web-dev-qa-db-ja.com

ウイルス対策HTTPSスキャンをオンのままにする必要がありますか?安全ですか?

マルウェアをスキャンするための一部のウイルス対策ソフトウェアMitM、または他の方法によるHTTPS接続。たとえば、Avastや他のベンダーもそうです。

  1. 彼ら(例としてアバストとしましょう)が使用する方法は安全ですか?データが私のコンピューターを離れることは決してないという彼らの主張は本当ですか?

  2. HTTPS接続を本当にスキャンする必要がありますか? HTTPSがウイルスから自動的に保護するかどうかは質問していませんが、HTTPSで保護されたWebサイトからこのようなマルウェアが取得される可能性は、この機能を有効にするのに十分ですか?

8

HTTPSトラフィックをスキャンしてマルウェアを検出するには、それを復号化する必要があります。アバストは、独自のルート証明書をインストールしてローカルでWebトラフィックを傍受し、中間者として機能することで、これを実現します。

(Avastは 彼らのアプローチを説明するブログ投稿 を持っています。)

彼ら(例としてアバストとしましょう)が使用する方法は安全ですか?

主なセキュリティ上の問題は、生成されたルート証明書の秘密鍵を知っている人なら誰でもトラフィックを暗号化できることです。それが彼らがすべてのマシンにユニークなものを作成し、それを他のどこにも送信しない理由です:

インストールで生成された証明書から取得したものと同じ一意のキーを他の誰も持っていないことを強調したいと思います。この証明書はコンピュータから出ることはなく、インターネット経由で送信されることもありません。

これは良い習慣であり、理論的には、リモートからのトラフィックを復号化するためにISPで簡単にプロットできないことを保証します。また、すべての証明書はローカルのWindows証明書ストアに対してチェックされるため、自己署名証明書はそのように識別され、アバストのルート証明書によって「カバー」されず、信頼できるものとして表示されません。

注意すべきもう1つのセキュリティ上の問題は、ブラウザーで元の証明書の詳細を検査できないことです。確認済みであることは確認できますが、表示されるプロパティ(権限の詳細、暗号化アルゴリズムなど)は、元のプロパティではなく、アバスト証明書のプロパティになります。

HTTPS接続を本当にスキャンする必要がありますか?

HTTPトラフィックを検査する必要があると思われる場合は、HTTPSも検査する必要があります。 HTTPSは接続を保護するだけで、ウェブサイトの所有者が善意を持っていること、およびサイトが侵害されていないことを確認しません。

hTTPSで保護されたWebサイトからこのようなマルウェアを取得する可能性は、この機能を有効にするのに十分高いですか?

主観的に、マルウェアの大部分はまだプレーンHTTPで提供されていると思います。しかし、 Let's encrypt などの無料の証明書プロバイダーを使用すると、攻撃者がHTTPSに切り替えるのはそれほど難しくありません。マルウェアをHTTPS経由で提供することは、攻撃者にとっていくつかの利点があります。南京錠により、マルウェアがより正当に見え、検査が難しくなります。 HTTPSを介したマルウェアは、今後さらに発生する可能性が高くなります。

また、 Googleセーフブラウジング など、悪意のあるWebサイトからユーザーを保護するための、他に介入の少ないアプローチがあることにも注意してください。

4
Arminius

AV TLS復号のセキュリティについて2度考えさせてくれる4つのソース:

Antivirus Software Weakens HTTPS Security:Researcher

「人々が正当なセキュリティテクノロジーと考えるものに変わったのは奇妙に思われます。フィルタリングはエンドポイントで発生するか、まったく発生しないはずです。最近、ブラウザーはHTTPS接続をより安全にするために多くのことをしています。それを台無しにしないでください。」

ESETの代表は、同社は研究者によって提示された問題を認識していると述べました。

研究者は、カスペルスキーの製品がFREAK攻撃に対して脆弱であることを報告しました。攻撃者はクライアントに、より弱い、エクスポートグレードのRSA暗号化を使用させることができます。専門家によると、カスペルスキーは重要なWebサイトのデフォルトでHTTPSトラフィックを傍受するため、これは問題になる可能性があります。

「他にも多くの問題を発見しました。 ESETはTLS 1.2をサポートしていないため、安全性の低い暗号化アルゴリズムを使用します。アバストとESETはOCSPステープリングをサポートしていません。カスペルスキーは安全でないTLS圧縮機能を有効にし、ユーザーをCRIME攻撃に対して脆弱にします。 「アバストとカスペルスキーはどちらも、サイズが8ビットのDiffie Hellman鍵交換に無意味なパラメータを受け入れます。アバストは、Google Chromeブラウザーをバンドルしているため、特に興味深いものです。高度なHTTPS機能を備えたブラウザーをインストールし、すぐにセキュリティを低下させます。」

それは2015年でした。

そして:

ブラウザ以外のソフトウェアでのTLS証明書の検証は、世界で最も危険なコードです

こちらの「TLS経由のDNS」をご覧ください https://dnscrypt.info/faq またはソース こちら

一部のBitdefender製品はHTTPS証明書の失効を破壊します( Source ):

Webサイトの証明書が認証局によって取り消された場合(たとえば、それが不正に発行されたため、またはその秘密鍵がハッカーによって侵害されたため)、影響を受けるBitdefender製品は引き続き有効なものとして受け入れます。さらに重要なことに、HTTPSスキャン機能の一部として、取り消された証明書をローカルブラウザーが信頼する証明書に変換します。ただし、通常の状況ではブラウザーは元の証明書を拒否します。


アンチウイルスのHTTPSスキャン機能を無効にする( ソース ):

安全なHTTPS Webサイトにアクセスしているときにユーザーが脆弱になる可能性があり、そのウイルス対策のせいです。 Mozilla Firefox、Google、Cloudflare、および3つのアメリカの大学の専門家が実施した徹底的な調査によると、人気のあるいくつかのウイルス対策ソフトウェアが「接続セキュリティを大幅に低下」させ、ユーザーを解読攻撃にさらしています。これは決して新しいものではなく、アンチウイルスによって使用されるHTTPSインターセプト技術は、数年間議論の的となってきました。

研究者によると、セキュリティソフトウェアベンダーは、TLSハンドシェイク後の検査をうまく処理できていません。彼らは、ウイルス対策ソフトウェアをオンにして、Firefox、Chrome、Safari、およびInternet Explorerによって生成された80億のTLSハンドシェイクを調べました。研究者たちは、Firefoxのアップデートサーバー、人気のあるeコマースWebサイトのセット、およびCloudflareコンテンツ配信ネットワークを分析しました。

「いずれの場合も、以前に推定されたものよりも1桁以上多くの遮断が見られます」と論文は述べています。彼らは、MozillaのFirefox更新サーバーへの接続の4%、eコマースサイトの6.2%、およびUS Cloudflare接続の10.9%で傍受が発生していることを発見しました。心配なのは、傍受されたときに、Firefoxの97%、eコマースの32%、Cloudflare接続の54%の安全性が低下したことです。

「インターセプト製品はクラスとして、接続のセキュリティを大幅に低下させます。最も懸念されるのは、ネットワークミドルボックスを通過するトラフィックの62%がセキュリティを低下させ、ミドルボックス接続の58%が深刻な脆弱性を抱えていることです」とレポートは読みます。

セキュリティソフトウェアは接続のセキュリティを低下させるだけでなく、証明書の検証に失敗するなどの脆弱性ももたらします。

それは2017年でした、

大きな攻撃面と、TLS暗号スイート/ false_start /セキュアネゴシエーション、セッション識別子、RTT-0、ダウングレード保護、公開鍵ピン留めなどのTLSスタックの多くの変数は、AV TLSによって破損、ダウングレード、変更、または利用できない場合があります。ブラウザの仕様を置き換える。ブラウザと同じくらい安全であるためには、これらすべてのセキュリティメカニズムが含まれ、時代に遅れないようにする必要があります。これは、Excel専用のWebブラウザです。ブラウザの設定を検出して模倣できれば最高ですが、HTTPSを信じています傍受は、ブラウザ以外の製品にも影響を与える可能性があります。 ESETのインターネットセキュリティ/エンドポイントのセキュリティがスクリーンセーバーのWeb接続をインターセプトしているため、httpインターセプトが表示されます。うまくいけば、彼らは急速に改善し続けていくでしょうが、「世界で最も危険なコード」は私が用心するものです。数百の障害点(数百の代わりに1つの証明書)を1つの障害点に置き換えるのは危険です。これを取り除くことは、マルウェアがMITM AVまたはMiddlebox AVによって不注意に支援されないようにするために、必要なホームおよびエンタープライズ環境の変更になる可能性があります。より良い代替策には、Cisco Encrypted Traffic Analyticsが含まれます: 復号化なしの検出

8
Tyler

これは確かに、インバウンドHTTPS接続をスキャンするAvtivirusソフトウェアについて最初に聞いたものです。

私は、Aviraのアンチウイルスソリューションが、Firefoxによる書き込み時にキャッシュコンテンツをスキャンすることを認識しています。安全なサイトの中には、コンテンツにnotをキャッシュに書き込まないように要求するものがあります。そのため、この状況ではスキャンは行われません。

しかし、はい、実際にはWeb証明書を独自のルートCA証明書で置き換え、Webサイトの証明書の代わりにそれを使用していることがわかります。これは、中間者攻撃(MitM)の実行方法です。

アバストのウェブサイトから:

アバストはTLS/SSLで保護されたトラフィックをWebコンテンツフィルタリングコンポーネントで検出および復号化できます。 HTTPSサイトでマルウェアと脅威を検出するには、アバストがSSL証明書を削除し、自己生成した証明書を追加する必要があります。当社の証明書は、アバストの信頼されたルート認証局によってデジタル署名され、Windowsおよび主要なブラウザーのルート証明書ストアに追加され、HTTPS経由の脅威から保護します。それ以外の場合は検出できなかったトラフィック。

アバストは、証明書を受け入れないことがわかった場合にWebサイトをホワイトリストに登録します。ユーザーはサイトを手動でホワイトリストに登録することもできるため、HTTPSスキャンによってサイトへのアクセスが遅くなることはありません。

さらに説明していきます:

安全なトラフィックをスキャンするためにアバストウェブシールドはMITMアプローチを使用する必要がありますが、重要な違いは、使用する「中間者」がブラウザーと同じコンピューターに配置され、同じ接続を使用することです。アバストはコンピューターの管理者権限と昇格された信頼で実行されているため、ブラウザーがこれを正しく受け入れ、信頼する証明書を作成して保存できます。すべての元の証明書について、アバストはコピーを作成し、Windows証明書ストアにあるアバストのルート証明書で署名します。この特別な証明書は「Avast Web/Mail証明書ルート」と呼ばれ、誰がどのような目的でそれを作成したかを明確に区別します。

これに関する重要な注意:

お客様のプライバシーは、HTTPSスキャンの実装を計画する際の最初の懸念事項でした。そのため、アバストユーザーが銀行サイトにアクセスするときの接続をホワイトリストに登録するか無視する方法を作成しました。現在のリストには、世界中から600を超える銀行があり、検証済みの新しい銀行サイトを常に追加しています。オンラインバンキングサイトを使用するときは、銀行のセキュリティ証明書を確認できます。確認後、銀行またはその他のWebサイトにメールを送信して、ホワイトリストに送信できます。banks‑whitelist @ avast.com。

自己署名証明書を使用してWebサイトに接続しようとするとどうなりますか?アバストはこれを検出し、アバストが署名した信頼できない証明書を使用して、通常の「安全でない」ブラウザの動作。ブラウザはまだ接続が安全でないことをユーザーに警告します。

安全なデータがサイト外に出荷されることについては触れられていませんが、ソフトウェアのプライバシーポリシーとエンドユーザーライセンス契約を必ずお読みください。アバストのウェブサイトで説明されているように、この機能はオフにすることができます。

Webリンク: https://blog.avast.com/2015/05/25/explaining-avasts-https-scanning-feature/

0
dark_st3alth