Einige AV-Programme treiben die Überwachung soweit, daß sie die HTTPS-Verschlüsselung aufheben und nach der Überprüfung durch eine eigene Verschlüsselung ersetzen. Nur handelt man sich dadurch Schwachstellen ein, die Angreifer für sich nützen können.
Welche AV-Programme respektieren die HTTPS-Verschlüsselung? G Data ist ein solcher Anbieter. Welche anderen AV-Programme gibt es darüber hinaus, die die HTTPS-Verschlüsselung unverändert belassen?
Gute Frage! Weiß jemand wie es bei Norton aussieht?
Hier ein Auszug aus der Heise.de Meldung "Sicherheitsfirmen handeln fahrlässig":
Konkret bedeutet das etwa: 13 von 29 untersuchten Antiviren-Programmen klinken sich in die verschlüsselten TLS-Verbindungen ein. Und alle bis auf eines verschlechtern dabei die Sicherheit der Verbindung; in vielen Fällen konnten die Forscher den angeblichen Schützern sogar massive Sicherheitsprobleme nachweisen. So erlaubten gemäß der Studie Produkte von Avast, Bitdefender, Bullguard, Dr.Web, Eset und Kaspersky direkte Angriffe auf die gesicherten Verbindungen. Bei den getesteten Security-Appliances für die Inspektion von TLS-Verbindungen sieht es nicht besser aus: 11 von 12 schwächten die Sicherheit etwa durch die Hinzunahme von kaputten Verfahren wie RC4. https://www.heise.de/newsticker/meldung/Sicherheitsforscher-an-AV-Hersteller-Finger-weg-von-HTTPS-3620159.html
Jetzt muß man nur noch herausbekommen, welche 16 AV-Anbieter sich nicht in HTTPS einklinken. Einer davon ist G Data
Vielleicht das https://www.av-comparatives.org/wp-content/uploads/2012/04/sp_rev_softsphere_200905_de.pdf hier ?
Catweazle
Das verlinkte Dokument aus dem Jahr 2009 dürfte es wohl kaum gewesen sein. Da gibt es bestimmt etwas Aktuelleres aus 2016/2017.
Hier eine Stellungnahme von Emsisoft (in Englisch):
http://blog.emsisoft.com/2017/02/09/https-interception-what-emsisoft-customers-need-to-know/
https://support.emsisoft.com/topic/26863-eam-und-tls-zugriffe/
So wie ich das verstehe, knackt Emsisoft ebenfalls die HTTPS-Verschlüsselung. Der Unterschied zu anderen AV-Anbietern besteht in der Filterungsart. Die Filterung erfolgt nicht auf Basis der Webadresse sondern der Hostadresse. Davon unberührt wird die HTTPS Verschlüsselung unterbrochen.
Auszug aus der Emsisoft Antwort:
Doing it differently: How Emsisoft’s Surf Protection works
Emsisoft chose a different method to make sure you can’t access malicious and fraudulent websites. Instead of filtering on URL level (example: https://badsite.com/folder/malwarefile.exe), it blocks known bad hostnames (example: badsite.com) on DNS level. Host names are resolved to the servers’ IP addresses by the operating system. Emsisoft’s Surf Protection intercepts that process of address resolution independent of browser and traffic by returning an invalid IP address for hostnames that are on the blacklist.
That method may not be as precise as URL filtering, but it comes with two significant advantages:
It doesn’t rely on spying on any encrypted traffic, so it doesn’t provide as much surface for attackers as other concepts.
It doesn’t require huge cloud-based databases to verify good and bad website addresses, which means it’s less intrusive on your privacy by design, as all matching is done locally on your computer. http://blog.emsisoft.com/2017/02/09/https-interception-what-emsisoft-customers-need-to-know/
SecureAPlus= https://www.secureaplus.com/
Das Pdf kann man sich noch aus dem Google-Webcache fischen (HTML-Version).
http://webcache.googleusercontent.com/search?q=cache%3Ahttps%3A%2F%2Fzakird.com%2Fpapers%2Fhttps_interception.pdf&oq=cache%3Ahttps%3A%2F%2Fzakird.com%2Fpapers%2Fhttps_interception.pdf&aqs=chrome..69i57j69i58.1344j0j4&sourceid=chrome&ie=UTF-8
Hier die Antwort von GDATA
https://blog.gdata.de/2017/02/29495-g-data-greift-nicht-in-https-verkehr-ein
Wenn ihr bei eurem eigenen AV nicht sicher seit, schaut doch einfach mal nach, ob der Hersteller ein eigenes Zertifikat im Windowszertifikatsstore hat. Wenn da keins drin ist, wird das AV ohne Zauberei auch keine https Verbindung mitlesen. Wenn eins drin ist, könnte der Name u.a. noch weiter helfen.
Sonst hilf ne einfache Prüfung mit aktivem Webschutz zB. auf der Eicarseite. Einfach mal das Eicar Testfile per https laden. Kommt keine Meldung vom Webschutz, sondern vom Wächter, wurde die https Sicherheit wohl nicht aufgebrochen. Wird die Seite beim Laden schon vom Webschutz blockiert, dürfte das wohl ziemlich auf einen Bruch der Verschlüsselung seitens des AV Anbieters hinauslaufen.
Bisher weiß ich durchs eigene ausprobieren dieser beiden Sachen, das GDATA und McAfee (LifeSave) keine https Verbindung aufbrechen, Bitdefender (IS 2017) hingegen schon.
Aber davon ab, man kann es doch sicherlich bei fast jedem Hersteller ausschalten. Nur weil die Funktion murks ist, muss der Rest vom AV ja nicht schlecht sein. Und wie so oft, wenn der eine große Hersteller damit anfängt, zieht der nächste mit dem "Feature" halt nach. Ist doch in allen Branchen so.
die Überwachung kann man explizit ausschalten bei Kaspersky
Im Firefox Forum kursieren diese Adressen bzw. Workarounds:
https://www.camp-firefox.de/forum/viewtopic.php?p=1026153&sid=8dfd26e1d06639e38562f2ac7b51a214#p1026153
Bei Avast kann auch zusätzlich zum Beispiel die Option Intelligente Stream Prüfung verwenden deaktiviert werden, oder aber wer zwar Avast nutzen will und den Webschutz nicht will, der kann bei der angepassten Installation den Webschutz ganz abwählen. Das ist so weit ich weiß bei Kaspersky, BitDefender und Eset nicht möglich.
@simracer: Nebenbei gefragt: Kann man bei Avast unbekannte Programme als Ausnahme definieren, sodaß dieses Programm nicht automatisch in Quarantäne geschoben wird?
Ja .... Also kann man wohl im "gehärteten Modus" unbekannte Programme zulassen, die in den AV-Datenbanken als "bad program" abgelegt sind, obwohl kein Risiko besteht. Vermutlich Modus moderat?
Ja ich habe den Modi Moderat im Gehärteten Modus und ab und zu aber eher selten kam mal ne Abfrage ob ich zulassen will oder nicht meist bei irgendwelchen Installern von Freemake usw. kannst aber natürlich auch ganz klassisch im Dateisystemschutz und Webschutz dort Ausnahmen festlegen wenn du magst, ich hab das noch nie genutzt.
Danke. Dann wird Avast testweise bei mir einziehen.
Nun zurück zu AV-Programmen ohne HTTPS-Verletzung.
Viel schlimmer finde ich es, wenn Anbieter Erkennungsroutinen ausschließlich an den Webscanner koppeln. Wenn man bei ESET den Webscanner deaktiviert, wird die AMTSO cloudcar.exe nicht mehr erkannt, nicht mal beim Ausführen. Da frage ich mich natürlich, was einem tatsächlich durch das Deaktivieren verloren geht. Bei ESET im Forum braucht man nicht nachzufragen, da sind Webscanner die beste Erfindung seit dem Kühlschrank. Trotzdem wäre es wichtig zu wissen, wenn Malware, die schon in der Cloud, jedoch noch nicht in den Signaturen bekannt ist, bloß deshalb nicht erkannt wird, weil sie über eine HTTPS Verbindung heruntergeladen wird.
Ein Dateisystemscanner kann auch Hash-Werte mit der Cloud abgleichen, ohne dass etwas Verdächtiges passieren muss. Datei wird zum ersten mal ausgeführt = Cloudüberprüfung mit dem Ergebnis: gut, schlecht, unbekannt. Wenn es gut ist, wird es kein weiteres mal überprüft und fertig.
Das ist klar. Ich meinte, dass es aus eset-Sicht ("Webschutz ist unverzichtbar") nachvollziehbar ist, wenn Cloud-Prüfungen nur in dieser Schutzebene stattfinden.
Wenn Du LiveGrid deaktivierst, dann erkennt auch der "Rest" des aktiven Webschutzes nichts.
Ich bin neugierig was die Zukunft bringt. Man munkelt das Microsoft ESET in Firma einbeziehen möchte.
Zwischen ESET / Kaspersky und MS besteht schon vor 1992 eine gute Freundschaft. Hat glaube etwas mit dem Ort SÖMMERDA und Fujitsu Technology Solutions GmbH
zu tun.
Könntest Du bitte kurz beschreiben, was in dem verlinkten Video zu sehen ist?
Ich habe relativ wenig Lust mir das anzuschauen und danach festzustellen, dass "Man munkelt das Microsoft ESET in Firma einbeziehen möchte." und/oder "Zwischen ESET / Kaspersky und MS besteht schon vor 1992 eine gute Freundschaft." darin keine Rolle spielen.
Gibt es andere Quellen?
4. BullGuard respektiert die https Verschlüsselungen und benutzt im Browser ein Certificat BullGuard SSl Poxy CA.
Muss ich mir bei 360 Total Security Sorgen machen ?
Nutze es schon eine ganze Weile und bin zufrieden.
Danke Uwe für den Hinweis
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)