¿Debería dejarse activado el análisis de HTTPS del antivirus? ¿Es seguro?

Si desea escanear el tráfico HTTPS para encontrar malware, debe descifrarlo. Avast logra eso al instalar su propio certificado raíz para interceptar localmente su tráfico web, actuando como un intermediario.

(Avast tiene una publicación de blog que explica su enfoque. )

  

¿Es seguro el método que usan (digamos Avast como ejemplo)?

El principal problema de seguridad emergente es que quien conoce la clave privada para el certificado raíz generado puede cifrar su tráfico. Es por eso que crean una única para cada máquina y no la envían a ningún otro lugar:

  

Queremos enfatizar que nadie más tiene la misma clave única que tiene en el certificado generado por la instalación. Este certificado nunca sale de la computadora y nunca se transmite a través de Internet.

Es una buena práctica y en teoría garantiza que no pueden trazar fácilmente con su ISP para descifrar su tráfico de forma remota. También tenga en cuenta que todos los certificados se seguirán verificando en el almacén local de certificados de Windows, por lo que un certificado autofirmado se identificará como tal y no estará "cubierto" por el certificado raíz de Avast y se mostrará como confiable.

Otra preocupación de seguridad a tener en cuenta es que ya no puede inspeccionar los detalles del certificado original en su navegador. Puede estar seguro de que se verificó, pero las propiedades mostradas (detalles de autoridad, algoritmos de cifrado, ...) serán las del certificado Avast, no las originales.

  

¿Deben escanearse realmente las conexiones HTTPS?

Si cree que se debe inspeccionar el tráfico HTTP, entonces también debería ser HTTPS. HTTPS solo asegura la conexión, no verifica que el propietario del sitio web tenga buenas intenciones y que su sitio no haya sido comprometido.

  

¿Es la probabilidad de obtener tal malware de un sitio web seguro HTTPS lo suficientemente alto como para habilitar esta función?

Subjetivamente, yo diría que la mayoría del malware aún se sirve a través de HTTP simple. Pero con los proveedores de certificados gratuitos como Vamos a cifrar no es un gran esfuerzo para un adversario cambiar a HTTPS. Servir malware a través de HTTPS tiene algunas ventajas para el atacante: el candado lo hace parecer más legítimo y es más difícil de inspeccionar. El software malicioso sobre HTTPS seguramente será más probable en el futuro.

También tenga en cuenta que existen otros enfoques menos intrusivos para protegerlo de sitios web maliciosos, como Navegación segura de Google .

Esta es ciertamente la primera vez que oigo hablar del software avtivirus que analiza las conexiones HTTPS entrantes.

Soy consciente de que la solución antivirus de Avira escaneará el contenido de la memoria caché a medida que Firefox lo escribe. Algunos sitios seguros solicitarán que los contenidos no se escriban en la memoria caché, por lo que, obviamente, el escaneo no se realizará en esa circunstancia.

Pero resulta que sí, de hecho, es reemplazar los certificados web con su propio certificado de CA raíz y luego usarlos en lugar del certificado del sitio web. Así es como se llevan a cabo los ataques Man in the Middle (MitM).

Desde el sitio web de Avast:

  

Avast puede detectar y descifrar el tráfico protegido por TLS / SSL en nuestro   Componente de filtrado de contenido web. Para detectar malware y amenazas en   En los sitios HTTPS, Avast debe eliminar el certificado SSL y agregar su   Certificado autogenerado. Nuestros certificados están firmados digitalmente por   La autoridad raíz de confianza de Avast y se agrega al certificado raíz.   tienda en Windows y en los principales navegadores para protegerse contra amenazas   viene a través de HTTPS; tráfico que de otra manera no podría ser detectado.

     

Sitios web de listas blancas de Avast si nos enteramos de que no aceptan nuestra   certificado. Los usuarios también pueden agregar sitios a la lista blanca manualmente, de modo que   La exploración HTTPS no ralentiza el acceso al sitio.

Más adelante, ve a explicar:

  

El Avast WebShield debe usar un enfoque MITM para escanear de forma segura   tráfico, pero la diferencia importante es que el "hombre medio" que usamos   se encuentra en la misma computadora que el navegador y usa el mismo   conexión. Dado que Avast se está ejecutando con derechos de administrador y   Elevada confianza en la computadora, puede crear y almacenar certificados.   que el navegador acepte y confíe correctamente para esto, y solo esto,   máquina. Por cada certificado original, Avast hace una copia y firma.   Con el certificado raíz de Avast, ubicado en el certificado de Windows.   almacenar. Este certificado especial se llama "Avast Web / Mail certificate   raíz "para distinguir claramente quién lo creó y con qué propósito.

Una nota importante sobre esto:

  

La privacidad de nuestros clientes fue nuestra primera preocupación al planificar el   Implementación de escaneo HTTPS. Por eso creamos un camino para   Lista blanca, o ignorar, la conexión cuando los usuarios de Avast acceden   sitios bancarios. Nuestra lista actual tiene más de 600 bancos de todo el   mundo y estamos constantemente agregando nuevos sitios bancarios verificados. Tú   puede, y debe, verificar el certificado de seguridad del banco al usar   Sitios de banca en línea. Una vez verificado, puede enviar la banca o   Otro sitio web a nuestra lista blanca enviándonos un correo electrónico:   banks‑[email protected].

¿Qué sucede si intento conectarme a un sitio web con un certificado autofirmado? Avast detectará esto y usará un certificado no confiable firmado por Avast, lo que permite un comportamiento normal del navegador "inseguro". El navegador aún advertirá al usuario que la conexión es insegura.

No veo ninguna mención de que los datos seguros se envíen fuera del sitio, pero asegúrese de leer la política de privacidad del software y el acuerdo de licencia del usuario final. La función se puede desactivar, como se explica en el sitio web de Avast.

Enlace web: enlace