HTTPS Interception: Security-Hersteller haben nachgebessert

SicherheitSicherheitsmanagement

Anfang Februar sorgte eine Studie für Aufregung, wonach gängige Security-Produkte durch ihren Eingriff in HTTPS zusätzliche Sicherheitsprobleme schaffen. Das stimmt so aber offenbar nur für veraltete Versionen.

Anfang Februar legten Experten von Google, Mozilla, Cloudflare und mehreren US-Universitäten die Studie “The Security Impact of HTTPS Interception” (PDF) vor, in der sie nahezu allen Herstellern gängiger Antivirus-Suiten und nahezu allen getesteten Netzwerk-Appliances schwere Vorwürfe in Bezug auf deren Umgang mit HTTPS machten. Die Mehrzahl dieser Security-Produkte greifen den Autoren der Studie zufolge so in verschlüsselten Datenverkehr ein, dass sie die Sicherheit sogar noch schwächen, indem Ansatzpunkte für Angriffe schaffen.

Kern der Vorwürfe ist, dass die Anbieter die Prüfung nach dem sogenannten “TLS Handshake” vernachlässigen. Dabei terminieren und entschlüsseln Antivirus oder Netzwerk-Appliances die vom Client imitierte TLS-Session, um den darin befindlichen HTTP-Klartext zu untersuchen und dann eine neue TLS-Verbindung zur Ziel-Webseite aufbauen.

HTTPS-Datenverkehr (Bild: Shutterstock)

“Unsere Studie zeigt, dass Eingriffe in HTTPS erstaunlich weit verbreitet sind und eingreifende Produkte insgesamt einen stark negativen Einfluss auf die Verbindungssicherheit haben. Wir hoffen, dass dieser Zustandsbericht etwas Licht in die Sache bringt und dazu beiträgt, derzeit mangelhafte Produkte zu verbessern, die Diskussion um kürzlich unterbreitete Vorschläge, wie sich sicher in HTTPS-Traffic eingreifen lässt voranbringt und eine Diskussion über langfristige Lösungen anstößt”, so die Autoren.

Der Studie zufolge führten 21 von 26 getesteten Antivirus-Produkten zu einem oder mehreren Sicherheitsproblemen beim Umgang mit HTTPS. Einen ersten Rückzieher mussten sie schon kurz nach der Veröffentlichung ihrer Untersuchung machen: Bei den drei getesteten und zunächst als fehlerhaft eingestuften G-Data-Produkten hatten sie sich getäuscht.

Wie silicon.de inzwischen auf Nachfrage bei mehreren der anderen, betroffenen Hersteller erfahren hat, gab es die Problem offenbar tatsächlich. Sie wurden aber bereits mit Aktualisierungen vor der Veröffentlichung der Studie behoben.

HTTPS-Interception grundsätzlich erforderlich

Lukas Rypacek, Engineering Director von Avast, das in der Studie am besten abgeschnitten hatte, erklärte, dass die in der Studie als fehlerhaft beschriebene Version von Avast für Mac von März 2016 stammt. “Wir haben seitdem mehrere Updates veröffentlicht – das Poblem besteht in aktuellen Versionen des Programms nicht mehr.”

Liviu Arsene, Senior E-Threat Analyst bei Bitdefender (Bild: Bitdefender)
Liviu Arsene, Senior E-Threat Analyst bei Bitdefender (Bild: Bitdefender)

Liviu Arsene, Senior E-Threat Analyst bei Bitdefender, betont auf Anfrage von silicon.de die grundsätzliche Notwendigkeit für die Security-Hersteller, in den HTTPS-Datenverkehr einzugreifen: “HTTPS-Scanning ist eine wichtige Verteidigungslinie moderner Anti-Malware-Produkte, da mehr als 65 Prozent des weltweiten Datenverkehrs in dieser verschlüsselten Form stattfindet. Auch moderne Malware wird oftmals über HTTPS heruntergeladen, kommuniziert darüber und filtert Informationen heraus. Ohne einen HTTPS-Proxy würde diese Kommunikation von den Anti-Malware-Engines nicht gescannt werden.”

Das Unternehmen erklärt aber in seiner Stellungnahme ähnlich wie Avast, dass “Produkt-Updates, die zwischen dem Test unseres Produkts durch die Forscher und der Veröffentlichung des Forschungspapiers bereitgestellt wurden, fast alle der genannten Probleme gelöst”.

Aufmerksamen Leser fällt hier das Wörtchen “fast” auf. Offenbar gibt es noch Nachbesserungsbedarf. Es kann aber davon ausgegangen werden, dass der mit den nächsten Updates befriedigt wird. Und Details will man offenbar nicht nennen, um es potenziellen Angreifern nicht leichter zu machen.

Stellungnahmen der Anbieter zu Security-Problemen bei HTTPS-Interception

ESET teilt auf Anfrage von silicon.de mit, es haben die Ergebnisse des Berichts untersucht. “Anhand erster Tests können wir bestätigen, dass keines der beschriebenen Probleme die neueste Version von ESET NOD32 (Version 10.0) betrifft.” Auch hier wurden die Probleme in den getesteten, älteren Versionen offenbar bereist behoben. Der Hersteller weiter: “Allerdings hat ESET weitere Untersuchungen in die Wege geleitet und steht in direktem Kontakt zu den Autoren, um bestimmte Details ihrer Behauptungen in Bezug auf ältere Versionen des Produkts zu prüfen.”

Ausgewählte Whitepaper

Sicherheitsaspekte bei der Auswahl einer Lösung für EFSS

Bei der Entscheidung für eine Lösung zur Dateisynchronisierung und -freigabe (Enterprise File-Share and Sync) spielen in Unternehmen in der Regel mehrere Faktoren eine Rolle. Datensicherheit steht dabei meist ganz oben weit oben auf der Liste. Diese 12 Fragen sollten sie Anbietern daher auf alle Fälle stellen.

Kaspersky Lab stimmt den Autoren der Studie grundsätzlich zu, dass Security-Produkte beim Eingriff in verschlüsselten Datenverkehr besonders sorgfältig vorgehen sollten. Allerdings habe man die in der Studie aufgestellten Behauptungen in Bezug auf die eigenen Produkte nicht bestätigen können.

Anders als behauptet, validiere Kaspersky Internet Security für Mac Zertifikate sehr wohl und man habe auch keine Szenarien finden können, bei denen Kaspersky Internet Security für Windows für die in der Studie beschriebenen CRIME-Angriffe anfällig wäre. Eine Anfrage zur Klärung des Sachverhalts hätten die Studienautoren bislang nicht beantwortet.

Außerdem pflichtet Kaspersky Bitdefender bei, indem es ausdrücklich darauf hinweist, dass ein Security-Anbieter in den HTTPS-Verkehr eingreifen muss. Diese client-seitige Analyse hebe die Verschlüsselung keineswegs auf, der Schutz vor unbefugten Eingriffen bleibe stark. Wer etwas anderes beweisen könne, den verweist Kaspersky auf sein Prämienprogramm für gefundene Sicherheitslücken.

Ausgewähltes Whitepaper

Anbieter von IoT-Plattformen im Vergleich

Die Frage nach der passenden IoT-Plattform ist angesichts der Vielzahl der Anbieter nur schwer zu beantworten. Der jetzt von Forrester Research vorgelegte Bericht "The Forrester Wave™ zu IoT-Softwareplattformen" hilft, sich einen Überblick über die aktuelle Marktlage zu verschaffen und den richtigen Ansatz auszuwählen.

Von den zwölf Rahmen der Studie getesteten Netzwerk-Appliances erfüllte nur der von Symantec angebotene Blue Coat ProxySG 6642 die Erwartungen der Forscher. Aber auch hier ergibt sich ein ähnliches Bild wie bei den Antiviren-Suiten: Offenbar gab es tatsächlich in der Vergangenheit Probleme, die wurden aber schon seit Monaten geschlossen. Barracuda Networks etwa teilte auf Anfrage von silicon.de mit: “In diesem speziellen Fall bezieht sich die Studie auf eine frühere Version unseres Web Security Gateways, dessen Firmware mittlerweile aktualisiert wurde. Die erwähnte HTTPS-Schwachstelle wurde seinerzeit entdeckt und bis Februar 2016 behoben.”

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen