Proteções de antivírus têm erros que deixam acesso vulnerável. (Afonso Lima/Freeimages)
Programas antivírus oferecem mecanismos de proteção com análise de tráfego, incluindo tráfego a sites “seguros”. Para oferecer essa proteção, eles configuram uma nova “autoridade” confiável no computador e redirecionam o acesso aos sites seguros por meio do antivírus. Essa técnica, porém, é perigosa e pode deixar os usuários mais vulneráveis, segundo um texto publicado pelo jornalista Hanno Böck em seu blog.
Para que um antivírus possa capturar um vírus ainda durante sua transmissão – antes que ele seja gravado no disco -, o programa precisa monitorar a rede e detectar a praga digital ainda em trânsito. Até aí, não há problema algum.
O problema aparece quando o antivírus tenta monitorar o tráfego em sites seguros — páginas que exibem o “cadeado” SSL e têm “HTTPS” no início do endereço. O SSL é uma tecnologia criada para impedir a interceptação e o monitoramento. O antivírus precisa, portanto, realizar uma tarefa “impossível”.
Como o antivírus têm o controle da máquina, essa tarefa não é exatamente impossível. O que os antivírus fazem é criar uma nova autoridade local de certificação — o próprio antivírus — e redirecionar o tráfego para essa autoridade local. O antivírus fica responsável por decodificar o tráfego e enviá-lo ao navegador, garantindo que qualquer praga digital seja detectada em trânsito.
É com essa interferência que o antivírus deixa o usuário mais vulnerável, segundo Böck.
Um problema inevitável é a incompatibilidade com uma técnica chamada de “certificate pinning”. Essa técnica de segurança consiste em associar um serviço (como seu banco) a um certificado específico. Dessa maneira, caso uma página clonada consiga um certificado válido (porém falso) para a página do banco, é possível detectar esse anomalia comparando com o certificado registrado anteriormente.
Infelizmente, todos os acessos feitos a sites seguros usam o certificado do antivírus — isso é necessário para que o programa tenha acesso ao tráfego. Como todo o acesso passa pelo mesmo certificado, não há como diferenciar um serviço do outro.
Böck também faz uma crítica específica ao antivírus da Kaspersky Lab, que é vulnerável ao ataques FREAK. A FREAK é uma técnica de ataque divulgada no início de março e que força um programa a usar uma tecnologia fraca de segurança, viabilizando a interceptação de dados.
Essa vulnerabilidade foi relatada há mais de um mês nos fóruns da empresa e ainda não foi corrigida, segundo o jornalista.
Já o antivírus da ESET não faz uso do protocolo de segurança TLS 1.2 – a versão mais recente do “cadeado”. Isso significa que sites terão que usar o TLS 1.1, que é mais inseguro.
O Avast também é criticado pelo jornalista por não ter suporte a certos recursos específicos do protocolo e adotar mecanismos que podem deixar o usuário mais vulnerável.
“Todo mundo erra na hora de interceptar HTTPS. Simplesmente não faça isso”, diz o último título do texto.
Os antivírus normalmente possuem a opção para que a interceptação de dados ou monitoramento de rede seja desativada. Em muitos programas, ela não está ativada por padrão.
Linha Defensiva 