Alert TA17-075A
Mit seinem Alert TA17-075A gab das US CERT eine Warnung heraus, die die Machenschaften von Anti-Malware-Appliances zum Inhalt hart, wie linux-magazin.de dazu informierte. Dazu heißt es, dass Produkte, die eigentlich für mehr Sicherheit im Unternehmensnetzwerk sorgen sollen, sich als Man-in-the-Middle-Angriffe erweisen. Anti-Malware-Appliances hören HTTPS-Streams ab, um darin enthaltene Malware-Signaturen zu finden.
Im Rahmen der Warnung beleuchtet das US CERT die Risiken von HTTPS-Interceptions. Sie kommt letztlich zu dem Schluss, dass Unternehmen, die solche Inspektionen als Anforderung setzen, prüfen sollten, ob diese Produkte eine korrekte TLS-Zertifikatsvalidierung vornehmen. Wenn das nicht gewährleistet ist könnte eine Schwächung der Ende-zu-Ende-Verschlüsselung von HTTPS gegeben sein.
Trügerische Sicherheit
Das bedeutet, wenn die Produkte die Zertifikatskette beim Wiederverschlüsseln und weiterleiten der Daten nicht sauber prüfen, sind die Möglichkeiten für Man-in-the-Middle-Angriffe gegeben. Trügerisch ist dabei, dass die Verbindungen zum Server für die Clients sicher aussehen, weil die Antimalware-Produkte potenzielle Fehlermeldungen nicht weitergeben.
Es sind letztendlich Sicherheitsprodukte, die die Sicherheit des Unternehmensnetzwerk gefährden können. Deshalb rät das CERT, den Umgang der Appliances mit HTTPS-Zertifikaten zu überprüfen und darauf zu achten, dass diese Fehlermeldungen an Clients weitergeben. Eine nützliche Hilfe bietet hierbei die Webseite Badssl.com, mit der man die eigene Security-Software überprüfen kann. Dort finden sich auf Subdomains eine Reihe von Testfällen, von denen einige Fehlermeldungen im Browser hervorrufen - wenn die Antimalware-Produkte dies nicht verhindern. Daneben erklärt ein Blogpost der Carnegie-Mellon-Universität das Problem im Detail und nennt auch verschiedene Unternehmensprodukte, die potenziell von dem Problem betroffen sein könnten.
Weiterführende Links:
Wie Virenscanner HTTPS-Verbindungen gefährden
Die Hälfte der Welt ist HTTPS-verschlüsselt
CERT/CC Blog: The Risks of SSL Inspection
linux-magazin.de: US-Cert warnt vor SSL-Inspektionen durch Security-Produkte