Антивирусы и сетевые устройства, призванные усилить безопасность, только вредят HTTPS

Интересный отчет опубликовала сводная группа исследователей, в которую вошли специалисты Mozilla, Google, CloudFlare, а также представители университета Мичигана, иллинойсского университета в Урбане-Шампейне, калифорнийского университета в Беркли и Международного института информатики.

Эксперты изучили влияние антивирусов и различных межсетевых экранов на безопасность HTTPS-трафика. Дело в том, что подобные защитные инструменты вмешиваются в защищенные соединения, и эксперты заподозрили, что из-за этого зашифрованный трафик подвергается риску, а безопасность лишь ослабевает. Как оказалось, эти подозрения были ненапрасны.

Исследователи произвели анализ хендшейков, связанных с браузерами, антивирусными продуктами и малварью, и на базе этого создали ряд эвристических методов, которые позволили им замечать перехват и вмешательство в HTTPS, а также определять, что именно перехватывает трафик.

Созданные для тестов инструменты разметили на серверах обновления Mozilla Firefox, серверах CloudFlare CDN и крупных e-commerce сайтах. Анализ показал, что 4% соединений Firefox, 6,2% соединений e-commerce сайтов и 11% соединений CloudFlare были перехвачены. Увы, после перехвата большинство этих соединений стали менее безопасны (97% для Firefox, 54% для CloudFlare и 32% для e-commerce ресурсов). Так, безопасность более 62% процентов соединений ослабла до относительно приемлемого уровня, но еще 58% соединений стали подвержены критическим уязвимостям.

«Беспокойство вызывает не только тот факт, что перехватчики соединений использовали более слабые криптографические алгоритмы, но и то, что 10-40% из них заявляют поддержку давно взломанных шифров, что позволяет атакующему в позиции man-in-the-middle перехватить соединение, произвести downgrade и расшифровать его», — пишут эксперты.

Исследователи изучили работу продуктов A10 Networks, Blue Coat, Barracuda, Check Point, Cisco, Forcepoint, Fortinet, Juniper Networks, Microsoft, Sophos, Untangle и WebTitan. Из всего этого списка только решения Blue Coat сумели заслужить пятерку от исследователей, то есть обращались с TLS-соединениями корректно. Остальные продукты получили 2-3 балла по пятибалльной шкале из-за уязвимостей и потенциальных MitM-атак.

Также специалисты произвели анализ популярных антивирусных продуктов, в том числе Avast  для Windows и Mac, AVG, Bitdefender, Bullguard, CYBERsitter, Dr. Web, ESET, G DATA, Kaspersky, KinderGate, Net Nanny, PC Pandora и Qustodio. Увы, высшего балла удостоились только продукты Avast. Решения других производителей, в числе прочего, страдают от уязвимости перед атаками Logjam, CRIME и POODLE.

С полной версией отчета можно ознакомиться здесь (PDF).

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (4)

  • Пройдя по ссылке для просмотра полной версии отчёта выдаёт:

    "Error: Not Found

    The requested URL /papers/https_interception.pdf was not found on this server."

    Перезалейте, пожалуйста.

  • После Аваста. На компутерах уже не до смеха)

  • чёт аваст во всех исследованиях оказывается лучшим... но я лично запускал у себя простейший троян не закриптованный! аваст не только дал ему спокойно функционировать, но и не пискнул даже.