Kaspersky dziękuje niezależnym badaczom za zgłoszenie kilku błędów w produktach firmy
Dzięki niezależnym badaczom bezpieczeństwa wyeliminowaliśmy kilka problemów w działaniu produktów Kaspersky .
Jesteśmy producentem oprogramowania. Oznacza to, że jesteśmy (jeszcze) ludźmi i jak wszyscy popełniamy błędy. Na całym świecie nie ma takiego producenta oprogramowania, którego produkty są wolne od błędów czy luk. Mówiąc w skrócie: błędy się zdarzają i nie jest to nic nadzwyczajnego.
Poszukiwacze luk poszukiwani
Gdy ktoś nie próbuje znaleźć i wyeliminować luk w swoich produktach, postępuje nieodpowiedzialnie. My jako firma Kaspersky mocno się pochylamy nad takimi kwestiami. W trakcie kilku etapów testów wewnętrznych eliminujemy większość luk w naszych produktach, a ponadto prowadzimy skrupulatny program testów beta, w którym udział bierze wiele osób (w tym nasz oddany Kaspersky Club). Zaimplementowaliśmy też cykl bezpiecznego rozwoju produktów. Wszystko to pomaga nam minimalizować liczbę błędów i luk, jakie mogłyby się w nich pojawić.
Mimo naszych starań nadal zdarza się, że małe błędy pozostają — i żaden program na świecie nie jest od nich wolny na tym etapie. Dlatego nie tylko monitorujemy je po oficjalnym udostępnieniu dla użytkowników, ale także zachęcamy niezależnych badaczy do analizowania ich i zgłaszania ewentualnych podatności. W tym celu uruchomiliśmy nasz program bug bounty w ramach inicjatywy HackerOne, w którym za zgłoszenie luk oferujemy nagrody wysokości nawet 100 tys. dolarów. Z kolei badaczom uczestniczącym w projekcie Disclose.io dajemy wolność działania. Zachęcamy wszystkich badaczy do ujawniania nam zidentyfikowanych błędów czy luk.
Dziś dziękujemy Władimirowi Palantowi, niezależnemu badaczowi bezpieczeństwa, który poinformował nas o kilku lukach w niektórych naszych produktach. Teraz opiszemy wykryte przez niego podatności oraz sposób, w jaki je wyeliminowaliśmy, a także aktualny stan naszych rozwiązań.
Znalezione i wyeliminowane
Aby zapewnić bezpieczne połączenie z internetem, czyli m.in. blokować reklamy oraz narzędzia śledzące, a także ostrzegać o szkodliwych wynikach wyszukiwania, używamy rozszerzenia przeglądarki. Oczywiście nie trzeba go instalować, a w takiej sytuacji nasza aplikacja nie pozbawi Cię ochrony podczas korzystania z internetu. Jeśli jednak produkt firmy Kaspersky zorientuje się, że rozszerzenie nie zostało zainstalowane, będzie wstrzykiwać skrypty w odwiedzane strony internetowe, aby je monitorować pod kątem potencjalnych zagrożeń. W takich przypadkach ustanawiany jest kanał komunikacji pomiędzy skryptem a rozwiązaniem ochronnym.
Wykryty przez Palanta błąd leżał w kanale komunikacji. W teorii, gdyby ktoś zaatakował taki kanał, mógłby go użyć do sterowania aplikacją. Opisywany błąd dotyczył rozwiązania Kaspersky Internet Security 2019 i został nam zgłoszony w grudniu 2018 roku w ramach programu bug bounty. Natychmiast rozpoczęliśmy prace nad wyeliminowaniem go.
Innym problemem zgłoszonym przez wspomnianego badacza była możliwość potencjalnego wykorzystania kanału komunikacji pomiędzy rozszerzeniem przeglądarki a produktem, na przykład w celu uzyskania dostępu do ważnych danych, takich jak identyfikator produktu rozwiązania bezpieczeństwa firmy Kaspersky, wersja produktu czy systemu operacyjnego. Oczywiście ten błąd również wyeliminowaliśmy.
Z kolei Ronald Eikenberg z magazynu c’t wykrył lukę, która ujawniała unikatowe identyfikatory stronom internetowym odwiedzanym przez użytkowników produktów firmy Kaspersky. Naprawiliśmy ten błąd w lipcu, a w sierpniu aktualizacja była już obecna na wszystkich produktach. Później Palant znalazł inną, podobną lukę, która została wyeliminowana w listopadzie 2019 r.
Dlaczego używamy tej technologii
Używanie takich skryptów nie jest wcale takie rzadkie w świecie antywirusów, chociaż nie każdy producent stosuje tę technologię. Wstrzykiwanie skryptów stosujemy wyłącznie wtedy, gdy użytkownik nie włączy naszego rozszerzenia w przeglądarce. Oczywiście zalecamy korzystanie z tego rozszerzenia, lecz jeśli zrezygnujesz z niego, nadal będziemy robić, co w naszej mocy, aby zapewnić Ci bezproblemowe korzystanie z internetu oraz stosowną ochronę.
Skrypty te nie tylko blokują niechciane banery, ale także chronią użytkowników przed atakami poprzez dynamiczne strony internetowe, które nie mogłyby zostać wykryte po wyłączeniu rozszerzenia Kaspersky Protection. Co więcej, skrypty te są wykorzystywane w działaniu takich elementów jak ochrona przed phishingiem czy kontrola rodzicielska.
Dzięki Władimirowi Palantowi mogliśmy znacząco zwiększyć poziom zabezpieczenia kanału komunikacji pomiędzy skryptami (lub wtyczką) i samą aplikacją.
Współpraca to podstawa
Na tę chwilę wszystkie wykryte luki zostały wyeliminowane, a powierzchnia ataku mocno ograniczona. Nasze produkty są bezpieczne bez względu na to, czy używa się ich z włączonym rozszerzeniem przeglądarki Kaspersky Protection.
Dziękujemy każdej osobie, która pomaga nam w wykrywaniu błędów w naszych produktach — to właśnie dzięki Wam nasze rozwiązania są najlepsze, co udowadniają różne niezależne laboratoria testowe. Zachęcamy wszystkich badaczy bezpieczeństwa do uczestnictwa w naszym programie bug bounty.
Nic nie jest absolutnie bezpieczne, lecz dzięki współpracy z badaczami bezpieczeństwa, eliminowaniu luk bez zbędnej zwłoki i nieustannemu ulepszaniu naszych technologii możemy zaoferować naszym użytkownikom najsilniejszą ochronę na rynku.
