I en nylig publisert betenkning, Secure connections: how secure are they?, skriver russiske Kaspersky Lab at krypterte forbindelser av den typen som brukes av sikkerhetsbevisste webtjenester som nettbanker og Googles e-posttjeneste Gmail, under visse betingelser kan brukes til å omgå vernet gitt av oppdatert antivirus på PC-en, og følgelig til å spre ondsinnet kode som ellers ville blitt stoppet.
Det Kaspersky peker på, er at PC-ens antivirus gransker innkommende filer i det de mottas. Dersom de er kryptert, vil ikke antiviruset kunne fange opp signaturen til det filen måtte inneholde av ondsinnet kode. Følgelig går filen rett gjennom.
Hvis man åpner filen etter nedlastingen, uten for hånd å sjekke den for virus, smittes man.
Tjenester som beskytter sine brukere gjennom for eksempel SSL/TLS – der «http://» i nettadressen erstattes av «https://» – kan følgelig være fristende for kriminelle hackere å misbruke, dersom de finner en metode å lure ondsinnet kode inn i selve serveren.
Kaspersky gir to mulige scenarier.
Den ene dreier seg om mulig misbruk av Gmail, Googles webbaserte tjeneste for e-post. Google har lagt opp antiviruset på Gmail slik at meldinger bare skannes i det Gmail mottar dem, ikke når mottakeren laster dem ned.
Kaspersky tenker seg at en forsinkelse i oppdateringen av Googles antivirus gjør at flere meldinger til Gmail-adresser slipper gjennom med ondsinnet kode. Når brukerne laster ned disse meldingene, vil ikke det lokale antiviruset reagere på dem, fordi de overføres over en kryptert forbindelse – SSL/TLS – slik at antiviruset ikke er i stand til å gjenkjenne den ondsinnede koden.
Det andre scenariet dreier seg om en kriminell hacker som greier å utnytte en eller annen sårbarhet til å infisere filer på en webserver. Kaspersky viser at dette har skjedd, også på webservere som tilbyr tjenester utelukkende via SSL/TLS, altså over en kryptert forbindelse. Over en vanlig forbindelse, ville koden blitt avslørt av PC-ens antivirus. Over en kryptert forbindelse, kan ikke koden avsløres av PC-ens antivirus. Hvis filene er infisert med ondsinnet kode som utnytter en sårbarhet i nettleseren, vil koden eksekveres straks, og PC-en infiseres med én gang.
Nylig ble DnB Nor rammet av et internt virusangrep som satte 11.000 PC-er ut av spill og førte til mange døgn med dataproblemer.
Dersom det aktuelle viruset hadde vært i stand til å spre seg til filer aksessert av kundene, ville DnB Nor hatt et enda mer alvorlig problem, siden virusangrepet da hadde kunnet utnytte sikkerhetsmekanismen SSL/TLS til å spre seg, også til brukere som ikke hadde vært sårbare for infiserte filer over usikrede forbindelser. Heldigvis, skjedde ikke dette.
Les også:
- [21.03.2007] Viruset i DnB Nor kan stamme fra Shanghai
- [05.02.2007] Fargekoder for utvidet SSL klare i IE7
- [18.01.2007] Nye fargekoder skal gjøre nettet trygt