La scansione antivirus HTTPS dovrebbe essere lasciata accesa? È sicuro?

Se desideri eseguire la scansione del traffico HTTPS per trovare malware, devi decrittografarlo. Avast raggiunge questo risultato installando il proprio certificato di root per intercettare localmente il traffico web, fungendo da man-in-the-middle.

(Avast ha un post di blog che spiega il loro approccio. )

Is the method they (let's say Avast as an example) use secure?

Il principale problema di sicurezza emergente è che chiunque conosca la chiave privata per il certificato radice generato può crittografare il tuo traffico. Ecco perché ne creano uno unico per ogni macchina e non lo inviano da nessun'altra parte:

We want to emphasize that no one else has the same unique key that you have from the installation generated certificate. This certificate never leaves the computer and is never transmitted over the internet.

Questa è una buona pratica e in teoria garantisce che non possono facilmente tracciare con il tuo ISP per decodificare il tuo traffico da remoto. Inoltre, tutti i certificati verranno comunque controllati rispetto all'archivio certificati Windows locale, pertanto un certificato autofirmato verrà identificato come tale e non sarà "coperto" dal certificato radice di Avast e verrà visualizzato come attendibile.

Un altro problema di sicurezza di cui bisogna essere a conoscenza è che non è più possibile ispezionare i dettagli del certificato originale nel browser. Puoi essere certo che è verificato ma le proprietà visualizzate (dettagli dell'autorità, algoritmi di crittografia, ...) saranno quelle del certificato Avast, non quelle originali.

Should HTTPS connections really be scanned?

Se pensi che il traffico HTTP debba essere ispezionato, dovrebbe esserlo anche HTTPS. HTTPS protegge la connessione, non verifica che il proprietario del sito web abbia buone intenzioni e il suo sito non sia stato compromesso.

is the probability of getting such malware from an HTTPS secured website high enough to enable this feature?

Soggettivamente, direi che la maggior parte del malware viene ancora pubblicata su un semplice HTTP. Ma con provider di certificati gratuiti come Let's encrypt non è molto difficile per un avversario passare a HTTPS. La pubblicazione di malware su HTTPS presenta alcuni vantaggi per l'utente malintenzionato: il lucchetto lo rende più legittimo ed è più difficile da ispezionare. Il malware su HTTPS diventerà sicuramente più probabile in futuro.

Nota inoltre che esistono altri approcci meno invasivi per proteggerti da siti Web dannosi come Navigazione sicura di Google .

Questo è sicuramente il primo che ho sentito del software antivirus che esegue la scansione delle connessioni HTTPS in entrata.

Sono a conoscenza del fatto che la soluzione antivirus di Avira analizzerà il contenuto della cache mentre Firefox lo scrive. Alcuni siti sicuri chiedono che i contenuti non vengano scritti nella cache, quindi ovviamente la scansione non avverrà in quella circostanza.

Ma risulta che sì, infatti è sostituire i certificati Web con il proprio certificato CA radice e quindi utilizzarlo al posto del certificato del sito web. Ecco come vengono eseguiti gli attacchi Man in the Middle (MitM).

Dal sito Web di Avast:

Avast is able to detect and decrypt TLS/SSL protected traffic in our Web-content filtering component. To detect malware and threats on HTTPS sites, Avast must remove the SSL certificate and add its self-generated certificate. Our certificates are digitally signed by Avast’s trusted root authority and added into the root certificate store in Windows and in major browsers to protect against threats coming over HTTPS; traffic that otherwise could not be detected.

Avast whitelists websites if we learn that they don't accept our certificate. Users can also whitelist sites manually, so that the HTTPS scanning does not slow access to the site.

Andando avanti vai a spiegare:

The Avast WebShield must use a MITM approach in order to scan secure traffic, but the important difference is that the “middle man” we use is located in the same computer as the browser and uses the same connection. Since Avast is running with Administrator rights and elevated trust on the computer, it can create and store certificates that the browser correctly accepts and trusts for this, and only this, machine. For every original certificate, Avast makes a copy and signs it with Avast's root certificate, located in the Windows Certificate store. This special certificate is called “Avast Web/Mail certificate root” to clearly distinguish who created it and for what purpose.

Una nota importante a riguardo:

Our customers’ privacy was our first concern when planning the implementation of HTTPS scanning. That’s why we created a way for whitelisting, or ignoring, the connection when Avast users access banking sites. Our current list has over 600 banks from all over the world and we are constantly adding new, verified banking sites. You can, and should, verify the bank’s security certificate when using online banking sites. Once verified, you can submit the banking or other web site to our whitelist by sending us an email: banks‑[email protected].

Che cosa succede se provo a connettermi a un sito Web con un certificato autofirmato? Avast lo rileva e utilizza un certificato non attendibile firmato da Avast, che consente il normale comportamento del browser "non sicuro". Il browser avvertirà comunque l'utente che la connessione non è sicura.

Non vedo alcuna menzione di dati protetti spediti fuori dal sito, ma assicurati di leggere la politica sulla privacy del software e il contratto di licenza con l'utente finale. La funzione può essere disattivata, come spiegato nel sito Web di Avast.

Collegamento web: link