Come funziona la funzione di scansione https di Avast? È fondamentalmente un attacco MITM? Questa funzione è stata abilitata nella versione 2015 rilasciata alcuni giorni prima
Come funziona la funzione di scansione https di Avast? È fondamentalmente un attacco MITM? Questa funzione è stata abilitata nella versione 2015 rilasciata alcuni giorni prima
Stanno usando una CA locale inserita nel tuo negozio di fiducia:
• HTTPS scanning Now, we are able to detect and decrypt TLS/SSL protected traffic in our Web-content filtering component. We are using our own generated certificates that are added into the Root Certificate store in Windows and also into major browsers. This feature will protect you against viruses coming through HTTPs traffic as well as adding compatibility for SPDY+HTTPS/ HTTP 2.0 traffic. You can tune/disable this feature in the settings section.
Per eseguire la scansione del traffico HTTPS arbitrario, devi eseguire una delle seguenti operazioni:
aggiungi un hook nella libreria SSL client in modo da ottenere i dati in uscita subito prima che vengano crittografati e i dati in arrivo subito dopo la decifrazione.
Conosci la chiave privata del server (e il server non usa una suite di crittografia "DHE").
Esegui un MitM , che implica la generazione di un falso certificato del server on- the-fly, da una CA che controlli e che è stata installata nello store "trusted CA" del client.
La seconda soluzione non è possibile in generale (puoi farlo quando controlli i server, ma non per tutti i server su Internet). La terza soluzione è ciò che si fa nelle aziende e nelle grandi organizzazioni in cui il mantenimento degli hook SSL sul lato client è ingombrante e un enorme problema logistico, mentre un semplice inserimento di una CA root aggiuntiva è semplice.
Un antivirus installato localmente ha la scelta. L'opzione "hook" è più pulita, ma è specifica per una determinata libreria SSL; in genere, IE e Firefox non utilizzano affatto la stessa implementazione SSL, quindi se Avast utilizza il metodo hook, deve collegarsi a entrambe le implementazioni. Il metodo MitM è più facile da applicare a livello di sistema ed è più resiliente agli aggiornamenti software, ma può rompere alcune funzionalità (ad esempio i certificati client). Per sapere quale metodo è stato applicato, provare a connettersi a vari siti HTTPS e dare un'occhiata alla loro catena di certificati; se tutte le catene tornano a una singola CA che sembra Avastish, allora questo è il metodo MitM. Se le catene tornano a varie CA radice esistenti, allora questo è il metodo di aggancio.