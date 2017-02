Einige Forscher haben sich mal mit den Auswirkungen von HTTPS Interception auf die Sicherheit befasst und dazu fast 8 Milliarden gesicherte Verbindungen auf Serverseite betrachtet. Die Verbindungen gingen zum Firefox-Update-Service, Cloudflare und einer „Auswahl populärer E-Commerce Sites“. Ziel war es festzustellen, in welchem Umfang HTTPS Interception stattfindet und wie es sich auf die Sicherheit auswirkt. Ganz kurz zusammengefasst: HTTPS Interception ist weiter verbreitet, als die Forscher gedacht hätten und fast immer leidet die Sicherheit darunter.

HTTPS Interception

HTTPS Interception ist technisch streng genommen nichts anders, als eine Man-In-The-Middle-Attacke. Das lokale AV-Tool oder die Firewall-Appliance ist in diesem Fall der Mann dazwischen, der die gesicherte Verbindung aufbricht und dann zwischen Client und Server vermittelt. Statt also direkt miteinander zu „sprechen“, kommunizieren Client und Server jeweils mit dem AV-Produkt.

Dies geschieht in diesem Fall nicht, um irgendwelche Daten zu stehlen, sondern um den Inhalt des Datenstroms zu prüfen. Je nach Ausrichtung des Tools sind das Prüfungen auf Schadsoftware oder bei Enterprise-Produkten auch die Suche nach Inhalten, die das Unternehmensnetzwerk nicht verlassen dürfen. Damit soll die Sicherheit erhöht werden, sei es eben die Sicherheit vor Schadsoftware oder die Sicherheit vor Spionage.

Aber rein technisch bleibt es trotzdem nichts anderes, als ein Man-In-The-Middle-Angriff auf die verschlüsselten Verbindungen.

Häufigkeit

Um Festzustellen, ob eine HTTPS-Verbindung durch ein solches Tool unterbrochen wurde, haben sich die Forscher zuerst einmal die Browser direkt angesehen und spezielle Charakteristiken beim Aufbaue einer HTTPS-Verbindung festgestellt. Damit erhielten sie quasi einen „TLS-Fingerabdruck“ für jeden Browser bzw. Browser-Version. Da die diversen Sicherheitstools aber eigene Implementierungen enthalten, gibt es hier Unterschiede, so dass man bei Verbindungsaufbau feststellen kann, ob der Browser hier direkt eine Verbindung aufbaut oder ob ein Proxy das für ihn übernimmt.

Dazu muss man einfach den „Fingerabdruck“ des aktuellen Verbindungsaufbaus mit dem anhand der Browserkennung erwarteten vergleichen. Natürlich gibt es hier gewisse Schwächen, falls jemand zum Beispiel die Browserkennung (HTTP User-Agent Header) verändert hat, aber in der großen Zahl lassen sich zumindest Tendenzen erkennen. Von verschiedenen Produkten, die HTTPS Interception betreiben, wurden ebenfalls solche Fingerprints erstellt, so dass in die Statistik auch aufgenommen werden konnte, wie verbreitet dabei die einzelnen Tools und Appliances sind.

Die Ergebnisse sind unterschiedlich für die drei getesteten Umgebungen: Beim Firefox-Update-Service waren 4% der Verbindungen betroffen, bei den E-Commerce-Sites waren es 6,2% der Verbindungen und bei Cloudflare 10,9%.Aber in allen drei Umgebungen fiel die gemessene Zahl an solchen Verbindungen höher aus, als anfangs geschätzt wurde.

Sicherheitsprobleme

Es ist keine neue These, dass AV-Tools die Sicherheit eher reduzieren, statt sie zu erhöhen. Zumindest in einzelnen Bereichen gibt es dafür regelmäßig Beispiele und auch diese Untersuchung liefert weitere Munition für alle Gegner von Antiviren-Software.

In diesem Fall betrifft die reduzierte Sicherheit die HTTPS-Verbindungen zum Server. Von den untersuchten 29 Antiviren-Programmen klinken sich 13 in HTTPS-Verbindungen ein und von denen reduzieren zwölf dabei die Sicherheit der Verbindung, teilweise waren die Sicherheitsprobleme so groß, dass die Verschlüsslung als „total kaputt“ bezeichnet wird. Angefangen vom Downgrade einer so unterbrochenen Verbindung auf alte Standards und TLS-Versionen, bis hin zur fehlenden Validierung von Zertifikaten geht die Liste der durch die „Sicherheitstools“ verursachten Probleme.

Bei den Appliances sieht es nicht besser aus: elf von zwölf getesteten gehen hier zu Lasten der Sicherheit.

Damit dürften sich alle diejenigen bestätigt fühlen, die Antiviren-Tools sowieso ablehnen. Ob sich an der Nutzung dadurch etwas ändert ist eine andere Frage. Gerade bei den Appliances für den Unternehmenseinsatz dürfte in vielen Fällen das Bedürfnis der Verantwortlichen überwiegen, genau zu schauen, was über den Internetzugang des Unternehmens alles passiert. Eine kaputte Verschlüsselung wird dabei auch mal in Kauf genommen.

Auch die Forscher raten nicht dazu, jetzt auf solche Produkte zu verzichten, sondern appellieren an die Hersteller, das Thema HTTPS Interception bei Antiviren-Software zu überdenken: Da die Software sowieso Zugriff auf alle lokalen Ressourcen des Rechners hat, sollten die Hersteller abwägen, aber HTTPS Intercepting „verantwortungsvoll“ wäre. Bei den Appliances sehen die Verantwortlichen der Untersuchung neben den Herstellern auch die Administratoren in der Verantwortung. In vielen Fällen würde eine Änderung der Defaultkonfiguration die Probleme beheben.

