Kaspersky-Schutzsoftware senkt Sicherheit von SSL-Verbindungen
Wer die Kaspersky-Funktion "Sichere Verbindungen untersuchen" aktiviert, macht sein System potenziell für den Poodle-Angriff auf SSLv3 anfällig.
- Ronald Eikenberg
Die Schutz-Software Kaspersky Internet Security sorgt dafür, dass der Rechner unter Umständen für den Poodle-Angriff auf SSL-verschlüsselte Verbindungen anfällig ist – und zwar auch dann, wenn man das betroffene SSLv3-Protokoll explizit im Browser deaktiviert hat. Dies hat unser Leser Claus Berghammer gemeldet, heise Security konnte das Problem nachvollziehen.
Kaspersky Internet Security mit Poodle-Problem (3 Bilder)
Ist die Option "Sichere Verbindungen untersuchen" aktiv, betätigt sich Kasperky als Man-in-the-Middle, um den durchgeleiteten Krypto-Traffic zu analysieren. Der Browser zum Beispiel spricht also nicht direkt mit dem Internet, sondern mit der lokalen Kaspersky-Software, welche die Verbindung wiederum zu dem entsprechenden Web-Server durchschleust. Das Problem dabei ist, dass die Schutz-Software dem Server noch das SSLv3-Protokoll anbietet.
SSLv3 ohne Not
So kommt unter Umständen eine SSLv3-Verbindung zustanden, obwohl der Nutzer die Unterstützung für dieses Protokoll abgeschaltet hat. Bei Firefox ist SSLv3 seit der aktuellen Version 34 standardmäßig inaktiv – und das mit gutem Grund: Durch die von Google entdeckte Poodle-Attacke kann sich ein Angreifer in die verschlüsselte Verbindung einklinken und Daten wie etwa Sitzungs-Cookies entschlüsseln. Google will die SSLv3-Unterstützung mit der kommenden Chrome-Version 30 abschalten, für den Internet Explorer gibt es zumindest bereits ein Fix-it-Tool von Microsoft, welches das überholte Krypto-Protokoll auf das Abstellgleis stellt.
Patch ist in Arbeit
Gegenüber heise Security gab Kaspersky Lab an, dass man sich über die Situation im Klaren sei und bereits an einem Patch arbeitet, der voraussichtlich im ersten Quartal 2015 erscheint. Der Patch soll die SSLv3-Unterstüzung aus dem Schutzprogramm entfernen. In seinem Support-Forum erklärte das Unternehmen kürzlich, dass die Software auch jetzt schon "reagieren werde, wenn ein echter Angriff stattfindet". Standardmäßig ist das SSL-MiTM übrigens auf "Sichere Verbindungen untersuchen, wenn die Kindersicherung aktiv ist" eingestellt.
Auf Nummer sicher
Wer in puncto Poodle-Angriff auf Nummer sicher gehen will, sollte die Funktion gänzlich deaktivieren, bis der Patch bereit steht. Man findet sie unter Einstellungen, Erweitert, Netzwerk. Darüber hinaus sollte man dem Browser den Aufbau von SSLv3-Verbindungen verbieten. (rei)
