I certificati di "skype click to call" e "avast! Web / Mail Shield "meglio di Superfish?

20

La mia ragazza ha un laptop vecchio di lenovo. L'ho controllato e non mi ha sorpreso il fatto che il certificato CA Superfish / Komodia Root non fosse presente. Tuttavia ho trovato alcuni altri che sembrano simili in funzione se non lo scopo.

Ci sono chiavi che sembrano essere state installate da Avast anti-virus e Skype, entrambi i quali dovrebbero essere sulla macchina. Tuttavia, la puprose di queste chiavi è presumibilmente molto simile a superfish - l'intercettazione di contenuti Web protetti mediante la creazione dinamica di certificati SSL firmati per siti remoti.

Questo potenzialmente apre problemi di sicurezza simili a quanto riscontrato con il software Superfish. Ad esempio, se un utente malintenzionato ha queste chiavi può rilasciare certificati che saranno considerati affidabili dal computer locale.

1). Se ho capito bene, affinché questi programmi possano giocare a MITM, devono avere accesso alla chiave privata associata all'autorità di certificazione installata. Quindi può essere ottenuto mediante il reverse engineering del sotware. Corretto?

2) Qualcuno può confermare se queste chiavi sono generate o meno singolarmente per ogni installazione?

    
posta mc0e 22.02.2015 - 17:21
fonte

2 risposte

20

La mia comprensione è che Superfish installa lo stesso certificato e la stessa chiave privata in ogni computer, quindi una volta ottenuta la chiave privata hardcoded puoi usarla come man-in-the-middle a chiunque abbia installato superfish. Avast non lo fa; genera dinamicamente un certificato univoco e una chiave privata per ogni installazione.

Ecco come appare il certificato Avast sul mio desktop:

EdeccoilcertificatoAvastsulmiolaptop:

Quindi chiaramente, sono certificati diversi. Ciò significa che non posso semplicemente prendere la chiave privata Avast dal mio computer e usarla per attaccare qualcun altro che ha installato Avast. Lo stesso non si può dire per il superfish.

Un'altra differenza è che Avast non fa tutto ciecamente man-in-the-middle. Invece, prima verifica la validità del certificato originale. Se il certificato originale è valido, continuerà a gestire il traffico in modo da poter effettuare la scansione del malware. Ma se c'è un problema con il certificato originale, sarà intenzionalmente man-in-the-middle con un certificato NON installato nell'elenco dei certificati attendibili, generando un avviso del browser. Puoi vedere questo funziona negli screenshot seguenti:

Quando visiti un sito Web con un certificato valido, Avast MITM rileva il traffico per cercare malware ...

Masevisitounsitoconuncertificatoautofirmato,AvastintenzionalmenteMITMconuncertificatononfidatopergenerareunavvisodelbrowser-notailnome"Avast Web / Mail Shield UNTRUSTED root"

In questo modo, Avast evita accidentalmente che un utente visiti un sito Web con un certificato errato. Non è perfetto, ma è ancora molto più sicuro di tutto ciecamente man-in-the-middling, con un certificato di root identico e affidabile su tutti i computer come Superfish.

    
risposta data 23.02.2015 - 02:52
fonte
0

SE non si è sicuri del comportamento di Avast, controllare la data di validità del certificato Avast.

Rapporti Avast, per ora, il certificato è valido tra il 2013-10-22 e il 2016-07-07 come data di scadenza per questa pagina in HTTPS: //, Rilasciato a * .stackexchange.com, ed emesso da

"Avast! Web / Mail Shield Root".

Disabilitando la protezione Avast per 10 minuti e verificando di nuovo, l'unica modifica è che l'emittente ha esattamente le stesse informazioni, ma l'emittente del certificato cambia in

"DigiCert SHA2 High Assurance CA CA"

La data di scadenza del certificato originale non è stata modificata, né a cosa è stata rilasciata.

    
risposta data 26.02.2015 - 20:53
fonte

Leggi altre domande sui tag