자유광장
다른분들과 자유롭게 소통할 수 있습니다. 질문이나 조언을 구하는 글은 [물어보기]를 이용해주세요.
조회 수 156 추천 수 0 댓글 3
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 댓글로 가기
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기

https://www.xetown.com/alley/129309

 

여기서 SSL 감시기능 하니까 생각나는게

 

지금 어베스트 무료버전 사용중인데 브라우저에서 인증서 정보 보기 누르면

 

발급자에 다음과 같이 뜹니다

 

CN = avast! Web/Mail Shield Root
O = avast! Web/Mail Shield
OU = generated by avast! antivirus for SSL/TLS scanning

 

이것도 SSL 감시기능인가요?

 

그리고 광고차단용으로 Adguard 윈도우용 및 안드로이드용 쓰는데

 

윈도우는 잘 모르겠고 안드로이드용은 https 광고 차단을 위해서 https 필터링 기능을 사용하는 옵션이 있는데

 

해당 옵션을 켜기 위해서는 핸드폰의 인증서 저장소에 Adguard가 제공하는 루트 인증서를 설치해야 합니다

 

그리고 브라우저에서 인증서 정보를 확인해 보면 발급자가 Adguard Personal CA로 나오네요

 

일단 해당 앱의 설명이나 https://blog.adguard.com/en/adguard-for-android-25-official/ 같은걸 보면 당연히 안전하다고 나오긴 하는데

 

좀 찝찝하긴 하네요

  • profile
    기진곰 2016.11.17 22:35:33

    저런 거 개발하는 사람들은 당연히 안전하다고 주장하지만 실제로는 개 쓰레기 변태같은 기능인 경우가 많습니다. 대표적인 사례로 예전에 레노버에서 모든 PC에 기본으로 탑재했다가 논란이 되었던 SuperFish라는 악성코드가 있었고요, 백신에서 제공하는 기능도 믿지 않는 것이 좋습니다.

     

    간단히 말해서 중간자 공격입니다. 방문하려는 사이트의 내용을 복호화해서 검사한 후 자기가 발급한 인증서로 다시 암호화해 주는 거예요. 보통 이렇게 인증서를 바꿔치기하면 시뻘건 보안 경고가 뜨게 마련이지만... 자기가 발급한 인증서는 무조건 신뢰하도록 O/S 설정이나 브라우저 설정을 바꿔버리기 때문에 경고가 뜨지 않습니다.

     

    문제는 실제로 경고가 떠야 하는 상황에서도 경고가 안 뜰지도 모른다는 점입니다. 정말로 제3자가 중간자 공격을 시도하고 있거나 원본 인증서에 문제가 있을 때 Adguard나 백신이 최신 브라우저만큼 정확하게 그 사실을 파악하고, 브라우저에서도 똑같은 오류가 보이도록 일부러 오류가 있는 인증서를 만들어 바꿔치기해 줄 수 있냐는 거죠. 자기가 발급한 인증서를 브라우저가 신뢰하도록 설정하는 건 쉽지만, 그런 설정에도 불구하고 특정 사이트에서만 오류가 뜨도록 만드는 것은 쉽지 않습니다. 자칫하면 보호가 필요없을 때는 잘 작동하다가 보호가 필요한 바로 그 순간에 무용지물이 되고 맙니다.

  • ?
    기븐 2016.11.17 22:49:13
    http://security.stackexchange.com/questions/73476/why-is-avast-web-mail-shield-root-listed-as-ca-for-google-com

    일단 이걸 보니까 멀웨어를 https로 전송할 경우 저게 없으면 실제로 바이러스를 다 다운받기 전까지는 AV가 검사를 할 수가 없어서 위험하다고 하는데, 이 문제에 대해서는 어떻게 생각하시나요?

    물론 가장 좋은건 당연히 이상한거 자체를 안 받는 것이긴 합니다만.. 주의한다고 해도 보통 어쩌다가 받게 되기도 하니 말이죠

    그리고 adguard 광고차단 문제는, 저걸 안 쓰면 https로 광고를 제공하는 유튜브나 페이스북 트위터 등등에서 광고를 차단할 수 없다던데

    위험성을 생각해보면 그냥 광고 몇개 좀 보고 마는게 낫겠네요. 뭐 일단 설명을 보면 기본적으로 화이트리스트 방식으로 되어 있고 화이트리스트에 수많은 뱅킹/금융사이트들을 등록해놔서 중요한 개인정보를 다루는 사이트 접속시 필터링을 끄도록 되어 있긴 하더군요.
  • profile
    기진곰 2016.11.17 23:13:29

    다운받고 나서 검사하면 안되는 이유가 있나요? 바이러스는 실행만 안 하면 되는데...

    어베스트 같은 경우엔 인증서 보안에 좀 신경을 써주긴 합니다. 잘못된 인증서를 사용하는 사이트에 접속하면 일부러 오류가 있는 인증서를 브라우저에 전달해 준다고 하네요.

    https://security.stackexchange.com/questions/82285/are-the-certificates-from-skype-click-to-call-and-avast-web-mail-shield-any/82306

    물론 그 밑에 댓글 쓴 분들이 지적한 것처럼, 크롬은 인증서 신뢰 범위를 일반적인 기준보다 더 엄격하게 제한하기 때문에 어베스트에서 아무리 애를 써도 크롬의 보안 수준을 따라오지 못할 가능성이 높습니다. 광고 차단 어플처럼 보안 전문가들이 만들지 않은 물건은 더더욱 그렇고요.

    광고 차단은 개인적으로 uBlock Origin을 선호합니다. 최대한의 효과를 내면서도 쓸데없는 짓을 안 해서 좋더군요 ㅎㅎ


서버에 요청 중입니다. 잠시만 기다려 주십시오...