¿Los proxies SSL, como los de los proveedores de antivirus, secuestran los procesos de los clientes?

Navega tus respuestas
0

En un intento por comprender mejor el tema, se revisaron las siguientes publicaciones.

Sin embargo, las publicaciones no mencionan cómo el software antivirus distribuye todo el tráfico.

Tengo entendido que los programas antivirus como los de Symantec, Kasperksy, etc. instalan certificados raíz en el sistema operativo y el cliente, por ejemplo. navegador web.

No está claro cómo el software antivirus distribuye todo el tráfico. Sugiere que el software antivirus está secuestrando y / o inyectando el proceso del navegador.

  • En caso afirmativo, ¿cómo logra el secuestro y / o la inyección de un navegador? ¿proceso? ¿Cuáles son los riesgos?
  • Si no, ¿cómo dirige todo el tráfico desde un navegador? Yo tengo
    asumió que no cambia las configuraciones de DNS ni instala el proxy
    archivos de configuración.
pregunta Motivated 03.11.2018 - 02:22
fuente

1 respuesta

2

Según su pregunta, asumo que entiende cómo funciona la intercepción de SSL en general, es decir, que el proceso de intercepción de SSL (el antivirus en este caso) esencialmente reemplaza la conexión cifrada de extremo a extremo original con una conexión cifrada de proxy a servidor y con otra conexión del cliente al proxy, donde el último no usa el certificado del servidor original, sino un certificado creado por el proxy y emitido por una CA específica del proxy en la que el cliente confía.

La pregunta sigue siendo entonces cómo el AV local puede poner su proxy en la ruta del tráfico. Una forma sería configurar explícitamente el proxy en el navegador. Una forma más transparente en Windows es usar la plataforma de filtrado de Windows (WFP), que está diseñada explícitamente para este tipo de intercepción de tráfico. Para citar desde Porting Packet- Procesando controladores y aplicaciones para WFP :

  

La plataforma de filtrado de Windows (WFP) permite el filtrado de paquetes TCP / IP, la inspección y modificación , la supervisión o autorización de la conexión, las reglas y el procesamiento de IPsec y el filtrado RPC ...

En otras palabras: no se necesita inyección en el cliente. En su lugar, WFP define una interfaz compatible sobre cómo se puede interceptar y modificar el tráfico de aplicaciones. Dado que todo el tráfico entre una aplicación y el interlocutor de comunicación remoto pasará finalmente a través de la pila de red del SO WFP, esencialmente proporciona enlaces compatibles con esta pila de red y permite la intercepción y modificación sin cambiar la aplicación. Este tipo de enlaces también son utilizados por bibliotecas como WinDivert que permiten la intercepción y modificación del tráfico desde el modo de usuario.

La documentación de ESET AV también confirma que están utilizando WFP. Para cite :

  

A partir de Windows Vista Service Pack 1, Windows 7 y Windows Server 2008, la nueva arquitectura de la plataforma de filtrado de Windows (WFP) se usa para verificar la comunicación de la red. ...

También hay otras formas de hacer cosas similares incluso antes de que WFP esté disponible, por ejemplo con controladores de filtro NDIS . Y hay más formas, incluida la inyección de una DLL en la aplicación. Para obtener más información, consulte Comparación de aplicaciones de modo de usuario y modo de kernel para modificar el tráfico HTTP . / p>     

respondido por el Steffen Ullrich 03.11.2018 - 05:18
fuente

Lea otras preguntas en las etiquetas

¿Qué indica la existencia de este archivo? [cerrado] ¿Puede Netsparker detectar un CVE en una biblioteca de código abierto empaquetado en un paquete de paquetes web?