Hirdetés

Keresés
  • dqdb

    addikt

    Nem, a direkt kliens-szerver TCP kapcsolat helyett eltéríti a TCP kapcsolat végét és két kapcsolat jött létre: egy kliens-vírusirtó és egy vírusirtó-szerver kapcsolatot. Ez HTTP esetében nem probléma, de HTTPS esetében az SSL/TLS kapcsolat megtörésével jár, te a kliensen már csak a vírusirtó dinamikusan generált tanúsítványát látod, nem az eredeti kapcsolatét, és esélyed nincsen arra, hogy kiderüljön, tényleg azzal kommunikálsz-e, mint szeretnéd.

    És így jönnek képbe az elmúlt évek során kibukott olyan implementációs "apróságok", mint
    1. a vírusirtó elfelejtett OCSP és/vagy CRL ellenőrzést végezni a túloldal tanúsítványán, és ez számodra sosem derült ki, mert az eredeti tanúsítvány rejtve maradt
    2. a vírusirtó saját "CA"-ja, amiből kibocsátotta az oldalak számára tanúsítványokat, mindenkinél ugyanazt az RSA kulcsot használta
    3. sokkal gyengébb algoritmusokat támogatott a vírusirtó, mint a böngésző támogatott volna, így hiába volt titkosított a kapcsolat a szerver felé, sokkal gyengébb változat épült volna fel, mint ha nem lett volna vírusirtó (valamint az új böngészőkben aktív adatátviteli feature-ök, mint SPDY, HTTP/2 vagy QUIC is később kerülnek be a vírusirtóba, ha egyáltalán bekerülnek)

    Valamint bónuszként próbálj meg használni certificate pinninget.

    Egy jó vírusirtó megoldja a hatékony védelmet SSL szűrés nélkül is, de az ebben a routerben szállított vírusirtó nyilván csak így tud működni.

    [ Szerkesztve ]

    tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek

  • dqdb

    addikt

    Plusz egy elem a feature listán, aminek a felhasználó örül, hogy ilyet is tud a szoftvere, mert nem tud a biztonsági és teljesítménybeli* mellékhatásokról.

    * amikor legutoljára a Kaspersky topik környékén jártam, akkor az volt az egyik nagy fejlesztésük az SSL szűrésben, hogy már nem kellett 4c8t processzor a gigabites internet teljes sebességének kihasználásához, hanem elég volt "csak" 4c4t is, azonban 2c4t CPU-val még mindig 200-300 Mb/s környékére esett vissza az elérhető sebesség.

    [ Szerkesztve ]

    tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek

  • dqdb

    addikt

    Körülbelül 3 évvel ezelőtt ilyen relációban állt a bizalom és a valóság, azóta remélem, hogy rengeteget fejlődtek ezen a téren. Amúgy ez a tanulmány azután készült, hogy már előtte is többször kiborult a bili az SSL szűrések miatt, szóval a gyártók már addigra is tanulhattak volna azokból az esetekből.

    [ Szerkesztve ]

    tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek

  • dqdb

    addikt

    Helyes a gondolatmenetem?
    Igen, helyes. A helyzetet súlyosbítja, hogy korábban akadt olyan gyártó, ami nem telepítéskor generált RSA kulcsot adott gépre, hanem mindenhol ugyanazt használta. Azaz te magadnál kinyerted a kulcsot, és a vírusirtó többi felhasználójánál vissza tudtál élni vele.

    Pontosan az SSL lényegét vágja tarkón ez a technika, mert a NOD32 látja a plain adatforgalmat, akár bele is nyúlhat. Ki tudja mit csinál az adatokkal, ki(k)nek mi(ke)t küld el, stb.
    Ez így van, és ez csak a kisebbik probléma. A nagyobbik a gyártól implementációs hibái és azok biztonságot továbbgyengítő mellékhatásai.

    E.Kaufmann: Én tudom, hogy egy se, de pl a HUP-on pont ezt vágták a fejemhez egy hasonló vitában, hogy böngészőből csekkolható a turpisság :)
    Fejlesztő vagyok, tele van a tanúsítványtáram gyengén védett teszt és fejlesztői CA-kkal, így a kényesebb oldalakon általában figyelem, hogy van-e EV tanúsítvány (ha nincsen, megnézem a láncot), netbankolásnál pedig minden belépéskor megnézem magát a láncot is (tudom, paranoia). Mivel a fontosabb oldalak szinte mindegyike bír EV tanúsítvánnyal, a böngészők pedig kódban fehérlistázzák azokat a CA-kat, amelyek ilyen tanúsítványokat bocsáthatnak ki (például Chromium és származékai), ezért a zöld lakat melletti zöld cégnév láttán gyorsan nyugtázható és megfelelő jele annak, hogy tényleg azzal a szerverrel beszélget a böngésződ, amelyikkel kell, és nincsen MITM folyamatban.

    tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek

  • dqdb

    addikt

    ESET helyett szerencsésebb megnevezés lenne a SSL szűrést támogató vírusirtó, mert mindenki így csinálja.

    Javítana a biztonságon, mert így a CA kulcsa nincsen nálad a kliensen, azonban a dinamikusan kiállított tanúsítványokban használt kulcs még mindig ott marad (szóval még így is megvalósítható az átverés.,ha sikerül kinyerni a kulcsot). Emellett valamennyit lassít a folyamaton, mert minden új site-hoz a gyártó szerveréhez kell fordulni aláírásra.

    Az is javíthat valamennyit a biztonságon, ha a vírusirtót 1-2 óránként új RSA kulcsot generál, amit a dinamikusan kiállított tanúsítványokhoz használ, így megszerzett kulcs esetében a lehetséges átverés időablaka lényegesen lerövidül (a "CA" tanúsítványát sajnos nem tudja cserélgetni a fehérlistázás miatt, azon a te ötleted segíthet).

    [ Szerkesztve ]

    tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek