmen, also von Tools, die angeblich für mehr Sicherheit sorgen sollen, hier so schlecht abschneiden, ist erschreckend.



Anzeige
Top-Angebote
  1. (u. a. 256 GB 52,99€, 512 GB 69,00€)
  2. 149,00€
  3. 40,99€
  4. (u. a. Fernseher ab 127,90€)

keböb 29. Apr 2015

Wenn man als Firma oder Privatperson im Informatik-/Supportbereich von sowas abhängig...

HubertHans 29. Apr 2015

Sandbox ist schon unnuetzer Tuennes. Aktuelle Schadsoftware erkennt das und zieht den...

M. 27. Apr 2015

Dass MitM böse ist, immer und völlig ungeachtet der Umstände. Weder eine Schlangenöl...


Folgen Sie uns
       


MTG Arena Ravnica Allegiance - Livestream 1

Im ersten Teil unseres Livestreams erklären wir alle neuen Mechaniken von Ravnica Allegiance.

MTG Arena Ravnica Allegiance - Livestream 1 Video aufrufen
EU-Urheberrecht: Die verdorbene Reform
EU-Urheberrecht
Die verdorbene Reform

Mit dem Verhandlungsergebnis zur EU-Urheberrechtsrichtlinie ist eigentlich niemand zufrieden. Die Einführung von Leistungsschutzrecht und Uploadfiltern sollte daher komplett gestoppt werden.
Ein IMHO von Friedhelm Greis

  1. Uploadfilter Fast 5 Millionen Unterschriften gegen Urheberrechtsreform
  2. Uploadfilter EU-Kommission bezeichnet Reformkritiker als "Mob"
  3. Leistungsschutzrecht und Uploadfilter EU-Unterhändler einigen sich auf Urheberrechtsreform

Marsrover Opportunity: Mission erfolgreich abgeschlossen
Marsrover Opportunity
Mission erfolgreich abgeschlossen

15 Jahre nach der Landung auf dem Mars erklärt die Nasa das Ende der Mission des Marsrovers Opportunity. Ein Rückblick auf das Ende der Mission und die Messinstrumente, denen wir viele neue Erkenntnisse über den Mars zu verdanken haben.
Von Frank Wunderlich-Pfeiffer

  1. Mars Insight Nasa hofft auf Langeweile auf dem Mars
  2. Astronomie Flüssiges Wasser auf dem Mars war Messfehler
  3. Mars Die Nasa gibt den Rover nicht auf

Emotionen erkennen: Ein Lächeln macht noch keinen Frohsinn
Emotionen erkennen
Ein Lächeln macht noch keinen Frohsinn

Wer lächelt, ist froh - zumindest in der Interpretation eines Computers. Die gängigen Systeme zur Emotionserkennung interpretieren den Gesichtsausdruck als internes Gefühl. Die interne Gefühlswelt ist jedoch sehr viel komplexer. Ein Projekt des DFKI entwickelt ein System, das Gefühle besser erkennen soll.
Ein Bericht von Werner Pluta

  1. Ökostrom Wie Norddeutschland die Energiewende vormacht
  2. Magnetfeld Wenn der Nordpol wandern geht
  3. Computational Periscopy Forscher sehen mit einfacher Digitalkamera um die Ecke

    •  /