Недавние исследования западных специалистов по безопасности показывают, что большинство современных антивирусов, которые могут перехватывать и анализировать HTTPS-трафик, ставят пользователя и его серфинг в Интернете под угрозу.
Что такое HTTPS?
При работе в Интернете все устройства применяют протокол HTTP (HyperText Transfer Protocol) - технологию, которая облегчает передачу и прием данных через сеть. Но этот протокол не поддерживает криптографическую защиту данных. Шифрование информации имеет сегодня решающее значение для обеспечения безопасности информации, передаваемой в сети.
Поэтому ему на смену пришел HTTPS (HyperText Transfer Protocol Secure), который шифрует информацию при передаче данных. Во многом HTTPS идентичен HTTP, потому что он основан на тех же принципах, но в отличие от первого надежно защищает всю передаваемую конфиденциальную информацию от посторонних лиц.
Как антивирус получает доступ к зашифрованному трафику?
Сам по себе антивирус не способен получить доступ к защищенному трафику. Эту задачу решает корневой сертификат, который устанавливается в систему при установке антивирусной программы. Такой сертификат позволяет программе перехватывать и анализировать защищенные данные.
Алгоритм анализа трафика антивирусным сканнером
Все происходит буквально на лету. С помощью собственного корневого сертификата программа расшифровывает данные, анализирует их на наличие вредоносных программ и зашифровывает собственным алгоритмом шифрования.
В чем опасность перехвата HTTPS-трафика антивирусом?
Опасность этой технологии заключается в том, что расшифрованный трафик зашифровывается очень слабыми криптографическими алгоритмами. Также антивирус может применять уже известные хакерам шифры. Внедряясь в такой «взломанный» трафик, злоумышленники могут использовать MITM-атаки известные как «атаки посредника».
Таким образом, канал может быть расшифрован, а информация в нем прочитана.
В целом специалисты установили, что при атаках может расшифровываться до 10% данных зашифрованного соединения. При этом общий уровень безопасности при перехвате информации существенно снижается. Например, при использовании браузера Firefox безопасность может понизиться на 97%.
Опасность состоит и в том, что антивирусные утилиты имеют собственные «дыры» в безопасности. То есть, угроза существенно увеличивается.
Методы защиты от расшифровки трафика
Методов противодействия инспектированию трафика несколько.
- Можно полностью отказаться от использования скомпрометировавшего себя антивируса. Но тогда пользователь будет подвергаться постоянной опасности при работе в сети.
- Для защиты можно полностью отключить в установленном антивирусном ПО функцию инспектирования TLS/SSL. Тогда защищенный трафик не будет принудительно расшифровываться.
- Еще один способ – это добавить в настройках антивируса важнейшие сайты с HTTPS-защитой в доверенные.