Úvodní stránka » Bezpečnost » Avast na uživateli provádí MITM stejně jako Superfish

Avast na uživateli provádí MITM stejně jako Superfish

(27. 2. 2015) Jistě jste zaznamenali aféru výrobce počítačů Lenovo a programu Superfish, který vlastním certifikátem četl důvěrná data uživatelů. Stejný způsob obcházení HTTPS však používají i jiné programy a dokonce se u toho tváří užitečně. Nejznámějším z nich je zcela jistě Avast. Místo certifikátu serveru používá vlastní certifikáty, navíc ještě špatně.

„Dobrý” Man in the middle útok

Článek o kauze Superfish najdete například na Lupě. Pojednává o tom, že program jednoho aktivního výrobce provádí na uživatelích aktivní Man-in-the-middle útok pomocí svých vlastních (podvržených) SSL certifikátů. MITM útok je koncept podvržení falešného certifikátu uživateli, který tak omylem komunikuje s útočníkem, nikoliv se serverem. Komunikace tak není soukromá a nepoužívá se pravý SSL certifikát serveru.

Stejný princip používá i Avast. V případě programu Avast je instalace a použití „webového štítu” provedena uživatelem dobrovolně. Nepochybuji o tom, že je tato funkce prezentována jako bohulibá; aby také ne, když je součástí bezpečnostního produktu. (Naštěstí jde v nastavení vypnout).

Princip fungování je u obou programů stejný. Do kořenových certifikátů systému uživatele si program nainstaluje Root certifikát výrobce, kterým jsou "vydávány" jeho certifikáty pracovní, které používá místo certifikátu serveru. 

Pokud si s aktivním Avast Web štítem otevřete náš SSLmarket.cz, bude vám místo našeho prestižního Symantec Secure Site EV certifikátu vnucen podvržený certifikát Avastu, který samozřejmě není EV, ale je vystaven pro stejnou doménu a je důvěryhodný (díky Rootu avastu v úložišti). Nekomunikujete napřímo s naším serverem a už vůbec ne nejdůvěryhodnějším EV certifikátem Symantec. 

Stejné to bude u vaší banky. Dostanete podvržený certifikát a ani o tom nevíte. Neučme se používat podvržené certifikáty a nedělejme je důvěryhodnými!

EV certifikát nejde podvrhnout, proto ho Avast eliminuje

Na testované doméně SSLmarket.cz máme EV certifikát od autority Symantec (dříve Verisign). Našim zákazníkům nabízíme ten nejlepší a nejdůvěryhodnější SSL certifikát, který existuje. Certifikační autorita EV certifikát vystavuje po důkladném ověření a není možné si udělat EV certifikát vlastní. Naštěstí jsou v prohlížečích „natvrdo” uvedeny autority, které je vystavují. Tento problém Avast řeší tím, že EV certifikát zcela eliminuje. Nějaký zelený řádek ho nezajímá, stejně jako Certificate Transparency; uživateli toto dodatečné zabezpečení HTTPS nedovolí použít.

Děkujeme Avastu, že uživatele nenechá použít náš SSL certifikát Symantec. Třešničkou na dortu je neschopnost Avastu uvést své "MITM certifikáty" do souladu s požadavky Chrome. Někteří uživatelé pak v Chromu vidí na svém vlastním webu, na který nasadili důvěryhodný certifikát od SSLmarketu, podobné nesmysly:

Takto to vypadá, když z vás dělá Avast hlupáka

Takto to vypadá, když z vás dělá Avast hlupáka. Všimněte si absence zeleného známku značící HTTPS.

Avast WebShield brání použití SSL certifikátu Symantec

Zde Avast brání použít SSL certifikát Symantec na SSLmarket.cz. Vidíte nějaký zelený pruh?

Zn. velký bratr sleduje vyšší dobro

Avast se chová jako velký bratr. Tvrdím, že toto použití MITM útoku je nepřijatelné, zcela amatérsky provedené a navíc dochází k manipulaci s kořenovými certifikáty. Je nepřípustné, aby třetí strana mohla číst obsah šifrované HTTPS komunikace mezi uživatelem a serverem. Jediné možné opodstatnění tohoto postupu je v korporátní sféře a proxy řešeních, které se chtějí do HTTPS „dívat”. Korporace to provádí vědomě a ví, co dělá; obyčejný uživatel to nepostřehne.

Avast se uživatele neptá, zdali chce, aby jeho citlivá data byly čteny třetí stranou, která vstupuje do celé komunikace ještě před serverem. Při pokročilé instalaci je možné Webový štít odškrtnout, ale zcela chybí popis této funkce a jejího fungování.

Avast bude jistě argumentovat tím, že se i viry mohou přenášet přes HTTPS. To je však problém správce serveru a pochybuji, že se to v praxi děje. Certifikační autority GeoTrust a Symantec nabízí zákazníkům svých certifikátů antivirový sken veřejných částí webu. Pokud na nich najdou škodlivý kód či malware, okamžitě držitele certifikátu na problém upozorní. Snaha Avastu se mi tak jeví jako zbytečná, zejména u běžných domácích uživatelů. Více o těchto funkci certifikátů najdete na stránce kontrola škodlivého kódu (Web Site Malware Scan).

Dejte si pozor na "pomocníky" a kontrolujte certifikáty

I antivirové programy dokážou být kontroverzní. Dejte si pozor, jaké "pomocníky" si do počítače instalujete a mějte přehled o svém zabezpečení. Doporučuji u obzvláště důležitých webů kontrolovat SSL certifikát a jeho vystavitele.

Při každé návštěvě internetového bankovnictví si zkontrolujte SSL certifikát a pamatujte si autoritu, která ho vydala. Jakmile uvidíte v něčem rozdíl nebo stín podezření, nepokračujte.

Pan Ondřej Surý z CZ.NIC na jedné ze svých přednášek překvapil posluchače otázkou, zdali má jejich banka pro internetbanking zelený EV certifikát, nebo „normální”. Málo z nich si tuto informaci pamatovalo, protože většina uživatelů má na takové detaily „slepotu” a certifikát manuálně nekontroluje. To je potom příležitost pro útočníka, který je může obelstít nějakým levným DV certifikátem od nedůsledné certifikační autority.

Avast není sám

MITM útok používá ve snaze „vidět do HTTPS” více produktů a firem. Kromě zmíněného Superfish například aerolinky GoGo, které cestujícím špehují obsah HTTPS komunikace. Často to dělají vlády nedemokratických režimů, které používají falešné SSL certifikáty pro Google servery, Facebook, a další populární služby. Z desktopových programů stojí za zmínění například PrivDog v prohlížeči od Comoda.

Informace o dalších MITM programech, na které je třeba dát si pozor, najdete v článku Security software found using Superfish-style code, as attacks get simpler.

Webový štít můžete vypnout

Cílem tohoto článku je ukázat na zbytečnou a nedomyšlenou funkci programu, která může být zneužita. Zároveň se jedná o porušení důvěry uživatele a špatné bezpečnostní praktiky. Jeho cílem není uživatelům rozmluvit použití programu Avast.

vypnutí webového štítu Avastu

Zde můžete vypnout webový štít. HTTPS bude opět soukromé.

Kritizovaný webový štít můžete snadno vypnout v nastavení programu, viz screenshot výše.

Bc. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus 
e-mail: jindrich.zechmeister(at)zoner.cz

Přidat komentář

Zvýrazněné položky jsou povinné.

Přehled komentářů

  1. verejne zaznamy SSL (Lukas, 1.3.2015 14:59:26) Odpovědět

    Zkousim vasi stranku https://www.sslmarket.cz s Avastem a na variantu s EV certifikatem se dostanu vzdy kdyz stisknu F5 v prohlizeci. (https://www.blog.sslmarket.cz/ mate nejak spatne nastavenou, tam se pres HTTPS nedostanu vubec - certifikat mate pro uplne jinou domenu)

    Stejne ale chrome na sslamrket.cz pise, ze "neexistuji zadne verejne zaznamy teto organizace" - a to jak s Avastem a nebo bez nej. Je to tak v poradku, nebo mate neco na strankach spatne nastavene? Jake je ocekavane chovani v pripade, ze je vsechno na serveru nastaveno spravne?

    Diky,
    LR

  2. komunikace primo (Lukas, 1.3.2015 15:12:32) Odpovědět

    A jeste jedna poznamka, pisete:

    " Nekomunikujete přímo s naším serverem a už vůbec ne nejdůvěryhodnějším EV certifikátem Symantec. "

    Vzdyt to je uz uplna blbost? Jak si muze kazdy overit jednoduse ve Wiresharku, komunikace jde s avastem uplne stejne jako bez nez - tj. primo se serverem (zde sslmarket.cz, ve wiresharku jako 217.198.113.23) a v handshaku je pouzit samozrejme EV certifikat (netusim zda je od Symantecu, protoze ve Wiresharku vidim: VeriSign Class 3 Extended Validation SSL CA)

    LR.

  3. Autor clanku lze? (Radek, 3.3.2015 10:15:41) Odpovědět

    Vypada to, ze autor clanku lze. Ted jsem si v chrome zkusil zobrazit sslmarket a nikde nevidim nic podvrzene. Pouzivam i Avast a dokonce mam zapnuto skenovani HTTPS.
    Tady odkaz na to, jak vypada info o spojeni:
    http://www.imagehosting.cz/?v=ssl.gif

    Docela dost dobre nechpau, proc autor clanku lze a vymysli si.

  4. Princip fungování TLS (Jakub, 4.3.2015 1:09:45) Odpovědět

    Trochu mě znepokojují komentáře, které jsou tu napsané. Pointa TLS a certifikátů je, aby byla komunikace nepřečtitelná a nepodvrhnutelná třetí stranou - pokud tedy antivirový program chce v této komunikaci provést kontrolu na viry, tak ji z principu věci musí číst, což narušuje původní záměr.

    Jednotlivé nastavení funkčnosti a nefunkčnosti na konkrétních počitačích nemohou na toto mít vliv. V článku v zásadě hlubší tvrzení nejsou, jen je delší a s obrázky.

    Bylo by zajímavé, pokud by autor někde pod HTTPS vystavil stránku a ke stažení nějaký virus (ideálně něco neškodného z DOSové éry, jestli to pořád antiviry detekují). Tak by si mohl každý vyzkoušet, jestli mu antivir antiviruje nebo HTTPS zabezpečuje.

  5. reakce (Zechmeister, autor, 4.3.2015 10:17:46) Odpovědět

    Vážení kolegové v komentářích, jednak se ohrazuji proto tomu, že je článek lež. Webshield je oficiálně dokumentovaná funkce Avastu, včetně skenování HTTPS. Doporučuji se všem podívat do svého certificate storu, jistě budete překvapeni.
    Avast sám posuzuje, které weby jsou "důvěryhodné". Proto někoho "chrání" před naším EV certifikátem a jiného ne. Všiml jsem si například, že na banky si použití štítu nedovolí. Pokud jste certifikát Avastu nezachytili a máte zapnutý štít, s článkem se to nevylučuje. Zkuste to však na čerstvě nainstalovaném systému.

    Podívejte se na tento obrázek - s tím souhlasíte? Je tam dokonce i Airbank :-) Google, paypal a další. Vše v systému důvěryhodné, protože se Avast sám nainstaloval do Root autorit.
    Avast evidentně nechápe princip certifikačních autorit a sám si na jednu z nich hraje.

    O čtení nebo obcházení HTTPS se snad nemusíme bavit. Je to soukromá komunikace a mělo by vám vadit, že ji někdo čte. Pro mě je to prostě nepřípustné a neuznávám ani argument ochrany, kterým reaguje Avast. Programy toto bez našeho vědomí dělat nemohou.
    Avast to navíc z pohledu certifikátů dělá špatně. Obecně antiviry používají techniky útočníků, jen k "ochraně uživatele".

  6. kam jste se dival (Lukas, 4.3.2015 21:21:22) Odpovědět

    Pane Zechmeistere,
    Kam, že se máme podívat (obrázek jste nepřilozil), abychom viděli certifikaty od Avastu pro google ci paypal jako duveryhodne authority?
    Ono totiž v tom seznamu certifikatů ve windows jsou ruzné adresáře, ale jen v jednom je seznam duveryhodnych autorit. Nebo snad Váš prohlížeč akceptuje jako důveryhodné autority i certifikáty z ostatních adresářů? Jak se ten prohlížeč jmenuje? Chrome to totiž není.

    Díky,
    Lukas R.

  7. obrázek (Zechmeister, autor, 5.3.2015 10:03:20) Odpovědět

    Omlouvám se za zapomenutý obrázek. http://blog.sslmarket.cz/obrazek/3/avast-certifikaty-ve-storu-png/ - Avast má svou vlastní složku.


Rubriky

  • Aktuality
  • Novinky ze SSLmarketu
  • Bezpečnost
  • Zajímavosti o SSL
  • Návody k SSL
  • Týden v bezpečnosti
  • Speciály

  • Jak šifrovaně tunelovat s OpenVPN
  • Dvoufaktorová autentizace
  • Spojte se s námi

  • RSS kanál SSL blogu
  • SSLmarket na Facebooku
  • SSLmarket na Twitteru
  • SSLmarket na Google+
  • Kontakt
  • SSL market