Abo
  • IT-Karriere:

HTTPS: Kaspersky ermöglicht Freak-Angriff

Verschiedene Antiviren-Programme enthalten Features, um verschlüsselte HTTPS-Verbindungen zu scannen. Dabei gefährden sie die Sicherheit der Verschlüsselung. Besonders drastisch: In der aktuellen Version von Kaspersky ist die Freak-Sicherheitslücke noch nicht geschlossen.

Artikel veröffentlicht am , Hanno Böck
"Der Computer ist sicher" vermeldet Kaspersky - und öffnet die FREAK-Sicherheitslücke für Online-Banking-Seiten.
"Der Computer ist sicher" vermeldet Kaspersky - und öffnet die FREAK-Sicherheitslücke für Online-Banking-Seiten. (Bild: Screenshot)

Viele Programme nutzen Man-in-the-Middle-Angriffe, um verschlüsselten Netzverkehr zu untersuchen und zu filtern, beispielsweise Jugendschutzfilter, Firewalls in Unternehmen oder Antiviren-Programme. Wir haben einige Antiviren-Programme, die mit derartigen Man-in-the-Middle-Technologien arbeiten, untersucht. Zwar haben wir keine fatalen Sicherheitslücken wie in Superfish gefunden, aber alle getesteten Programme verschlechtern die Sicherheit von TLS auf die eine oder andere Weise. Die kritischste Lücke haben wir in Kaspersky Internet Security gefunden.

Man-in-the-Middle-Angriff zur Inhaltsfilterung

Stellenmarkt
  1. über PT Personal Trust GmbH, Hamburg (Home-Office möglich)
  2. HYDRO Systems KG, Biberach

Anlass für unsere Untersuchungen war eine Software namens Superfish, die auf Lenovo-Laptops vorinstalliert war und vor zwei Monaten für Schlagzeilen sorgte. Superfish manipulierte den HTTPS-Datenverkehr und schuf dabei eine Sicherheitslücke, die die Sicherheit der TLS-Verschlüsselung komplett aushebelte. Es stellte sich heraus, dass eine ganze Reihe von Programmen ähnliche Sicherheitslücken hatten, etwa das von Comodo beworbene Privdog.

Superfish nutzte eine Technologie, die weit verbreitet ist: Durch ein im Browser installiertes TLS-Zertifikat wird ein Man-in-the-Middle-Angriff auf die verschlüsselte Verbindung ermöglicht. Für jede HTTPS-Seite, die ein Nutzer mit dem Browser aufruft, wurde dann ein neues, von diesem Browser-Zertifikat unterschriebenes Zertifikat verwendet. Superfish machte dabei einen fatalen Fehler: Alle Installationen der Software nutzten dasselbe Zertifikat - und der private Schlüssel war Teil der Software und ließ sich extrahieren.

Warnung im öffentlichen Forum blieb ohne Reaktion

Bei den jetzt von uns untersuchten Antiviren-Programmen enthält Kaspersky Internet Security die kritischste Lücke: Das Programm nutzt offenbar intern eine alte Version von OpenSSL, die noch für die Freak-Sicherheitslücke verwundbar ist. Die Freak-Lücke ist ein Problem von OpenSSL, bei dem ein Angreifer einen Fehler in der State Machine von OpenSSL ausnutzen kann, um eine Verbindung mit einem uralten, unsicheren Modus zu erzwingen. Besonders erschreckend: Bereits wenige Stunden, nachdem die Freak-Lücke bekanntgeworden war, entdeckte ein Nutzer, dass Kaspersky Internet Security für dieses Problem ebenfalls verwundbar ist, und postete dies im öffentlichen Forum von Kaspersky. Doch bis heute hat Kaspersky diese Lücke nicht geschlossen.

Kaspersky aktiviert in der Standardeinstellung die HTTPS-Filterung nur für bestimmte, besonders kritische Webseiten. Insbesondere Onlinebanking-Webseiten versucht Kaspersky dadurch zu schützen und auf Malware zu scannen. Aktuell ist diese Filterung aber ein drastisches Sicherheitsrisiko.

Zwei weitere Antiviren-Programme, die ebenfalls HTTPS-Verbindungen scannen, sind Avast und ESET. Bei Avast ist die HTTPS-Filterung in der Standardeinstellung aktiviert, bei ESET steht sie nur als Option zur Verfügung.

Alle getesteten Programme deaktivieren HTTP Public Key Pinning

Ein Problem, das alle von uns getesteten Man-in-the-Middle-Lösungen haben ist, dass sie das Feature HTTP Public Key Pinning (HPKP) deaktivieren. HPKP ist ein vor kurzem verabschiedeter Standard, der es Webseiten ermöglicht, Browsern zu signalisieren, dass sie einen Hash des kryptographischen Schlüssels eines Zertifikats und einen Ersatzschlüssel abspeichern und bei künftigen Verbindungen prüfen sollen. Die Browser, die HPKP unterstützen - Chrome und Firefox - sind bei der Implementierung von HPKP einen Kompromiss eingegangen: Für manuell installierte Zertifikate wird das Key Pinning deaktiviert. Der Grund sind die bestehenden Lösungen zur HTTPS-Filterung, anders würden sie nicht funktionieren.

Theoretisch könnte eine Software, die den HTTPS-Verkehr filtert, selbst die Key-Pinning-Prüfung durchführen. Doch keine von uns getestete Software tut dies bisher. In allen Fällen ist es also so, dass die HTTPS-Filterung von Antiviren-Programmen ein bestehendes, sehr sinnvolles Sicherheitsfeature deaktiviert.

Einige weitere Unschönheiten: Avast und ESET unterstützen kein OCSP-Stapling. ESET erlaubt keine Verbindungen mit dem aktuellen TLS-Standard 1.2. Kaspersky aktiviert die Komprimierung von TLS, von der seit langem bekannt ist, dass sie unsicher ist und die sogenannte CRIME-Attacke ermöglicht. Sowohl Avast als auch Kaspersky akzeptieren Verbindungen mit einem Diffie-Hellman-Schlüsselaustausch mit völlig unsinnigen Parametern.

Filterung von HTTPS-Verbindungen generell problematisch

Es zeigt sich hier erneut, dass die Filterung von HTTPS-Verbindungen durch Man-in-the-Middle-Angriffe generell sehr problematisch ist. Alle getesteten Programme haben verschiedene Probleme. Es wäre zu hoffen gewesen, dass nach dem Superfish-Debakel etwas mehr Bewusstsein für diese Probleme besteht. Dass ausgerechnet Hersteller von Antiviren-Programmen, also von Tools, die angeblich für mehr Sicherheit sorgen sollen, hier so schlecht abschneiden, ist erschreckend.



Anzeige
Top-Angebote
  1. (u. a. Nikon D5600 Kit 18-55 mm + Tasche + 16 GB für 444€ statt 525€ ohne Tasche und...
  2. (heute u. a. iRobot Roomba 960 für 399€ statt ca. 460€ im Vergleich)
  3. 399€ + Versand oder kostenlose Marktabholung (Vergleichspreis ab 443€)

keböb 29. Apr 2015

Wenn man als Firma oder Privatperson im Informatik-/Supportbereich von sowas abhängig...

HubertHans 29. Apr 2015

Sandbox ist schon unnuetzer Tuennes. Aktuelle Schadsoftware erkennt das und zieht den...

M. 27. Apr 2015

Dass MitM böse ist, immer und völlig ungeachtet der Umstände. Weder eine Schlangenöl...


Folgen Sie uns
       


Geforce RTX 2080 Super - Test

Mit der Geforce RTX 2080 Super legt Nvidia die Geforce RTX 2080 als leicht schnellere Version auf.

Geforce RTX 2080 Super - Test Video aufrufen
SEO: Der Google-Algorithmus benachteiligt Frauen
SEO
Der Google-Algorithmus benachteiligt Frauen

Websites von Frauen werden auf Google schlechter gerankt als die von Männern - und die deutsche Sprache ist schuld. Was lässt sich dagegen tun?
Von Kathi Grelck

  1. Google LED von Nest-Kameras lässt sich nicht mehr ausschalten
  2. FIDO Google führt Logins ohne Passwort ein
  3. Nachhaltigkeit 2022 sollen Google-Geräte Recycling-Kunststoff enthalten

Raspberry Pi 4B im Test: Nummer 4 lebt!
Raspberry Pi 4B im Test
Nummer 4 lebt!

Das Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuen Modell des Bastelrechners trotz bemerkenswerter Merkmale nicht.
Ein Test von Alexander Merz

  1. Eben Upton Raspberry-Pi-Initiator spielt USB-C-Fehler herunter
  2. 52PI Ice Tower Turmkühler für Raspberry Pi 4B halbiert Temperatur
  3. Kickstarter Lyra ist ein Gameboy Advance mit integriertem Raspberry Pi

Nachhaltigkeit: Bauen fürs Klima
Nachhaltigkeit
Bauen fürs Klima

In Städten sind Gebäude für gut die Hälfte der Emissionen von Treibhausgasen verantwortlich, in Metropolen wie London, Los Angeles oder Paris sogar für 70 Prozent. Klimafreundliche Bauten spielen daher eine wichtige Rolle, um die Klimaziele in einer zunehmend urbanisierten Welt zu erreichen.
Ein Bericht von Jan Oliver Löfken

  1. Klimaschutz Großbritannien probt für den Kohleausstieg
  2. Energie Warum Japan auf Wasserstoff setzt

    •  /