Son los certificados de "Skype click to call" y "avast! Web / Mail Shield "mejor que superfish?

20

Mi novia tiene un portátil de años de lenovo. Lo comprobé y no me sorprendió que el certificado de CA Superfish / Komodia Root no estuviera presente. Sin embargo, encontré algunos otros que parecen ser similares en su función si no tienen un propósito.

Hay claves que parecen haber sido instaladas por Avast antivirus y Skype, y se espera que ambas estén en la máquina. Sin embargo, el tamaño de estas claves es probablemente similar a superfish: la interceptación de contenido web seguro mediante la creación dinámica de certificados SSL firmados para sitios remotos.

Esto potencialmente abre problemas de seguridad similares a los que se encontraron con el software Superfish. es decir, si un atacante tiene estas claves, pueden emitir certificados en los que confiará la computadora local.

1). Si comprendo correctamente, para que estos programas puedan reproducir MITM, deben tener acceso a la clave privada asociada con la autoridad de certificación instalada. Por lo tanto, se puede obtener por ingeniería inversa el software. Correcto?

2) ¿Puede alguien confirmar si estas claves se generan individualmente para cada instalación?

    
pregunta mc0e 22.02.2015 - 17:21
fuente

2 respuestas

20

Tengo entendido que Superfish instala exactamente el mismo certificado y clave privada en cada computadora, por lo tanto, una vez que obtenga la clave privada codificada, puede usarla para cualquier persona que tenga un superfish instalado. Avast no hace esto; genera dinámicamente un certificado único y una clave privada para cada instalación.

Esto es lo que parece el certificado de Avast en mi escritorio:

YaquíestáelcertificadoAvastenmicomputadoraportátil:

Claramente, son certificados diferentes. Esto significa que no puedo simplemente tomar la clave privada de Avast de mi propia computadora y usarla para atacar a otra persona que tiene Avast instalado. No se puede decir lo mismo de los super peces.

Otra diferencia es que Avast no se limita a ciegamente a todo. En su lugar, primero verifica la validez del certificado original. Si el certificado original es válido, procederá a controlar el tráfico para que pueda escanear en busca de malware. Pero si hay un problema con el certificado original, intencionalmente será un intermediario con un certificado NO instalado en la lista de certificados de confianza, generando una advertencia del navegador. Puedes ver esto trabajando en las siguientes capturas de pantalla:

Al visitar un sitio web con un certificado válido, Avast MITM es el tráfico para detectar malware ...

Perosivisitounsitioconuncertificadoautofirmado,AvastMITMintencionalmenteconuncertificadonoconfiableparagenerarunaadvertenciadelnavegador:noteelnombre"Avant Web / Mail Shield UNTRUSTED root"

De esta manera, Avast evita accidentalmente que un usuario visite un sitio web con un certificado incorrecto. No es perfecto, pero sigue siendo mucho más seguro que todo a ciegas, con un certificado de raíz que es idéntico y confiable en todas las computadoras como lo hace Superfish.

    
respondido por el tlng05 23.02.2015 - 02:52
fuente
0

SI no está seguro del comportamiento de Avast, verifique la fecha de validez del Certificado Avast.

Avast informa, como por ahora, que el Certificado será válido entre 2013-10-22 y 2016-07-07 como fecha de vencimiento de esta página en HTTPS: //, emitido a * .stackexchange.com y emitido por

"Avast! Web / Mail Shield Root".

Desactivando la protección de Avast durante 10 minutos, y comprobando de nuevo, el único cambio es que el emisor tiene exactamente la misma información, pero el emisor del certificado cambia a

"CA de DigiCert SHA2 High Assurance Server"

La fecha de caducidad del certificado original no se modificó, ni a qué se emitió.

    
respondido por el Mikael Fors 26.02.2015 - 20:53
fuente

Lea otras preguntas en las etiquetas