Комментарии 55
Вот так статья - общеизвестный факт плюс ссылка на личный сайтик. Торт, что и говорить...
... в инстаграме такую краткость любят.
Чем бы заняться. Может разрешить антивирусу смотреть зашифрованный траффик и расстроиться? :)
Не новость. Многие другие антивирусы тоже уличали в подмене сертификатов и слежке за пользователем, а так же в том, что делают они это так топорно, что к тому же снижают параметры безопасности соединения. Но вы же сами установили антивирус да еще и пустили его в браузер.
Совершенно верно.
Все системы антивирусной защиты делятся на дырявое решето и имеющие функцию подмены сертификата. Как вы предлагаете проверять js-дрянь, идущую по SSL каналу. Кончилось то время когда на Web-е лежали файлики, и если не позволять им запускаться - то всё будет зашибись. Сейчас с помощью js Вас могут завязать в узел и сложить из Вас оригами почти не приходя в сознание с использованием только штатных API. А если к этому добавить не контролируемое вовсе мракобесие с node.js и просто разбросанными по интернету файлы с кусками фреймворков, в время от времени находят разное.
Вообще есть прекрасный способ сделать так, чтобы за пользователем не следили и он был в безопасности. Нужно по сайтикам лазить ка Столман. Где-то на хабре вроде была статья с его рецептом успеха. А в остальное время, приходится использовать проверку SSL-трафика, и внимательно следить за исключением трафика всяких банк-клиентов, которые это местами страсть как не любят.
То что браузеры исполняют их в песочнице не помешало эксплуатировать спектру с JS. Поэтому я и говорю, что времена, когда мы все были в домике и глаз хватало, чтобы быть в безопасности давно прошли.
Если скрипты и проникнут на ваш компьютер, то скорей через эти самые антивирусы, которые разрабатываются мелкими компаниями и безопасность которых никто толком не проверяет, в отличие от браузеров.
Я дико извиняюсь, но антивирусные компании очень даже немаленькие, а мантру о том что множество глаз БДИТЕЛЬНО следят мы проходили во времена heartbleed. Не помогло OpenSSL, за которым следили параноики, почему должно помочь браузерам.
А нода здесь как самый яркий пример того, как обычная человеческая лень программеров увеличивает поверхность атаки на порядок, а бардак в их модной инфраструктуре вполне может спровоцировать получение JS-зловреда с уважаемого сайта, и уберечься от этой дряни, хотя бы спустя некоторое время, сможет помочь только антивирусник.
И да, я читаю ежедневный отчёт от Kaspersky Cecurity Center по моей маленькой непримечательной сетке, и крайне счастлив, что вся эта дрянь из отчёта осталась за пределами сетки.
Недоуменный вопрос про node.js был к тому что она вообще на сервере выполняется, и с точки зрения антивируса ничем не отличается от PHP, ASP или на чем там бекенд сделан.
читаю ежедневный отчёт от Kaspersky Cecurity Center по моей маленькой непримечательной сетке, и крайне счастлив
Евгений Валентинович перелогиньтесь ;)
Я предлагаю держать актуальную версию браузера + по возможности резать весь js. Я, например никуда не хожу без noscript + ublock origin. Проверка web антивирусом не панацея совсем. Когда я работал админом не раз встречал "'эксклюзивчики" которые попадали в базу только после того как я их отсылал на проверку. И ни один из "имеющих функцию подмены сертификата", даже не хрюкнул, когда пользователь щелкал по файлу name.doc.js. А ведь были такие, менеджеры которых гарантировали на словах, что помогут в расшифровке файлов. Вся их помощь заключалась в "когда мы сможем найти способ их расшифровать, то обязательно расшифруем". А будь у пользователя linux, где в файловых браузерах завезли mime (двойной клик на документе открывает его в приложении, двойной клик на исполняемом скрипте вызывает меню с вариантами открыть в текстовом редакторе/запустить), он бы хотя бы озадачился почему проводник предлагает ему запустить файл вместо открыть.
Кстати, ни разу за 15 лет работы админом, вирусы не смогли нанести значимый ущерб сети предприятия. Самую большую проблему составил win32.kido году эдак в 2009, но это скорее потеря времени на установку патчей + перезагрузка заддосеных компов, шифровальщики при мне пролезли максимум на три рабочих места из пары сотен и два из них были компьютеры HR куда сыплется нефильтруемая электронная почта и один компьютер секретаря генерального директора по тем же причинам. Весь интернет на предприятии был через прокси, либо не в сети предприятия.
Однажды в середине нулевых наш начальник отдела ходатайствовал о премии для пользователя, который позвонил в отдел и сказал следующее: "Мне пришло письмо, но я не знаю этого отправителя, проверьте, пожалуйста, можно ли мне его открывать".
Он еще и свой .js в html код посещаемых сайтов вставляет :)
Кстати да, вмешивается в исходный код, как в прочем и всякие блокировщики рекламы и баннеров.
Можно. Установите антивирус и проанализируете. Обсудим.
Лет 5-6-7 назад не помню точно, когда я внедрял РКН фильтр меня тоже посетила паранойя по этому поводу. Точнее почему Avast имел наглость подменить сертификат который был был уже подменён фильтром для вывода заглушки блокировки. И даже проверял на контролируемых хостингах на разных антивирусах, что всё происходит корректно, без модификации кода.
Насчёт паранойи пошутил, нужно было проверить корректность подмены сертификата.
что там анализировать то... простого наблюдения запросов пару лет назад мне хватило увидеть что весь контент браузера включая соцсети банкинг да вообще все что загружается в браузере улетает в KSN или облачный что то там как они это называют. а чтобы это была не зашифрованная бесполезная каша как у яровой они делают MITM и все расшифровывают отсюда и сертификат. Давно уже стало ясно что сторонние антивирусы снижают безопасность.
Это на заметку любителям обвешать браузер полезными дополнениями. Помните, все ваши дополнения имеют доступ ко всем открываемым вкладкам, а те кто запросил разрешения и к "приватным" в том числе.
Kaspersky не нужен. Если вы пользователь ОС Windows, то встроенного средства безопасности и регулярных обновлений вполне достаточно.
Ну а судя по вашему личному сайту блогу вам давно нужно использовать Linux как основную систему, а Windows держать на виртуалке только для экспериментов.
так в принципе многие антивирусы, не только Касперский, добавляют свой корневой сертификат CA в системное хранилище корневых сертификатов операционной системы(в т.ч. Windows). Например, ESET, Avast, Dr.Web, AVG и т.д. Везде, у кого есть функция фильтрации SSL/TLS-протокола или сканирования HTTPS-трафика(в разных антивирусах по-разному называется). С одной стороны, плюс, что антивирус, прослушивая весь интернет-трафик, может сканировать сайты с HTTPS на вредоносный код и блокировать к ним доступ(поправьте меня, если я чего-то не знаю). С другой стороны, некоторые антивирусы могут по-настоящему следить за своими клиентами, которые пользуются их услугами, прослушивать трафик и т.д. Поэтому лично я с опаской отношусь к функции сканирования https.
Антивирус это изначально система сканирования и надзора.
А ещё если вы включите проверку сертификатов в своём приложение, что обязательно надо делать, то оно просто перестанет работать у пользователей с антивирусами. И не остаётся ничего, кроме как отключать проверку.
В каком приложении? В браузерах? Я знаю, только Firefox, если посмотреть сведения о сертификате, помечает сертификаты от Касперского, Аваст, Доктор Веб, ESET и пр. "как не распознанные Mozilla". Хромиум-браузерам же совершенно пофиг, каким сертификатом зашифрован сайт. Я сам пользуюсь Microsoft Edge, Firefox Nightly и Vivaldi (раньше ещё была Опера и Google Chrome), антивирус ESET NOD32 Internet Security. Так вот всем браузерам, кроме огнелиса, с высокой колокольни, что сертификат при соединении с сайтом установили не администраторы этого сайта, а сторонний антивирус, установленный на компьютере. Никаких предупреждений о недостоверном сертификате. Вообще. А вот Mozilla молодцы, что в Firefox сертификаты от антивирусов помечаются как недоверенные, так хоть пользователь понимает, что не все антивирусы имеют благие намерения и некоторые из них могут прослушивать трафик, чтобы следить за пользователями. А какие-то наоборот, хотят просто защищать от вредоносного по и блокировать опасные сайты.
На самом деле не совсем все так, они не помечают именно сертификаты антивирусов.
Firefox использует собственное хранилище сертификатов, а не системное.
Я знаю, что Firefox использует свое хранилище сертификатов. Из-за того, что у сертификатов от антивирусов отсутствует цепочка сертификатов, то есть сертификаты самоподписанные вот и появляются предупреждения о недостоверном сертификате. То есть сертификат есть, он установлен, а кто является удостоверяющим центром этого сертификата, неизвестно. P.S. если я чего-то недопонимаю или ошибаюсь, можете меня поправить.
Начиная с Firefox 86, если браузер обнаруживает MitM-атаку (которая может быть вызвана антивирусом, пытающимся расшифровать и проверить трафик), то автоматически включит настройку security.enterprise_roots.enabled и попытается использовать сертификаты из системного хранилища (используются лишь сертификаты, добавленные туда сторонним ПО, сертификаты, поставляемые вместе с ОС, игнорируются)
Просто все браузеры кроме огнелиса в windows используют системное хранилище сертификатов, и только огнелис полагается на свой собственный набор. Видимо это помогло ему в свое время выжить и бороться с "интернет-испортил"ом.
Это кстати здорово помогало в свое время в устаревших виндах. Вроде почта перестала отправляться? сайт жалуется на невалидный сертификат? Идем огнелисом сохраняем правильную цепочку сертификатов, добавляем их в системное хранилище. Ну в некторых случаях еще патч для поддержки SHA-256 в XP/2003.
Логика такова, что лучше это сделать, чем потерять пользователя, которому не интересно разбираться, он пожмёт плечами и установит другой браузер, в котором «всё работает».
Да, не спорю, просто если нажать на замок в адресной строке, то тогда лиса пишет, что "соединение удостоверено сертификатом, издатель которого не распознан Mozilla". И так со всеми антивирусами, в которых включена проверка HTTPS-соединений, не только с Касперским. Можно отключить, но тогда антивирус не будет сканировать сайты с HTTPS на вирусы и блокировать доступ к ним.
Насколько я понимаю, в теории антивирус может читать https даже без подмены сертификата, просто встраиваться в процесс браузера и хукать библиотечные вызовы, собственно как это и делает разное malware.
У нас своё приложение (онлайн игра), у которой много коммуникаций с использованием https. Не хотелось бы, что бы пароли и логины можно было стащить с использованием MItM атак.
Ну и по поводу браузеров тоже странно. Вы даже онлайн банкингом спокойно можете пользоваться и совершать транзакции с левым сертификатом и браузер на это глазом не поведёт? Это же вообще жуть.
Ну про игры ладно. Но про банки скажу следующее: когда захожу в Сбербанк Онлайн (пока только клиентом сбербанка являюсь), то там даже с включенной функцией сканирования HTTPS-трафика стоит EV-сертификат Thawte, выданный для Sberbank of Russia. Никакой подмены не произошло. Про другие банки вот что: зашёл на сайт Альфа-Банка(не являюсь его клиентом, но интересно было посмотреть сайт), там стоял не помню какой сертификат, вроде DigiCert или Thawte, выданный для AO Alfa Bank, также EV-сертификат расширенной проверки. А вот с Tinkoff я с вами соглашусь на 100%, там произошла подмена сертификата- вместо оригинального сертификата там стоит сертификат от ESET. На сайт ВТБ банка не заходил и не проверял. Короче, я склоняюсь к тому, что функцию сканирования HTTPS лучше отключить, потому что мало ли, антивирус может не просто защищать от вирусов, а прям прослушивать интернет трафик, и делать это злонамеренно.
На сайтах банков левый сертификат конечно зло.
А чем сертификат для вашего сайта выданные на основе касперского сертификата отличается от чьего то другого?
Отключите проверку HTTPS и не будет подмены.
Судя по первому скриншоту терпели полгода перед тем как запостить рекламу бложика?
Ну собственно, это нормальный, более-менее цивилизованный, способ перехватить, расшифровать, и модифицировать HTTPS трафик.
Так делают антивирусы, блокировщики рекламы, и еще много кто.
Инжектировать свой исполнянмый код в браузер и перехватывать вызовы функций - ненадежно.
У вас нет гарантий, что в браузере используется системная либа для HTTPS, а не своя и статически вкомпиленная.
А перехватывать connect/send/recv/close смысла нет, там уже трафик шифрованный.
Тут проблема в другом и о ней не написано.
Нет гарантий, что антивирус/блокировщик после MITM атаки на веб-браузер (технически это все MITM атака, ага) сам использует надежную либу для подключения к HTTPS.
Таким образом, получается единая точка отказа.
Если найдут дыру в алгоритмах HTTPS антивируса/блокировщика, то у вас поблемы.
Алгоритмы же да, могут быть косячными и обновляться только с приходом новых патчей
Главное, чтобы это все оперативно чинилось.
Верю, что у Касперского в плане TLS все грамотно сделано.
Самое страшное - это многочисленные блокировщики рекламы.
Кто их пишет, и какая у них квалификация - неизвестно.
Я вот даже писал один, и хотя немного шарю в ИБ, но спецом по TLS уж точно не являюсь.
Есть еще всякий гемор типа ALPN, там тоже можно себе отстрелить конечность.
ESET тоже так делает, уже много-много лет, но только если включена проверка HTTPS. Это отключаемо, но без этого он не сможет сканировать шифрованный трафик.
SSL наблюдение Kaspersky