Jump to content
vmuecke

"Kaspersky Internet Security weiterhin durch FREAK verwundbar"

Recommended Posts

Die Frage bleibt nach solchen Berichten soll man den Schutz " Sicherer Zahlungsverkehr" deaktivieren oder welche Alternative gibt es ? Diesbezüglich sind ja noch keine Antworten hier erfolgt. Oder muss man Kaspersky (KIS) jetzt komplett entfernen ???

Share this post


Link to post

Danke für die schnelle Antwort, dann dürften die Berichte überholt sein und alles ist sicher :bravo:

 

Habe eben den Link getestet alles einwandfrei :beer:

Edited by Dog007

Share this post


Link to post

Ja Bruno hat es ja freundlicher Weise mit seinem Beitrag geklärt, warum da keine Reaktion von Kaspersky erfolgte ist schon traurig und nicht nachvollziehbar.

 

Nur zur weiteren Info: Internet Explorer 11 und Firefox 37.0.2 sind mit KIS geschützt, System Windows 7 wer andere Browser nutzt sollte den Link den Bruno angeführt hat https://freakattack.com/ testen

Edited by Dog007

Share this post


Link to post
Scheint tatsächlich der Fall zu sein. zumindest berichtet Golem ähnliches

Golem berichtet nichts "ähnliches", das PC-Magazin beruft sich auf den Golem-Test.

 

Die Frage bleibt nach solchen Berichten soll man den Schutz " Sicherer Zahlungsverkehr" deaktivieren oder welche Alternative gibt es ?

Du musst lediglich bei den Standardeinstellungen der KIS bleiben. Das Problem (falls es eines ist, meines Wissens wird es intern abgefangen) kann nur auftreten, wenn die "Untersuchung sicherer Verbindungen" von Hand auf "immer untersuchen" gesetzt wird.

 

Warum meldet sich niemandaus dem Hause Kaspersky und klärt uns mal dazu auf.

Weil im deutschen Forum kein KL-Mitarbeiter anwesend ist. (Halb-)offizielle Erklärungen gibt es höchstens im russischen Forum, evtl. auch im englischen. Stell doch eine Supportanfrage...

 

Share this post


Link to post
Weil im deutschen Forum kein KL-Mitarbeiter anwesend ist.

 

Seit wann das denn, aufgefallen war mir das zwar, genaues hatte ich aber nicht recherchiert (@MGM usw.) ?

Zumindestens das Profil existiert aber noch.

Edited by flying Horse

Share this post


Link to post
Antwort des Deutschen Heimanwender Support

 

 

Diese Info hatte Bruno bereits am 09.04.2015 unglaublich warum das beim hiesigen Support so lange gedauert hat :aa: aber wie ich bereits zuvor gesagt hatte, er nannte uns ja den Link bereits weil er hier reinschaute und sah was hier noch nicht bekannt ist.

 

Immer nett wenn User aus anderen Ländern übergreifend helfen, da mangelt es beim Support !

Share this post


Link to post
Antwort des Deutschen Heimanwender Support

Diese Antwort ist leider recht knapp und es wird nicht erwähnt, welches Update gemeint ist. Ich vermute, dass Patch B das Problem vollständig lösen wird.

 

 

Diese Info hatte Bruno bereits am 09.04.2015

Nach meinem Verständnis wird im verlinkten Thema nicht erwähnt, dass Kaspersky das Problem behoben hat.

Share this post


Link to post

Fast erstaunlich, da stellt vmuecke eine relativ einfache Frage und 17 Posts weiter gibt es immer noch keine eindeutige Antwort. Eine belastbare Antwort kann ich leider auch nicht bieten, weil ich nur KIS 2014 verwende, aber ich versuche mal die Problematik zusammenzufassen. Vielleicht hilft dieses ja dem einen oder anderen zu verstehen, wo wirklich "das" Sicherheitsproblem ist.

 

Sehr vereinfacht formuliert wird bei dem FREAK-Sicherheitsproblem versucht, durch eine man-in-the-middle Attacke eine zu verschlüsselnde Client-Server-Verbindung so zu beeinflussen, dass eine weniger starke Verschlüsselung verwendet wird, welche dann das Mithören der Datenkommunikation erlaubt. Dazu benötigt man im Wesentlichen 3 Punkte:

 

a ) z. B. einen Webserver, welcher eine solche weniger starke Verschlüsselung unterstützt (davon gibt es immer noch mehrere Tausend im Internet),

 

b ) einen Client (Browser), welcher ebenfalls eine solche weniger starke Verschlüsselung ebenfalls unterstützt (die aktuellen Versionen von Internet Explorer, Firefox, Chrome, Safari tun das nicht),

 

c ) einen "Hacker" (man-in-the-middle), der Zugang zur Datenkommunikation zwischen dem Server und dem Client hat, um diese auf die schwache Verschlüsselung zu manipulieren (z. B. in öffentlichen WLANs oder durch potente Geheimdienste, welche Zugang zu diversen Internet-Knoten/Providern haben).

 

Gegen a) kann ich als Nutzer kaum was tun. Bei c) hilft es, wenn ich grundsätzlich die Sicherheitsproblematik von öffentlichen WLANs berücksichtige. Da mein Browser (B) mittlerweile gegen FREAK sicher ist, ist es extrem unwahrscheinlich, dass meine verschlüsselte Verbindung von unbefugten Dritten entschlüsselt wird.

Das gilt auch, wenn ich KAV/KIS/KTS mit der Standard-Einstellung, dass "sichere Verbindungen immer untersuchen" deaktiviert ist, verwende (siehe auch Hinweise von Schulte in Post #9).

 

Problematisch wird das u. U. erst, wenn man in KAV/KIS/KTS auf "sichere Verbindungen untersuchen" konfiguriert. In dieser Konfiguration schaltet sich Kaspersky quasi wie bei einer man-in-the-middle Attacke in die verschlüsselte Verbindung damit er die übertragenen Daten analysieren kann. Dazu muss der Datenstrom zur Analyse entschlüsselt und danach wieder verschlüsselt werden. Für diesen Prozess verwendet Kaspersky sein eigenes Zertifikat und die Bibliothek des Open Source Toolkits für SSL/TLS-Verschlüsselung OpenSSL.

Hat nun OpenSSL eine Sicherheitslücke, wie das u. a. bei Heartbleed, Poodle und FREAK der Fall war, dann wirkt sich bei der entsprechenden Kaspersky-Konfiguration diese Sicherheitslücke auch mehr oder weniger kritisch auf jegliche verschlüsselte Browser-Nutzung des entsprechenden PC aus (auch wenn das KL nur in den seltensten Fällen zugibt).

Kaspersky wäre also gut beraten möglichst zeitnah die jeweils neueste OpenSSL-Bibliothek auch in seinen Produkten zu implementieren. Leider hat man offensichtlich in Moskau ein anderes Verständnis - oder für die Verschwörungstheoretiker, vielleicht haben auch Dritten ein Interesse daran, dass Kaspersky nicht zeitnah solche Sicherheitslücken schließt.

 

Die Freak-Sicherheitslücke (VCVE-2015-0204) in OpenSSL wurde im Oktober 2014 an deren Entwicklerteam gemeldet und am 8. Januar 2015 in der OpenSSL Version 1.0.1k behoben.

KAV/KIS2014 verwendet die OpenSSL-Bibliothek 1.0.1g und KAV/KIS/KTS 15.0.2.361 wird mit der Version 1.0.1i ausgeliefert. Beide sind u. a. anfällig für FREAK. Ob bei der Version 2015 durch ein Update/Patch/Hotfix mittlerweile eine sichere OpenSSL-Bibliothek verwendet wird, kann ich nicht sagen, da ich nur KIS 2014 verwende.

 

Wer es genau wissen möchte, kann das selber relativ einfach über die Datei-Inforamtionen zu

...\Program Files (x86)\Kaspersky Lab\Kaspersky...\libeay32.dll prüfen.

Bei KAV/KIS2014 ist die Dateiversion 1.0.1.7 mit der (OpenSSL-)Produktversion 1.0.1g; bei 15.0.2.361 ist es Dateiversion 1.0.1.9; Produktversion 1.0.1i. Wie gesagt, durch ein Update könnte hier eine neuere Version verwendet werden bzw. sollte spätestens mit dem Hotfix b kommen, ansonsten ist Kaspersky absolut unglaubwürdig.

 

Ebenso lässt sich die Browser-Sicherheit auch durch folgende Web-Dienste, jeweils mit und ohne "sichere Verbindungen untersuchen" in KAV/KIS/KTS, prüfen:

 

https://freakattack.com/clienttest.html Dieser, bereits in Post #4 erwähnt Link, hat allerdings den Nachteil, dass bei, in Kaspersky aktivierter Untersuchung von sicheren Verbindungen, nicht mit jedem Browser vollständige Informationen als Ergebnis angezeigt werden.

Besser finde ich https://www.ssllabs.com/ssltest/viewMyClient.html. Hier bekommt man im Ergebnis wesentlich mehr an sicherheitsrelevanten Details geliefert und kann auch gleich potentiell viel kritischere Probleme durch die OpenSSL-Bibliothek bei Kaspersky erkennen. Firefox sperrt in der Standard-Konfiguration SSL3.0; beim IE kann man SSL3.0 manuell unterbinden. Verwendet man nun in Kaspersky "sichere Verbindungen untersuchen", sind wieder alle Browser für SSL3.0 "offen". Auch toll!

 

Und wer sich dafür interessiert, was denn an Sicherheitslücken zwischen der bei KAV/KIS/KTS verwendeten OpenSSL-Bibliothek und der neuesten von OpenSSL veröffentlichten Version geschlossen wurde, findet hier eine einfache Zusammenfassung oder kann es auch im Original auf www.openssl.org nachlesen.

 

Die neueste OpenSSL-Bibliothek ist vom 19. März 2015. Eigentlich sollte man erwarten dürfen, dass diese 6 Wochen nach erscheinen auch in den noch unterstützten Kaspersky-Produkten auftaucht.

 

Fazit: Vielleicht ist es nun verständlich, dass in den Kaspersky-Produkten standardmäßig "sichere Verbindungen untersuchen" nicht aktiv ist - auch wenn dadurch wesentliche, beworbene Funktionen von u. a. WebAV, MailAV nicht gegeben sind.

 

Share this post


Link to post
Ob bei der Version 2015 durch ein Update/Patch/Hotfix mittlerweile eine sichere OpenSSL-Bibliothek verwendet wird, kann ich nicht sagen, da ich nur KIS 2014 verwende.

OpenSSL wurde bisher nicht aktualisiert, dies dürfte erst mit dem erwähnten Patch B für Version 15.0.2.361 erfolgen.

 

Verwendet man nun in Kaspersky "sichere Verbindungen untersuchen", sind wieder alle Browser für SSL3.0 "offen".

Meines Wissens wird SSL 3 in Version 15.0.2.361 nicht mehr verwendet.

Share this post


Link to post
...

Bei KAV/KIS2014 ist die Dateiversion 1.0.1.7 mit der (OpenSSL-)Produktversion 1.0.1g; bei 15.0.2.361 ist es Dateiversion 1.0.1.9; Produktversion 1.0.1i. Wie gesagt, durch ein Update könnte hier eine neuere Version verwendet werden bzw. sollte spätestens mit dem Hotfix b kommen, ansonsten ist Kaspersky absolut unglaubwürdig.

...

Der gegenwärtig im Beta-Test stehende Patch b für die Produktversion 15.0.2.361 enthält die Datei libeay32.dll in der Version V1.0.1.12 (V1.0.1l). Damit sollte die FREAK-Schwachstelle bereinigt sein.

 

An Kurt S: Ich danke ausdrücklich für die umfassende und verständliche Erläuterung. :)

 

Share this post


Link to post
Der gegenwärtig im Beta-Test stehende Patch b für die Produktversion 15.0.2.361 enthält die Datei libeay32.dll in der Version V1.0.1.12 (V1.0.1l). Damit sollte die FREAK-Schwachstelle bereinigt sein.

Mehr als 2 Wochen sind ins Land gezogen und zur Verfügbarkeit von Patch b ist es erstaunlich ruhig geworden. Bezüglich der verwendeten openSSL-Bibliothek ist das vielleicht sogar positiv zu sehen, denn sollte der Patch b wirklich mit einer libeay32.dll Version 1.0.1l kommen, wäre diese hoffnungslos veraltet und aus Sicherheitsgründen absolut indiskutabel, denn ab heute wird über LogJam diskutiert.

 

Vermutlich wird das noch eine längere Zeit so weiter gehen. Wer seinen PC durch ein Kaspersky-Produkt nicht unnötig unsicher machen möchte, sollte auf die "Untersuchung von sicheren Verbindungen" und den vermeintlich "Sicheren Zahlungsverkehr" besser verzichten, solange KL in Moskau nicht endlich in die Hufe kommt und zeitnah Updates zur verwendeten OpenSSL-Bibliothek liefert.

 

Share this post


Link to post
... denn ab heute wird über LogJam diskutiert.

N'Abendt Kurt,

 

ergänzend verweise ich auf die beiden in deutscher Sprache abgefassten Artikel bei Heise.de --> http://www.heise.de/newsticker/meldung/Log...et-2657502.html (obwohl in deutscher Sprache für einen Heimanwender nicht wirklich verständlich) sowie SPON --> http://www.spiegel.de/netzwelt/web/logjam-...-a-1034720.html. In dem SPON-Artikel ist eine Seite --> https://weakdh.org/ verlinkt, die anzeigt, ob der Internetbrowser, den man gerade verwendet, über einen solchen Angriff angreifbar wäre. Die auf unseren häuslichen Systemen installierten Versionen des IE 11 zeigen hier ein beruhigendes Grün, während Chrome in der aktuellen Version (noch) auf Rot springt.

 

Ebenfalls breit dikutiert werden dürfte zukünftig die hier --> http://www.heise.de/newsticker/meldung/Kri...rn-2655271.html dargestellte Lücke auf einer Vielzahl von Routern verschiedener Hersteller.

 

Bye.

KM

Edited by KleinerMuck

Share this post


Link to post

Hi KleinerMuck,

danke für Deine hilfreichen Ergänzungen zu den deutschen Artikel. Ja, der IE11 wurde letzte Woche von Microsoft diesbezüglich schon gepatcht und Firefox, Chrome etc. folgen sicher in den nächsten Tagen.

Nur nützt dieses leider gar nichts, wenn Du in Deinem KAV/KIS/KTS die Untersuchung von "sicheren Verbindungen" aktivierst. Dann ist auch Dein IE11 sofort wieder Rot. Alle, die hier auf die optionalen (vermeidlichen) zusätzlichen Sicherheitsfunktionen von Kaspersky-Produkten vertrauen, sind die Dummen.

 

Wie gesagt, solche Sicherheitslücken wird es noch länger (oder immer) geben. Traurig ist halt nur, dass man zu solchen Sicherheitsproblemen in Moskau eine sehr "eigene" Auffassung hat. Wenn ich die Problemlösungszeit bzgl. Freak in KIS 2015 (ca. 6 Monate) auf nun LogJam hochrechne, wird es Weihnachten. Eine Erklärung von KL, warum das die eigenen Produkte nur in 1:1.000.000.000 Fällen betrifft, wird es jedoch vermutlich noch diese Woche geben. Besser wäre deren Marketing-Abteilung würde einfach mal die Füße still halten und dafür die Entwickler eine Woche nach dem erscheinen von OpenSSL Version 1.0.1n oder besser 1.0.2b, einen neuen Patch in den Beta-Trial geben.

 

Nix für unguat ... und hier kann man das noch posten. Im Englischen Teil des Forums würde so ein Thread von den sehr bemühten Moderatoren umgehend geschlossen werden.

 

Kurt

 

Share this post


Link to post
[...] ... und hier kann man das noch posten. Im Englischen Teil des Forums würde so ein Thread von den sehr bemühten Moderatoren umgehend geschlossen werden.

 

Kurt

Are you sure about that?

 

You can still post in the Freak topics in the En and Italian forums, too. :)

 

Freak: En: http://forum.kaspersky.com/index.php?showtopic=318145

 

Freak: Italian: http://forum.kaspersky.com/index.php?showtopic=318191

 

As far as I know, these topics were never closed; they have always remained open. :)

Share this post


Link to post
...

Die Lücke besteht (Beitrag 18 Detallierte Erklärung Ihrer) so lange noch, bis der Patch b kommt. Mitte Mai wurde er angekündigt (Post 21) und wieder verschoben(Gründe unbekannt) auf Juni.

Diese Aussage trifft nur auf die Schwachstelle FREAK zu. Inzwischen ist, wie Kurt S. im Beitrag #22 dargelegt hat, die neue Schwachstelle LogJam die Achillesferse von OpenSSL. Um dagegen gewappnet zu sein, müsste in den Kaspersky-Produkten die Programmbibliothek libeay32.dll mindestens in der bereits verfügbaren Version V1.0.1m eingebunden sein.

 

Ich würde gerne hoffen, dass die offenbar geplante Verschiebung des Patches b auf Mitte Juni der Behebung der Schwachstelle LogJam dient.

 

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.