Cadeado

Proteções de antivírus têm erros que deixam acesso vulnerável. (Afonso Lima/Freeimages)

Programas antivírus oferecem mecanismos de proteção com análise de tráfego, incluindo tráfego a sites “seguros”. Para oferecer essa proteção, eles configuram uma nova “autoridade” confiável no computador e redirecionam o acesso aos sites seguros por meio do antivírus. Essa técnica, porém, é perigosa e pode deixar os usuários mais vulneráveis, segundo um texto publicado pelo jornalista Hanno Böck em seu blog.

Para que um antivírus possa capturar um vírus ainda durante sua transmissão – antes que ele seja gravado no disco -, o programa precisa monitorar a rede e detectar a praga digital ainda em trânsito. Até aí, não há problema algum.

O problema aparece quando o antivírus tenta monitorar o tráfego em sites seguros — páginas que exibem o “cadeado” SSL e têm “HTTPS” no início do endereço. O SSL é uma tecnologia criada para impedir a interceptação e o monitoramento. O antivírus precisa, portanto, realizar uma tarefa “impossível”.

Como o antivírus têm o controle da máquina, essa tarefa não é exatamente impossível. O que os antivírus fazem é criar uma nova autoridade local de certificação — o próprio antivírus — e redirecionar o tráfego para essa autoridade local. O antivírus fica responsável por decodificar o tráfego e enviá-lo ao navegador, garantindo que qualquer praga digital seja detectada em trânsito.

É com essa interferência que o antivírus deixa o usuário mais vulnerável, segundo Böck.

Um problema inevitável é a incompatibilidade com uma técnica chamada de “certificate pinning”. Essa técnica de segurança consiste em associar um serviço (como seu banco) a um certificado específico. Dessa maneira, caso uma página clonada consiga um certificado válido (porém falso) para a página do banco, é possível detectar esse anomalia comparando com o certificado registrado anteriormente.

Infelizmente, todos os acessos feitos a sites seguros usam o certificado do antivírus — isso é necessário para que o programa tenha acesso ao tráfego. Como todo o acesso passa pelo mesmo certificado, não há como diferenciar um serviço do outro.

Böck também faz uma crítica específica ao antivírus da Kaspersky Lab, que é vulnerável ao ataques FREAK. A FREAK é uma técnica de ataque divulgada no início de março e que força um programa a usar uma tecnologia fraca de segurança, viabilizando a interceptação de dados.

Essa vulnerabilidade foi relatada há mais de um mês nos fóruns da empresa e ainda não foi corrigida, segundo o jornalista.

Já o antivírus da ESET não faz uso do protocolo de segurança TLS 1.2 – a versão mais recente do “cadeado”. Isso significa que sites terão que usar o TLS 1.1, que é mais inseguro.

O Avast também é criticado pelo jornalista por não ter suporte a certos recursos específicos do protocolo e adotar mecanismos que podem deixar o usuário mais vulnerável.

“Todo mundo erra na hora de interceptar HTTPS. Simplesmente não faça isso”, diz o último título do texto.

Os antivírus normalmente possuem a opção para que a interceptação de dados ou monitoramento de rede seja desativada. Em muitos programas, ela não está ativada por padrão.

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.