0 |
Благодаря объединённым действиям по внедрению HTTPS, в прошлом месяце уже половина глобального веб-трафика шифровалась с помощью безопасного протокола TCP/IP HTTPS.
Однако наряду с ростом HTTPS (HTTP через TLS) увеличивается количество антивирусных программных продуктов и защитного оборудования, перехватывающих TLS-соединения для контроля сетевого трафика. При этом процедура согласования параметров соединения «TLS handshake», в ходе которой прерывается и расшифровывается инициированная клиентом сессия TLS, анализируется внутреннее текстовое содержимое HTTP и устанавливается новое TLS-соединение с нужным веб-сайтом, зачастую, организована некорректно.
Согласно результатам исследования, проводившегося Google, Mozilla, Cloudflare и несколькими университетами США, 13 из 29 AV-продуктов перехватывают HTTPS-соединения и все кроме одного делают клиентов уязвимыми к атакам.
Проанализировав восемь миллиардов TLS-согласований, сгенерированных браузерами Chrome, Safari, Internet Explorer и Firefox, авторы доклада обнаружили, что перехват происходил для 4% соединений с серверами обновлений Firefox, 6,2% — с сайтами электронной коммерции и 10,9% соединений US Cloudflare.
После этих перехватов 97% соединений Firefox, 32% — коммерческих сайтов и 54% — Cloudflare стали менее безопасными, значительная часть использовала слабые криптографические алгоритмы и демонстрировала шифры с известными способами взлома.
В конфигурациях по умолчанию 11 из 12 протестированных защитных устройств были обнаружены серьезные проблемы, такие как неправильно проверяемые сертификаты, а 24 из 26 антивирусных программ (от AVG, Bitdefender, Bullguard, Cybersitter, Dr Web, ESET, G Data, Kaspersky, KinderGate, Net Nanny, PC Pandora и Qustodio) содержали один или более дефектов безопасности.
Из антивирусов, применяющих перехват TLS, только Avast AV 11 и AV 10 отнесены к безопасной категории A. Остальные получили оценку C, что означает наличие известной TLS-уязвимости, такой как BEAST, FREAK и Logjam, или F — деградация соединения из-за слабых шифров или непроверенных сертификатов.
Из оборудования категорию A получило только устройство ProxySG 6642 от Blue Coat. Среди забракованных оказались продукты компаний A10, Barracuda, Checkpoint, Cisco, Forcepoint Websense, Fortinet, Juniper, Microsoft, Sophos, Untangle и WebTitan.
Исследователи указывают, что многие найденные уязвимости нельзя объяснинить ничем, кроме халатности производителей антивирусов и настаивают, чтобы те вообще прекратили перехватывать HTTPS, ограничившись доступом к локальной файловой системе, памяти браузера и к контенту, загруженному через HTTPS.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |