Avast、Kaspersky、Bitdefender、AVG...Checkpoint、Sophos、Fortinet、Barracuda...这些防病毒和 SSL 代理提供商理论上是为了保护个人或企业。但根据一组安全研究人员的说法,它们实际上使他们更容易受到攻击。为了什么 ?因为这两类产品依赖于一种非常可疑的网络分析技术:HTTPS 拦截。它们将自身插入互联网用户和网站之间,并能够使用直接安装在用户计算机上的虚假自签名安全证书来解密 TLS 连接。
对于防病毒软件,这些证书会在安装软件时到达。如果是企业 SSL 代理,是网络管理员在员工机器上安装了伪造的证书。
原则上,这些提供商有合法的、有时甚至值得称赞的理由来拦截 SSL 流。防病毒软件解密连接以检测隐藏在其中的恶意软件和可能的威胁。出于同样的原因,企业也使用 SSL 代理。它们还可以用于监控传入/传出流量,以避免信息泄漏(例如举报人)。问题在于,这种拦截突然生成了两个 HTTPS 连接:一个在互联网用户和拦截设备之间,另一个在后者和 Web 服务器之间。
或者,联合国安全研究人员小组刚刚在圣地亚哥举行的 NDSS 2017 会议期间表明,第二个连接通常不如第一个连接安全。供应商进行了大量的错误配置并引入了原本不会存在的漏洞。例如,他们的某些产品使用过时的加密算法(RC4、DES)。或者不执行任何服务器证书验证。或者不修复某些 TLS 安全漏洞,例如 Logjam 或 Freak。
研究人员分析了 20 个防病毒软件和 12 个 SSL 代理。根据配置缺陷,他们给了它们从 A(非常好)到 F(差)的等级。只有三款产品获得了“A”:Avast AV 11 for Windows、Bullguard Internet Security 16 和 A10 vThunder SSl Insight。表现最差的是 Avast AV 11.7 for Mac、Bullguard Internet Security 15、Dr.Web 11 for Mac、Eset Nod32 AV9、PC Pandora、Microsoft Threat Management Gateway、Cisco IronPort Web Security 和 Checkpoint Threat Prevention。
一种新的拦截检测方法
为了评估灾难的严重程度,研究人员随后开发了一种新的服务器端拦截检测方法:他们分析了互联网用户的数据包,并查看浏览器的标头和 TLS 设置之间是否存在不一致的情况(例如提出的密码算法)。事实上,每个浏览器都有许多常见的 TLS 配置。拦截将修改此配置,同时保留标头。因此,如果我们知道浏览器配置,就可以检测劫持。
研究人员分析了 Mozilla Firefox 更新服务器、电子商务服务器和互联网提供商 CloudFlare 的服务器上的 HTTPS 连接。结论:所有 HTTPS 连接中有 5% 到 10% 被拦截。而且在绝大多数情况下,这些连接的安全性已经被削弱甚至完全破坏。面对这种非常令人不满意的情况,研究人员建议防病毒提供商放弃 HTTPS 拦截,并建议网络管理员在部署 SSL 代理之前仔细测试它们。
来源:2017年国家安全政策