¿Cómo funciona la función de escaneo https de Avast? ¿Es básicamente un ataque MITM? Esta función se habilitó en la versión 2015 lanzada hace unos días
¿Cómo funciona la función de escaneo https de Avast? ¿Es básicamente un ataque MITM? Esta función se habilitó en la versión 2015 lanzada hace unos días
Están utilizando una CA local insertada en su almacén de confianza:
• escaneo HTTPS Ahora, podemos detectar y descifrar el tráfico protegido por TLS / SSL en nuestro componente de filtrado de contenido web. Estamos utilizando nuestros propios certificados generados que se agregan al almacén de certificados raíz en Windows y también en los principales navegadores. Esta función lo protegerá contra los virus que llegan a través del tráfico HTTP, además de agregar compatibilidad para el tráfico SPDY + HTTPS / HTTP 2.0. Puede ajustar / desactivar esta función en la sección de configuración.
Para analizar el tráfico HTTPS arbitrario, debe realizar una de las siguientes acciones:
Usted agrega un gancho en la biblioteca SSL del cliente para que obtenga los datos salientes justo antes de que se cifren, y los datos entrantes justo después de que se hayan descifrado.
Usted sabe la clave privada del servidor (y el servidor no utiliza un conjunto de cifrado "DHE").
Ejecutas un MitM , lo que implica generar un certificado de servidor falso en on-fly, por una CA que usted controla y que se ha instalado en el almacén "cliente confiable" del cliente.
La segunda solución no es factible en general (puede hacerlo cuando controla los servidores, pero no para todos los servidores en Internet). La tercera solución es lo que hace en corporaciones y grandes organizaciones donde mantener los enlaces SSL del lado del cliente es engorroso y un gran problema de logística, mientras que hacer una inserción única de una CA raíz adicional es fácil.
Un antivirus instalado localmente tiene la opción. La opción "gancho" es más limpia, pero es específica de una biblioteca SSL dada; por lo general, IE y Firefox no usan la misma implementación de SSL en absoluto, por lo que si Avast usa el método de enganche, entonces debe engancharse en ambas implementaciones. El método MitM es más fácil de aplicar en todo el sistema y es más resistente a las actualizaciones de software, pero puede romper algunas funcionalidades (por ejemplo, certificados de cliente). Para saber qué método se aplicó, intente conectarse a varios sitios HTTPS y eche un vistazo a su cadena de certificados; Si todas las cadenas vuelven a una única CA que parece Avastish, entonces ese es el método MitM. Si las cadenas vuelven a varias CA raíz existentes, entonces ese es el método de enlace.