Avast, Kaspersky und ESET verschlechtern HTTPS-Sicherheit

  • Im Prinzip steht in dem Artikel nichts komplett Neues, aber ich fand es dennoch interessant, das Schwarz auf Weiß zu lesen, vor allem vor dem Hintergrund, dass die Programme auch von Nutzern dieses Forums gerne genutzt werden, aber auch weil es zeigt, dass man sich auf die Hersteller bekannter Sicherheitssoftware absolut nicht verlassen kann:

    http://www.scmagazineuk.com/updated-kasper…article/411470/

    Es geht einmal mehr um die berühmt-berüchtigte "Schutzfunktion", bei welcher die "Sicherheitssoftware" in allerbester Man-in-the-Middle-Manier den HTTPS-Verkehr abfängt. So weiß Kaspersky beispielsweise seit mehr als einem Monat von einer Sicherheitslücke in seiner Funktion und hat diese noch immer nicht behoben. Ein Sicherheitsupdate wurde zwar bereits in Aussicht gestellt, aber auch nur "vor Ende Mai", wir haben jetzt Ende April. Das ist schon ziemlich schwach für den Hersteller sogenannter Sicherheitssoftware. Der Sicherheits-Blogger Hanno Böck hat sich neben Kaspersky auch Avast und ESET angesehen und alle drei verschlechtern die Sicherheit statt sie zu verbessern. ESET beispielsweise unterstützt kein TLS 1.2 und nutzt daher einfach einen schwächeren Algorithmus als die Seite unter Umständen normalerweise verwenden würde. ESET unterstützt wie Avast auch kein OCSP Stapling. In dem Artikel stehen noch mehr solche Dinge. Haarsträubend. So viele Menschen vertrauen solcher Software und geben möglicherweise sogar Geld aus.

  • Zitat von TmoWizard

    Hier der passende Artikel von Golem dazu:


    Und hier der passende Thread aus dem Kasperksy-Forum : http://forum.kaspersky.com/index.php?s=09…howtopic=322191
    Post #5 und #9 ! :roll:

    Zitat

    Das Problem (falls es eines ist, meines Wissens wird es intern abgefangen) kann nur auftreten, wenn die "Untersuchung sicherer Verbindungen" von Hand auf "immer untersuchen" gesetzt wird.

  • Zitat von Sören Hentzschel


    Es geht einmal mehr um die berühmt-berüchtigte "Schutzfunktion", bei welcher die "Sicherheitssoftware" in allerbester Man-in-the-Middle-Manier den HTTPS-Verkehr abfängt. So weiß Kaspersky beispielsweise seit mehr als einem Monat von einer Sicherheitslücke in seiner Funktion und hat diese noch immer nicht behoben.


    Diese Funktion ist per Default gar nicht aktiviert:
    [Blockierte Grafik: http://www11.pic-upload.de/thumb/29.04.15/immigddk976o.jpg]

    Aber das weiß der "Herr Böck" bestimmt auch ?

  • Das ist doch überhaupt nicht der Punkt, ob es standardmäßig aktiviert ist oder nicht. Es wurde ganz explizit das getestet, nichts anderes wurde in dem Artikel behauptet und nichts anderes habe auch ich geschrieben. Abgesehen davon, dass das so auch nicht richtig ist. Für bestimmte Seiten ist das in Kaspersky sehr wohl standardmäßig aktiviert. Steht aber auch im Artikel. Ich weiß außerdem nicht, wieso du den Namen in Anführungszeichen setzt.

  • Zitat von Sören Hentzschel

    Ich weiß außerdem nicht, wieso du den Namen in Anführungszeichen setzt.


    Geht mir auch so bei Dir:

    Zitat

    "Schutzfunktion" // "Sicherheitssoftware"

    Übrigens mal nachgefragt:

    Zitat

    dass man sich auf die Hersteller bekannter Sicherheitssoftware absolut nicht verlassen kann:


    Was nutzt Du denn unter Windows ?

  • Zitat von pittifox

    Was nutzt Du denn unter Windows ?

    Eine irrelevante Frage.

    Windows ist ein inhärent unsicheres Biotop. Da helfen keine Feigenblätter aka Schutzsoftware.
    Der Hersteller des OS hat sich bereits selbst disqualifiziert, da dieser selbst ein Feigenblatt ausliefert ohne sich wirklich um die Sicherheit des OS zu kümmern.

  • aha, (mal wieder Windows-Bashing :mrgreen: ) Ich behaupte mal, es gibt überhaupt kein sicheres Betriebssystem, auch nicht dein Linux... :D
    also kann der Nutzer, ob von Windows, Linux, MacOS oder irgendein anderes nur durch Eigeninitiative das Gröbste vermeiden...

  • Zitat von .Hermes

    Eine irrelevante Frage.


    Die Frage ging an @Sören, der Rest von Deinem Beitrag dürfte allgemein bekannt sein (Stichwort: Patchday), wäre besser Du schreibst das nach Redmond ?!

    Boersenfeger: +1 !

  • Zitat von Boersenfeger

    aha, (mal wieder Windows-Bashing

    Das ist jetzt wirklich Unfug.

    Ich möchte mal eine Site sehen, die meinem Fx etwas anhaben könnte.
    Nur für dich, hier gibt es eine vertikale und horizontale Sicherheit.

    Jedoch, warum entwickelt ein Hersteller einen eigenen Antivirus und kümmert sich nicht um die realen Schwachstellen ?

  • Zitat von .Hermes

    [..] die realen Schwachstellen ?


    Gibt es natürlich in Linux (dazu gehört auch Android) nicht, ist klar soweit ?!
    Schon gelesen?
    Linux-Kernel: Mehrere Schwachstellen ermöglichen verschiedene Angriffe: https://www.cert-bund.de/advisoryshort/…81%20UPDATE%201
    Und da nicht jeder ein Update auf Android 4.4 bekommt bzw. machen kann .
    Android 4.3 und älter: Schwachstelle in der Schlüsselverwaltung: http://www.heise.de/security/meldu…ng-2237970.html

    Einmal editiert, zuletzt von pittifox (29. April 2015 um 17:55)

  • Zitat von .Hermes

    Warum entwickelt...

    Das kann ich dir auch nicht beantworten... es ist aber so wie es ist, das 90 % der Computernutzer Windows nutzen... da hilft es nichts, aber auch gar nichts, wenn du es als unsicheres Biotop bezeichnest... auch wenn du recht haben magst...
    BTW: Du schreibst, das keine Site deinem Fuchs was anhaben könnte, du kannst dies auch für dein System so kategorisch ausschließen? Ich könnte dies nicht. :)
    Sicher habe ich nicht die Ahnung von den Hintergründen, so wie du, ich nutze mein auch dir bekanntes Sicherheitskonzept und war bislang in der guten Situation, seit meinem Internetstart 1998 noch nie Probleme in dieser Richtung gehabt zu haben.
    Für die Zukunft ausschließen kann ich das aber nicht so bestimmt wie du...

  • Zitat von Boersenfeger

    [..]noch nie Probleme in dieser Richtung gehabt zu haben.


    Dito ! :wink:

  • Zitat von pittifox


    Geht mir auch so bei Dir:

    Keine Ahnung, wo du da den Zusammenhang siehst. Wieso Schutzfunktion und Sicherheitssoftware in Anführungszeichen gesetzt worden ist, das geht ganz eindeutig aus dem Inhalt des Themas respektive der verlinkten Artikel hervor. Aber nicht, wieso der Name in Anführungszeichen gesetzt worden ist. Während der Schutz sehr wohl in Frage gestellt werden kann (es ist nun einmal eine Tatsache, dass das, worum es in diesem Thema geht, die Sicherheit verschlechtert, obwohl es sie verbessern soll, sprich der Schutz ist nicht real gegeben), ist der Name der Person real.

    Zitat von pittifox

    Was nutzt Du denn unter Windows ?

    Keine Sicherheits-Software. Ich bin nicht die beste Person, um diese Frage gestellt zu bekommen. Wie oft ich das System im Jahr ernsthaft verwende, kann ich an einer Hand abzählen, das ist kein produktiv eingesetztes System. Hauptverwendungszweck: Anfertigen von Screenshots, wenn ich über etwas schreibe, was Windows und nicht OS X betrifft. Ich starte den Computer fast nur, um Updates zu installieren beziehungsweise derzeit vor allem neue Windows 10 Previews installieren, ansonsten arbeite ich ausschließlich an Macs, sowohl privat als auch in der Firma. Intensiver genutzt wurde der Computer nur, während mein primär genutzter Computer in der Reparatur war.

    Zitat von Boersenfeger

    ... sein Sicherheitskonzept... :mrgreen:

    Und aus diesem Grund praktiziere ich auch kein Sicherheitskonzept für dieses System, das ist nicht mehr als ein Testsystem / Screenshotanfertigungssystem / Notfallsystem.

  • Ich verwende mal dieses Thema wieder, auch wenn es nicht um die HTTPS-Sicherheit geht, sondern einfach nur um die Sicherheit, welche diese Anwendungen versprechen, aber es sind mal wieder die üblichen Verdächtigen betroffen, namentlich Kaspersky und ESET (neben anderen wie McAfee oder Symantec). Man sollte es nicht glauben, aber diese Hersteller setzen nach wie vor einzig und allein auf MD5 zur Malware-Identifizierung, ein Algorithmus, der bereits seit vielen Jahren als unsicher gilt. Was das bedeutet:

    Zitat

    As you can see, binaries submitted for analysis are identified by their MD5 sums and no sandboxed execution is recorded if there is a duplicate (thus the shorter time delay). This means that if I can create two files with the same MD5 sum – one that behaves in a malicious way while the other doesn’t – I can “poison” the database of the product so that it won’t even try to analyze the malicious sample!

    Vollständiger Artikel hier:
    http://blog.silentsignal.eu/2015/06/10/poi…mong-the-sheep/

  • Zitat von Sören Hentzschel

    es sind mal wieder die üblichen Verdächtigen betroffen, namentlich Kaspersky und ESET (neben anderen wie McAfee oder Symantec).


    Warum in der Reihenfolge?