Testes independentes mostram que o Avast fornece a melhor proteção HTTPS do mercado

Todos os dias, 50.000 novos endereços URLs de sites protegidos por HTTPS são detectados e bloqueados. Pesquisadores da Concordia University em Montreal, Canada, testaram 14 programas antivírus que oferecem o escaneamento HTTPS e descobriram que estes programas criam mais problemas de segurança do que realmente resolvem.

Houve apenas uma exceção: o Avast. O único problema mencionado no estudo que eles fizeram foi a falta de verificação de certificados revogados, que foi introduzido no mercado em novembro de 2015 e já foi solucionado nos produtos Avast 2016.

Mas vamos voltar um passo atrás. O que é o escaneamento HTTPS? Por que ele é necessário e por que faz sentido utilizá-lo se parece que está trazendo outros problemas de segurança em vez de proteger o usuário?

Queríamos saber mais sobre isto e por isso perguntamos ao nosso colega Lukas Rypacek, Diretor da Plataforma Windows do Avast.

Lukas, os sites HTTPS na internet são criptografados, portanto, eles já não são seguros? Por que os antivírus têm de escanear os sites HTTPS?

De fato, o "S" no protocolo "HTTPS" significa "seguro". O fato de que um site utilize o protocolo HTTPS significa que a conexão entre o navegador do usuário e o servidor do site é criptografada. Isto significa que o seu navegador e o servidor são os únicos que podem ver as atividades e os dados que você fornece ao site. Pense que seria como enviar uma carta dentro de um envelope fechado de forma que o conteúdo não pode ser visto por outras pessoas. Assim como uma carta fechada não pode ser lida pelo carteiro, a sua comunicação com um site HTTPS criptografado não pode ser vista por hackers que poderiam querer roubar, por exemplo, o número do seu cartão de crédito. O HTTPS também ajuda o navegador a verificar a identidade do servidor e que você veja se o site que está visitando realmente pertence ao seu banco ou ao seu blog favorito, por exemplo. Isto é feito com a ajuda dos chamados "certificados".

Contudo, a criptografia não ajuda muito se você, na prática, não está se conectando ao seu blog favorito com HTTPS habilitado, mas a um novo site que você acaba de descobrir fazendo uma pesquisa no Google. Você ainda pode ver que está se comunicando com um site através de uma conexão criptografada, mas isto não diz muita coisa, já que você talvez não saiba se o site do outro lado da rede é de um jornal ou de um hacker esperando que você digite os seus dados para roubá-los. É ainda mais problemático quando o seu site favorito é alvo de hackers. Até os proprietários descobrirem e consertarem o problema, malwares estão sendo disseminados por estes sites aparentemente confiáveis. Nestes casos, a criptografia não ajuda a sua segurança: mesmo com o seu desejo de permanecer invisível ao mundo exterior, isto não irá lhe proteger de malwares.

Portanto, você pode ser infectado por um vírus se visitar um site HTTPS?

Sim. À medida em que mais e mais serviços online estão partindo para o HTTPS, os ataques sobre a plataforma HTTPS também estão crescendo. Hoje em dia, cerca de 30% de todo o tráfego web está sendo executado em HTTPS. Quando os hackers são bem sucedidos no ataque a um site confiável e conseguem injetar um script malicioso ou um malware que pode ser baixado destas páginas, os usuários irão se infectar tanto em HTTP quanto em HTTPS.

Além disso, há alguns anos, o HTTPS era usado principalmente por grandes corporações como, por exemplo, os bancos. Era um tanto quanto caro e difícil obter um certificado TLS/SSL para criptografar o tráfego online. Para os criadores de malwares, não valia a pena comprar o certificado para hospedar o seu site, já que os usuários estavam felizes e contentes em usar apenas o HTTP. Agora isto mudou e qualquer pessoa que possua um domínio pode conseguir gratuitamente um certificado TLS/SSL. Alguns serviços como o Letsencrypt.org tornam o processo acessível a qualquer pessoa.

Por isso é que ficou mais atrativo para os cibercriminosos. Ainda que seja difícil para eles se fazerem passar por um site de um banco, eles podem criar sites que se parecem a sites de download legítimos, mas que contém conteúdo malicioso.

Com que frequência os sites HTTPS contêm conteúdo malicioso ou infectado?

O Avast detecta e bloqueia em média 50.000 novos endereços HTTPS por dia! A cada mês, o Avast protege cerca de 3,2 milhões de usuários de baixarem malware ou acessarem sites que distribuem malware usando HTTPS.

Como os antivírus fazem para escanear as conexões HTTPS? Como é possível fazer isto se a conexão é criptografada?

O Avast é executado na mesma máquina que o navegador. Ele está esperando que o navegador se conecte a um site HTTPS e inicie o processo conhecido como "aperto de mão" (handshake), que é o primeiro passo da comunicação HTTPS entre o navegador e o servidor onde o site está hospedado. O servidor, e em alguns casos o computador do usuário, fornece um certificado que permite que o navegador determine se a conexão é ou não confiável. Quando isto ocorre, o Módulo Internet do Avast assume o controle em nome do navegador e se conecta ele mesmo ao servidor. É o Módulo Internet do Avast quem se conecta com o servidor através da internet e baixa o tráfego criptografado. O Avast descriptografa o tráfego, escaneia em busca de vírus e envia tudo ao navegador original que pode ser o Internet Explorer, o Chrome, o Firefox ou o Ópera.

Os navegadores constantemente tentão melhorar a lista de verificações executadas nas conexões HTTPS com certificados TLS/SSL. De acordo com este estudo, há muitos programas de antivírus que cometem erros. O usuário não está jogando fora todas aquelas melhorias de segurança dos navegadores?

Não, não necessariamente. Esta é uma das coisas importantes que os pesquisadores da Concordia University testaram: como os vários programas anti-malware executavam na prática e se a segurança era aumentada ou diminuída. A equipe do Avast coloca todos os seus esforços por executar exatamente todos os detalhes como se fosse o navegador. Isto dá ao navegador a oportunidade de fazer a maioria das suas checagens mesmo depois de o Avast ter escaneado os dados.

Quando o servidor disponibiliza o seu certificado, o Módulo Internet do Avast verifica também a Loja de Certificados do Windows, que é uma lista oficial de certificados confiáveis que os navegadores também usam. O Avast replica todos os atributos do certificado original ao navegador (como a sua data de expiração ou o tipo de algoritmo de criptografia), além de replicar cuidadosamente toda a criptografia e versões dos protocolos TLS/SSL. É exatamente neste ponto que o estudo louva o Avast e também onde mostra que nem todos os antivírus são cuidadosos neste desafio.

O estudo também menciona que quatro produtos são vulneráveis ao processo de impersonificação total do servidor sob ataque man-in-the-middle (MITM). O que é isto? O que isto significa para a segurança do usuário?

Como mencionamos antes, o HTTPS permite que o navegador verifique se a outra parte na conexão é realmente quem ela diz ser ou, dito de forma mais simples, verifica se o site é realmente o do banco que você acaba de entrar. Isto é feito verificando o certificado enviado pelo servidor, os seus atributos, o nome do site, as datas de validade e a autoridade que assina o certificado. O pior dos casos é quando o antivírus não faz nada disso. Surpreendentemente, é o que aconteceu com alguns escâners HTTPS que foram testados em alguns casos especiais (por exemplo, quando a licença do antivírus pago expirou). Essa omissão permite que qualquer um possa invadir a comunicação do servidor com o cliente (por exemplo, um cara perto de você na cafeteria...) e se faça passar por um site como o seu banco ou o seu webmail. Neste caso, toda a criptografia é inútil. Voltando à comparação da carta e do envelope, é como se o carteiro trouxesse cartas que foram abertas e depois fechadas, e você as recebe sem se preocupar com nada.

Contudo, o estudo mostra que vários antivírus "também enganam os navegadores para faze-los pensar que uma conexão TLS é mais segura do que realmente é, por exemplo, quando artificialmente atualiza a versão TLS do servidor no computador do usuário". Como isto pode tornar as soluções ainda mais vulneráveis? Como o Avast soluciona este problema?

O Avast (e outras suítes anti-malware) é executado no mesmo computador do navegador e ao mesmo tempo ele permite a comunicação deste com o servidor utilizando o protocolo HTTPS (TLS/SSL). Isto é assim não por uma medida de segurança, mas para dar ao navegador o gostinho de uma conexão real. Quando o programa anti-malware "melhora" a versão do protocolo TLS, ou a criptográfica, ou utiliza um certificado mais confiável do que a conexão original, o navegador irá erroneamente considerar a conexão como segura e irá atuar em consequência, quando, na realidade, a reação correta do navegador seria mostrar uma tela de alerta.

algum problema que ainda reste ao Avast ou coisas que você queria melhorar no futuro?

Estamos constantemente aprimorando o escâner HTTPS do Módulo Internet do Avast. O estudo mostrou que o Avast falhou ao verificar certificados revogados (expirados) no momento do teste. Isto era verdade há um ano, mas já corrigimos este problema no Avast 2016 (que foi lançado em novembro de 2015) e agora já estamos verificando corretamente a revogação dos certificados através de vários métodos (CRL, OSCP e OSCP stapling). Para os usuários do Chrome e do Firefox, lançamos uma nova forma de escanear o tráfego, muito mais leve e que é até mais transparente, permitindo que o navegador empregue o melhor das suas verificações internas de segurança. Esta atualização segue as sugestões do próprio estudo. Continuaremos a lançar melhorias nas próximas versões do Avast.

Por fim, é preciso dizer que o estudo recém-publicado incluiu dados dos produtos da linha 2015. Assim como nós melhoramos o nosso escâner HTTPS na versão Avast 2016, outros produtos também devem ter otimizado as suas funções neste período.

Fonte: blog.avast.com