Cadeado

Proteções de antivírus têm erros que deixam acesso vulnerável. (Afonso Lima/Freeimages)

Programas antivírus oferecem mecanismos de proteção com análise de tráfego, incluindo tráfego a sites “seguros”. Para oferecer essa proteção, eles configuram uma nova “autoridade” confiável no computador e redirecionam o acesso aos sites seguros por meio do antivírus. Essa técnica, porém, é perigosa e pode deixar os usuários mais vulneráveis, segundo um texto publicado pelo jornalista Hanno Böck em seu blog.

Para que um antivírus possa capturar um vírus ainda durante sua transmissão – antes que ele seja gravado no disco -, o programa precisa monitorar a rede e detectar a praga digital ainda em trânsito. Até aí, não há problema algum.

O problema aparece quando o antivírus tenta monitorar o tráfego em sites seguros — páginas que exibem o “cadeado” SSL e têm “HTTPS” no início do endereço. O SSL é uma tecnologia criada para impedir a interceptação e o monitoramento. O antivírus precisa, portanto, realizar uma tarefa “impossível”.

Como o antivírus têm o controle da máquina, essa tarefa não é exatamente impossível. O que os antivírus fazem é criar uma nova autoridade local de certificação — o próprio antivírus — e redirecionar o tráfego para essa autoridade local. O antivírus fica responsável por decodificar o tráfego e enviá-lo ao navegador, garantindo que qualquer praga digital seja detectada em trânsito.

É com essa interferência que o antivírus deixa o usuário mais vulnerável, segundo Böck.

Um problema inevitável é a incompatibilidade com uma técnica chamada de “certificate pinning”. Essa técnica de segurança consiste em associar um serviço (como seu banco) a um certificado específico. Dessa maneira, caso uma página clonada consiga um certificado válido (porém falso) para a página do banco, é possível detectar esse anomalia comparando com o certificado registrado anteriormente.

Infelizmente, todos os acessos feitos a sites seguros usam o certificado do antivírus — isso é necessário para que o programa tenha acesso ao tráfego. Como todo o acesso passa pelo mesmo certificado, não há como diferenciar um serviço do outro.

Böck também faz uma crítica específica ao antivírus da Kaspersky Lab, que é vulnerável ao ataques FREAK. A FREAK é uma técnica de ataque divulgada no início de março e que força um programa a usar uma tecnologia fraca de segurança, viabilizando a interceptação de dados.

Essa vulnerabilidade foi relatada há mais de um mês nos fóruns da empresa e ainda não foi corrigida, segundo o jornalista.

Já o antivírus da ESET não faz uso do protocolo de segurança TLS 1.2 – a versão mais recente do “cadeado”. Isso significa que sites terão que usar o TLS 1.1, que é mais inseguro.

O Avast também é criticado pelo jornalista por não ter suporte a certos recursos específicos do protocolo e adotar mecanismos que podem deixar o usuário mais vulnerável.

“Todo mundo erra na hora de interceptar HTTPS. Simplesmente não faça isso”, diz o último título do texto.

Os antivírus normalmente possuem a opção para que a interceptação de dados ou monitoramento de rede seja desativada. Em muitos programas, ela não está ativada por padrão.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s