Ahwas?

2015-02-24

Da lese ich doch gerade, das Avast damit wirbt, auch HTTPS Verbindungen zu analysieren. Ă„hm, bitte was macht diese AV Engine? Sie klinkt sich einfach in eine verschlĂĽsselte Verbindung? Nein, so einfach geht das nicht. Eine TLS Verbindung kann nicht einfach so durch einen Dritten aufgebrochen werden.

Für die Berechnung des Session Key’s fließen Parameter ein die nur die Endpunkte (Client/Server) kennen können und somit die Verbindung gegenüber Dritten schützen. Das ist der Sinn und Zweck von Verschlüsselung.

Avast lößt das Problem anders. Sie schieben dem Betriebssystem ein selbst generiertes Root Zertifikat unter und arbeiten mit einer Art Proxy. Oder nennen wir es beim Namen, nach einem Verfahren was man unter MITM Angriff kennt.

In der Praxis wird das dann so ablaufen. Mein Browser möchte eine HTTPS Verbindung mit einem Server aufbauen und die AV Engine sitzt dazwischen. Mein Browser baut also eine verschlüsselte Verbindung zur AV Engine auf und die wiederum eine verschlüsselte Verbindung zu besagtem Server. Wenn ich das richtig verstanden habe, dann generiert die AV Engine ein eigenes Zertifikat was ungefähr dem original Server Zertifikat entspricht und mein Browser akzeptiert dies durch das untergeschobene Root Zertifikat. Für den durchschnittlichen Neulandbenutzer sieht das alles erstmal ok aus und er wird auch nicht sofort das Problem erkennen, aber die Integrität der Verbindung ist nicht mehr vorhanden. Die meisten AV Engine’s sind proprietäre Software. Der Quellcode solcher Software liegt nicht offen und er kann dementsprechend nicht überprüft werden. Der Datengott alleine weiß was dort passiert, und warum genau sollte ich einer Software vertrauen, die mir die Identität eines Servers vorgaukelt?

Avast argumentiert das natürlich mit „wir wollen dich nur vor Schadsoftware und Bedrohungen schützen“. Die einzigste Bedrohung die ich hier sehe, ist das MITM Verfahren und die AV Engine selbst.

Wer schützt uns eigentlich vor ranzigen AV Engine’s?

Wem das zu technisch war, der kann sich das auch einfach so vorstellen. Es gibt Postkarten, die können von jedem mitgelesen werden und es gibt Briefe wobei der Umschlag verhindert das man reinschauen kann. Die AV Engine ist ein Postmitarbeiter, den man nicht kennt. Dieser Mitarbeiter öffnet sämtliche Briefe und entscheidet – nach Lust und Laune – ob der Inhalt für dich schädlich sein könnte. Beim öffnen des Umschlages ist selbiger durch den Postmitarbeiter beschädigt worden. Also wird der Brief in einen neuen Umschlag gepackt und die Angaben vom Absender – so gut es geht – übernommen. Sieht halt ähnlich aus, ist aber ein anderer. Ich glaube die wenigsten von uns möchten so etwas.

An dieser Stelle möchte ich nochmal auf das Vertrauen in AV Engine’s und den sensiblen Umgang von Kaspersky mit persönlichen Daten hinweisen.