Open Source im professionellen Einsatz

US-Cert warnt vor SSL-Inspektionen durch Security-Produkte

17.03.2017

US-Cert, das United States Computer Emergency Readiness Team gibt eine Warnung zu HTTPS-Interception heraus. Die betrifft sämtliche Produkte, die HTTPS aufbrechen, um die Daten auf Malware zu analysieren, häufig also Virenscanner.

254

Sie sollen eigentlich für mehr Sicherheit im Unternehmensnetzwerk sorgen, sind aber letztlich Man-in-the-Middle-Angriffe: Anti-Malware-Appliances hören HTTPS-Streams ab, um darin enthaltene Malware-Signaturen zu finden. Das ist nichts Neues und zum Teil nötig, nun beschäftigt sich aber auch das US-Cert mit dem Thema und gab gestern eine Warnung (Alert TA17-075A) heraus.

In dieser setzt sich die Behörde mit den Risiken solcher HTTPS-Interceptions auseinander. Unternehmen, die solche Inspektionen als Anforderung setzen, sollten prüfen, ob diese Produkte eine korrekte TLS-Zertifikatsvalidierung vornehmen. Tun sie das nicht ordentlich, schwächen sie womöglich die Ende-zu-Ende-Verschlüsselung von HTTPS weiter. Indem die Produkte die Zertifikatskette beim Wiederverschlüsseln und weiterleiten der Daten nicht sauber prüfen, ermöglichen sie Man-in-the-Middle-Angriffe. Zugleich sehen die Verbindungen zum Server für die Clients sicher aus, weil die Antimalware-Produkte potenzielle Fehlermeldungen nicht weitergeben.

Vereinfacht gesagt gefährden die Produkte, die im Unternehmen eigentlich für Sicherheit sorgen wollen, die Sicherheit dieser Netzwerke. Das US-Cert rät daher am Ende der Warnung, den Umgang der Appliances mit HTTPS-Zertifikaten zu überprüfen und darauf zu achten, dass diese Fehlermeldungen an Clients weitergeben. Wer herausfinden will, ob das auch die eigene Security-Software betrifft, soll die Webseite Badssl.com nutzen. Dort finden sich auf Subdomains eine Reihe von Testfällen, von denen einige Fehlermeldungen im Browser hervorrufen - wenn die Antimalware-Produkte dies nicht verhindern.

Nicht zuletzt erklärt ein Blogpost der Carnegie-Mellon-Universität das Problem im Detail und nennt auch verschiedene Unternehmensprodukte, die potenziell von dem Problem betroffen sein könnten.

Ähnliche Artikel

  • BSI warnt vor Microsofts Internet Explorer

    Eine ungepatchte Sicherheitslücke im Internet Explorer hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer Warnung vor dem Einsatz des Browsers aus dem Hause Microsoft bewogen.

  • Mobile Security

    Für kleine Firmen erscheint ein BYOD-rundum-Management illusorisch. Mobile-Security-Software von der Stange überwacht Software-Installationen und begrenzt den Schaden bei Diebstahl oder Verlust.

  • Update: BSI warnt vor Microsofts Internet Explorer

    Eine ungepatchte Sicherheitslücke im Internet Explorer hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer Warnung vor dem Einsatz des Browsers aus dem Hause Microsoft bewogen.

  • IBM-Report: Mehr Sicherheitslücken als jemals zuvor

    Die IT-Sicherheitsexperten der IBM X-Force haben ihren jüngsten Vierteljahresbericht veröffentlicht – den IBM X-Force Threat Intelligence Quarterly. Danach sind im Jahr 2014 mindestens eine Milliarde digitaler Datensätze mit persönlichen Informationen in falsche Hände geraten. Außerdem traten im letzten Quartal des Jahres 2014 mehr als 9 200 neue Sicherheitslücken auf – so viel wie noch nie in der 18-jährigen Geschichte des X-Force-Reports.

  • Suricata 3.0 – Major Release des Intrusion Detection Systems

    Mit Suricata 3.0 haben die Entwickler eine neue Hauptversion des Intrusion Detection Systems (IDS) veröffentlicht und versprechen jede menge Verbesserungen.

comments powered by Disqus

Ausgabe 07/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.