eset iniezione del certificato radice di sicurezza intelligente

Naviga le tue risposte
2

Non so molto su questo argomento ma - sto provando ESET Smart Security versione 9 che include il prodotto nod32 (antimalware / virus) e ho ricevuto un errore riguardante l'aggiunta di un nuovo certificato radice ESET in tutti i miei i browser. Sto eseguendo Windows 10. Su alcune ricerche di base sembra che per monitorare e proteggere l'utente dalle connessioni SSL TLS malevoli, viene aggiunto un certificato di root per ESET. Credo che ciò consenta a ESET di agire da "intermediario" tra le connessioni che consentono al software di ispezionare il traffico Web per ulteriori azioni. Sto indovinando che questo è legato agli aspetti di "sicurezza Internet" del pacchetto software e probabilmente non è incluso nell'opzione di base "Nod32".

Le mie domande e i miei pensieri sono in giro -

  1. È comune per gli antivirus moderni iniettare il proprio certificato radice per preformare MiTM?
  2. I forum ESET sembrano indicare che posso disabilitare questa funzione e rimuovere il certificato di root fintanto che accetto la perdita di protezione. Sarebbe saggio?
  3. È esatto dire che dal momento che questo certificato radice esiste, loro (ESET) possono vedere tutto il mio traffico web in un formato UNcriptato?
  4. Per ottenere uno stato di sicurezza, ora è necessario che qualcuno abdica parte della loro privacy?
  5. Devo disabilitare la funzione o cercare un altro prodotto?

** thread correlato da un altro utente: Kaspersky Antivirus" scansione sicura della connessione "rotta come Superfish?

** Da quando ho postato questa domanda, ho contattato ESET e ho "lamentato" il certificato di root e ho chiesto alcuni chiarimenti. I loro unici suggerimenti erano disabilitare la funzionalità nelle impostazioni e rimuovere il certificato di root. Per quello che vale, sembra rimuovere la maggior parte delle funzionalità per la funzione di "sicurezza di rete" dei loro prodotti.

    
posta Oscalation 21.09.2016 - 17:03
fonte

2 risposte

2

probably is not included in the base "Nod32" option.

AFAIK è incluso anche come NOD32 scansiona le connessioni. FYI nelle versioni precedenti di NOD32 e ESET Smart Security questa funzione era disabilitata per impostazione predefinita.

Is this common for modern day antivirus to inject its own root cert to preform MiTM?

Bene ... Almeno ci sono alcuni AV conosciuti, che fanno questo. Ed è molto controverso argomento . Soprattutto con il recente problema Superfish e un simile software pubblicitario che fa lo stesso, può essere considerato un aspetto negativo. Ovviamente il software antivirus ha un obiettivo diverso rispetto al software pubblicitario, ma implementa la stessa tecnologia.

È un modo molto semplice per un AV di ispezionare tutto il traffico ssl / tls (solitamente crittografato e quindi non analizzabile).

ESET forums seem to indicate that I can disable this feature and remove the root cert as long as I accept the loss of protection. Would this be wise?

Se non ti piace che le tue connessioni criptate siano interrotte da ESET, sì. Di solito tutti gli AV eseguono la scansione dei file anche quando vengono salvati su disco, quindi in questo caso non si ha la protezione da malware.

Is it accurate to say that since this root certificate exists, they (ESET) can see all of my web traffic in an UNencrypted format?

Sì. Almeno se "loro" è "il software ESET che utilizza questa tecnica". Quello che fanno con queste informazioni è un'altra cosa.

In order to obtain a state of security, does this now require that one abdicates some of their privacy?

Di nuovo, questo dipende da ciò che fa il software MITM della tua connessione.

For what it's worth, this seems to remove the majority of the functionality for the "network security" function of their products.

Interessa solo le connessioni crittografate (TLS / SSL / HTTPS / ...). Puoi ancora scansionare e bloccare tutto il traffico non HTTPS.

Come per il problema generale

Il problema generale è che tu dai tutta la fiducia implicita con HTTPS / SSL / TLS dal tuo browser al software MITMing di te. Ciò è importante per motivi di privacy, naturalmente, e anche per ragioni di sicurezza, in quanto l'implementazione di un protocollo così complesso come HTTPS / SSL / TLS è difficile e potrebbero esserci dei difetti, che indeboliscono seriamente la tua sicurezza. Esempi erano ad es. Kaspersky . Esempi di vulnerabilità sono:

  • viene riutilizzata la chiave privata per il certificato (come nel caso di Superfish, ad es.), questo consente a chiunque di collegare la connessione MITM proprio come il software che utilizza il certificato di origine
  • versioni precedenti e obsolete del protocollo (ad esempio SSLv2 o SSLv3) sono ancora supportate anche se è noto che sono insicuri
  • supportano i vecchi codici (RC4, cifrari con MD5, ...)
  • ...

Come indicato anche nell'articolo Ho linkato sopra - che ti consiglio di leggere - tale software di sicurezza diminuisce sicuramente la sicurezza della tua connessione HTTPS in quanto potrebbero non supportare una tecnologia all'avanguardia (o addirittura meno all'avanguardia), che migliora la sicurezza di HTTPS. Esempi sono HSTS , HPKP , precaricamento HSTS, precaricamento HPKP, trasparenza certificato e così via ... Tutto dipende dall'implementazione. I produttori di browser hanno implementato per anni queste funzionalità in modo corretto, migliorando costantemente e implementando nuove funzionalità, quindi è molto difficile per i produttori di AV tenere il passo e - importare - implementarlo correttamente .

    
risposta data 26.09.2016 - 20:24
fonte
0

L'altro motivo per non utilizzare il "filtraggio del protocollo SSL / TLS" è che rallenta i siti Web protetti e nessuno è sicuro perché Google e la maggior parte dei link di altri strumenti analitici sono sicuri. Sono un rivenditore ESET e ho inviato poche richieste di supporto per quanto riguarda l'iniezione di certificati, la specificità in un certificato di un caso non è stata installata correttamente in Chrome e l'altra non è stata installata affatto senza alcuna indicazione per l'utente finale. Il problema dipende dal browser e dalle versioni AV. Immagino che non possano tenere il passo con l'aggiornamento del browser. La maggior parte degli altri AV non si preoccupa nemmeno. Il supporto ESET australiano suggerisce prontamente di disabilitare il filtro SSL.

    
risposta data 24.11.2016 - 14:52
fonte

Leggi altre domande sui tag

Devo rispettare PCI DSS per i bonifici bancari? Sviluppare standard di sicurezza delle informazioni per le piccole imprese