Avast, Kaspersky, Bitdefender, AVG … Checkpoint, Sophos, Fortinet, Barracuda … Estos proveedores de antivirus y proxy SSL están teóricamente allí para proteger al individuo o la empresa.
Pero según un grupo de investigadores de seguridad, en realidad los hacen más vulnerables. Por qué ? Debido a que estas dos categorías de productos se basan en una técnica de análisis de red muy cuestionable: la intercepción HTTPS.
Se insertan entre el usuario de Internet y el sitio web, y son capaces de descifrar la conexión TLS utilizando certificados de seguridad falsos y autofirmados, instalados directamente en la máquina del usuario.
En el caso de un antivirus, estos certificados llegan al momento de la instalación del software. En el caso de un proxy SSL corporativo, el administrador de la red instala certificados de bidón en las máquinas de los empleados.
En principio, estos proveedores tienen razones legítimas, y a veces incluso loables, para interceptar flujos SSL. Los antivirus descifran las conexiones para detectar malware y cualquier amenaza que pueda estar oculta allí. Las empresas utilizan los proxies SSL por los mismos motivos.
También se pueden usar para monitorear los flujos entrantes / salientes para evitar fugas de información (lanzador de alertas, por ejemplo). El problema es que esta intercepción genera repentinamente dos conexiones HTTPS: una entre el usuario de Internet y el dispositivo de intercepción, la otra entre este último y el servidor web.
Sin embargo, un grupo de investigadores de seguridad acaba de demostrar, en la conferencia NDSS 2017 en San Diego, que esta segunda conexión es a menudo menos segura que la primera.
Los proveedores cometen muchos errores de configuración e introducen vulnerabilidades que de otro modo no existirían. Algunos de sus productos, por ejemplo, utilizan algoritmos de cifrado obsoletos (RC4, DES).
O no valide el certificado del servidor. O no corrija ciertas fallas de seguridad de TLS como Logjam o Freak.
Los investigadores analizaron 20 software antivirus y 12 proxy SSL. Dependiendo de las fallas de configuración, les dieron notas que van desde A (muy bueno) a F (malo).
Solo tres productos recibieron una «A»: Avast AV 11 para Windows, Bullguard Internet Security 16 y A10 vThunder SSl Insight.
Entre los peores estudiantes se encuentran Avast AV 11.7 para Mac, Bullguard Internet Security 15, Dr. Web 11 para Mac, Eset Nod32 AV9, PC Pandora, Microsoft Threat Management Gateway, Cisco IronPort Web Security y Checkpoint Threat Prevention.
Un nuevo método de detección de intercepción
Evaluar el alcance del desastre, Luego, los investigadores desarrollaron un nuevo método de detección de interceptación del lado del servidor: analizaron los paquetes del usuario de Internet y buscaron inconsistencias entre el encabezado del navegador y los parámetros TLS (como los algoritmos criptográficos ofrecidos).
De hecho, cada navegador tiene varias configuraciones habituales de TLS. La intercepción modificará esta configuración mientras preserva el encabezado. De repente, si conocemos las configuraciones de los navegadores, podemos detectar la desviación.
Los investigadores analizaron las conexiones HTTPS en los servidores de actualización de Mozilla Firefox, servidores de comercio electrónico y servidores del proveedor de Internet CloudFlare.
Conclusión: entre el 5 y el 10% de todas las conexiones HTTPS son interceptadas. Y en la gran mayoría de los casos, la seguridad de estas conexiones se ha debilitado o incluso se ha roto por completo.
Ante esta situación muy insatisfactoria, los investigadores recomiendan que los proveedores de antivirus abandonen la intercepción HTTPS y los administradores de red prueben el proxy SSL mucho antes de implementarlos.
