eset inyección de certificado raíz de seguridad inteligente

Navega tus respuestas
2

No sé mucho sobre este tema pero - estoy probando ESET Smart Security versión 9 que incluye el producto nod32 (antimalware / virus) y recibí un error con respecto a la adición de un nuevo certificado raíz de ESET en todos mis los navegadores Estoy ejecutando Windows 10. Tras algunas investigaciones básicas, parece que para monitorear y proteger al usuario de conexiones SSL TLS maliciosas, se agrega un certificado raíz para ESET. Creo que esto le permite a ESET actuar como "intermediario" entre las conexiones, lo que permite que el software inspeccione el tráfico web para tomar medidas adicionales. Supongo que esto está relacionado con los aspectos de "seguridad de Internet" del paquete de software y probablemente no esté incluido en la opción "Nod32" de la base.

Mis preguntas y pensamientos están alrededor -

  1. ¿Es esto común para los antivirus de hoy en día inyectar su propio certificado raíz para realizar MiTM?
  2. Los foros de ESET parecen indicar que puedo deshabilitar esta función y eliminar el certificado raíz siempre que acepte la pérdida de protección. ¿Sería esto sabio?
  3. ¿Es correcto decir que, como existe este certificado raíz, ellos (ESET) pueden ver todo mi tráfico web en un formato sin cifrar?
  4. Para obtener un estado de seguridad, ¿ahora esto requiere que uno renuncie a parte de su privacidad?
  5. ¿Debo deshabilitar la función o buscar otro producto?

** tema relacionado con otro usuario: Kaspersky Antivirus" análisis de conexión segura "¿tan roto como Superfish?

** Desde que publiqué esta pregunta, me puse en contacto con ESET y me "quejé" del certificado raíz y le pedí una aclaración. Sus únicas sugerencias fueron deshabilitar la función en la configuración y eliminar el certificado raíz. Para lo que vale, esto parece eliminar la mayor parte de la funcionalidad de la función de "seguridad de red" de sus productos.

    
pregunta Oscalation 21.09.2016 - 17:03
fuente

2 respuestas

2
  Es probable que

no esté incluido en la opción "Nod32" base.

AFAIK también está incluido, ya que también NOD32 escanea las conexiones. Para su información en las versiones anteriores de NOD32 y ESET Smart Security, esta función estaba desactivada de forma predeterminada.

  

¿Es esto común para los antivirus de hoy en día inyectar su propio certificado raíz para realizar el MiTM?

Bueno ... Al menos hay algunos AV conocidos que hacen esto. Y es un muy controversial topic . Especialmente con el reciente problema de Superfish y un software de publicidad similar que haga lo mismo, puede considerarse una mala cosa. Por supuesto, el software antivirus tiene un objetivo diferente al software publicitario, pero implementa la misma tecnología.

Es una forma muy fácil para que un AV inspeccione todo el tráfico ssl / tls (generalmente encriptado y, por lo tanto, no analizable).

  

Los foros de ESET parecen indicar que puedo deshabilitar esta función y eliminar el certificado raíz siempre y cuando acepte la pérdida de protección. ¿Sería esto sabio?

Si no le gusta que ESET rompa sus conexiones cifradas, sí. Por lo general, todos los AV también analizan los archivos cuando se guardan en el disco, por lo que no está sin protección contra malware en este caso.

  

¿Es correcto decir que desde que existe este certificado raíz, ellos (ESET) pueden ver todo mi tráfico web en un formato sin cifrado?

Sí. Al menos si "ellos" es "el software ESET que utiliza esta técnica". Lo que hacen con esta información es otra cosa.

  

Para obtener un estado de seguridad, ¿ahora esto requiere que uno renuncie a parte de su privacidad?

Una vez más, esto depende de lo que haga el software MITM de tu conexión.

  

Para lo que vale, esto parece eliminar la mayoría de las funciones para la función de "seguridad de red" de sus productos.

Solo afecta a las conexiones cifradas (TLS / SSL / HTTPS / ...). Aún puedes escanear y bloquear todo el tráfico que no sea HTTPS.

En cuanto al tema general

El problema general es que usted otorga toda la confianza implícita con HTTPS / SSL / TLS desde su navegador al software MITMing. Por supuesto, esto es importante por razones de privacidad y también por razones de seguridad, ya que la implementación de un protocolo tan complejo como HTTPS / SSL / TLS es difícil y puede haber fallas, lo que debilita gravemente su seguridad. Los ejemplos fueron, por ejemplo, Kaspersky . Ejemplos de vulnerabilidades son:

  • la clave privada para el certificado se reutiliza (como en el caso de Superfish, por ejemplo), esto permite que cualquiera pueda MITM la conexión al igual que el software que usa el certificado raíz puede
  • las versiones de protocolo antiguas y obsoletas (por ejemplo, SSLv2 o SSLv3) aún son compatibles, aunque se sabe que son inseguras
  • admiten cifrados antiguos (RC4, cifrados con MD5, ...)
  • ...

Como también se describe en el artículo he enlazado arriba , que le recomiendo que lea - este software de seguridad también reduce la seguridad de su conexión HTTPS ya que es posible que no lo admitan Alguna tecnología de vanguardia (o incluso no tan avanzada), que mejora la seguridad de HTTPS. Los ejemplos son HSTS , HPKP , Precarga de HSTS, Precarga de HPKP, Transparencia de certificados, etc. Todo depende de la implementación. Los proveedores de navegadores llevaban años implementando estas características correctamente y lo están mejorando constantemente e implementando nuevas características, por lo que es muy difícil para los proveedores de AV mantenerse al día y, lo que es importante, implementarlo correctamente .

    
respondido por el rugk 26.09.2016 - 20:24
fuente
0

La otra razón para no usar el "filtro de protocolo SSL / TLS" es que ralentiza los sitios web seguros y ninguno de ellos también porque Google y la mayoría de los enlaces analíticos son seguros. Soy un revendedor de ESET y presenté algunas solicitudes de asistencia con respecto a la inyección de certificados; la especificidad en un caso no se instaló correctamente en Chrome, y la otra no se instaló en absoluto sin ninguna indicación para el usuario final. El problema depende de las versiones de navegador y AV. Supongo que no pueden mantenerse al día con la actualización del navegador. La mayoría de los otros AVs ni siquiera molestan. El soporte australiano de ESET sugirió rápidamente deshabilitar el filtrado de SSL.

    
respondido por el Manly Electronics 24.11.2016 - 14:52
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son los subcampos de criptovirología? Desarrollo de estándares de seguridad de la información para pequeñas empresas