Beveiliging in beveiligingsproducten – opgelost

Dankzij onafhankelijke beveiligingsonderzoekers hebben we verschillende beveiligingsproblemen opgelost, waardoor klanten automatisch beschermd worden.

Wij zijn software-ontwikkelaars. Wat betekent dat we mensen zijn (vooralsnog). En mensen maken fouten. Daarom zult u op de hele wereld geen software-ontwikkelaar vinden wiens producten geen gebreken of fouten bevatten. Simpel gezegd: bugs gebeuren. Dat is normaal.

Bug-busters gezocht

Wat niet normaal is, is om deze bugs niet proberen te vinden en op te lossen. Daarom doen we bij Kaspersky ons uiterste best om dat wel te doen. We elimineren de meeste kwetsbaarheden in onze producten tijdens verschillende interne testfases, en we hebben een zeer grondig bèta-testprogramma waar veel mensen bij betrokken zijn (inclusief onze toegewijde Kaspersky Club). We hebben ook de beveiligde ontwikkelingscyclus geïmplementeerd. Dat alles helpt ons om het aantal bugs en kwetsbaarheden te minimaliseren.

Maar hoe grondig de voorzorgsmaatregelen ook zijn, er zijn altijd kleine bugs die erin slagen om producten binnen te sluipen — en er is geen enkel software-product ter wereld dat hier tijdens de preventieve fase volledig aan kan ontkomen. Daarom blijven we ze niet alleen continue en aandachtig monitoren na de uitgave, maar moedigen we tevens onafhankelijke onderzoekers aan om bugs op te sporen en aan ons te melden. Vandaar ook de creatie van ons bug bounty-programma samen met HackerOne, waarbij een beloning van tot $ 100.000 wordt aangeboden voor het melden van bugs, en het oprichten van een veilige haven voor onderzoekers met Disclose.io. We nodigen elke onderzoeker via elk soort communicatiekanaal uit om gevonden bugs of kwetsbaarheden bij ons te melden.

Dus vandaag willen we Wladimir Palant bedanken, een onafhankelijke beveiligingsonderzoeker die ons op de hoogte stelde van verschillende kwetsbaarheden in een aantal van onze producten. Nu schijnen we licht op de bugs die Palant ontdekte, hoe we ze hebben verholpen, en op de huidige staat van onze producten.

Gevonden en opgelost

Om een veilige internetverbinding te bieden, inclusief het blokkeren van ads en trackers en het waarschuwen over schadelijke zoekresultaten, gebruiken we een browser-extensie. U kunt natuurlijk weigeren om deze extensie te installeren (of welke extensie dan ook). Onze app laat u niet zonder bescherming op het internet achter, dus als de app merkt dat de extensie niet is geïnstalleerd, injecteert het scripts op de websites die u bezoekt om die te controleren op potentiële dreigingen. In zulke gevallen wordt er een communicatiekanaal ingesteld tussen het script en het beveiligingssysteem.

Het grootste deel van de kwetsbaarheden die Palant ontdekte, bevond zich in dit communicatiekanaal. In theorie zou dit kanaal, indien aangevallen door een kwaadwillende, gebruikt kunnen worden om de hoofd-app te besturen. Palant ontdekte dit probleem bij Kaspersky Internet Security 2019 in december 2018, en meldde het aan ons via het bug bounty-programma. We gingen meteen aan het werk met dit probleem.

Een andere ontdekking van Palant was een potentiële exploit die gebruikmaakte van het communicatiekanaal tussen de browserextensie en het product, bijvoorbeeld voor toegang tot belangrijke gegevens zoals het product-ID, de productversie en de versie van het besturingssysteem van de Kaspersky-beveiligingsoplossing. Dat hebben we ook opgelost.

Tenslotte ontdekte Ronald Eikenberg van c’t magazine een kwetsbaarheid.

die unieke ID’s vrijgaf aan websites die door gebruikers van Kaspersky-producten werden bezocht. Dat probleem losten we in juli op, en in augustus had deze oplossing al onze gebruikers bereikt. Palant ontdekte later nog een vergelijkbare kwetsbaarheid, en die werd in november 2019 verholpen.

Waarom die technologie gebruiken?

Het gebruik van scripts zoals hierboven beschreven is geen ongebruikelijke praktijk in de antivirus-wereld; maar niet elke vendor maakt er gebruik van. Wij gebruiken de script-injectie-technologie alleen als u onze browser-extensie niet inschakelt. We raden aan om deze extensie te gebruiken. Maar als u anders besluit, doen we nog altijd ons best om u een goede gebruikerservaring en bescherming te bieden.

De scripts worden voornamelijk gebruikt om de gebruikerservaring te verbeteren — ze helpen bijvoorbeeld om banners te blokkeren — maar daarnaast beschermen ze gebruikers ook tegen aanvallen met dynamische websites, die niet kunnen worden gedetecteerd als de Kaspersky Protection-extensie is uitgeschakeld. Ook componenten zoals anti-phishing en ouderlijk toezicht vertrouwen op deze scripts.

Dankzij Wladimir Palant konden we de bescherming van het communicatiekanaal tussen de scripts of de plug-in en de hoofd-app aanzienlijk verbeteren.

Samen bouwen

Voor nu zijn alle ontdekte kwetsbaarheiden gesloten, en de mogelijkheden tot aanvallen zijn significant verminderd. Onze producten zijn veilig, of u ze nu zonder of met de Kaspersky Protection-extensie gebruikt.

We willen iedereen bedanken die ons helpt met het vinden van bugs in onze producten. Het is mede dankzij hun inspanningen dat onze systemen nog altijd het beste zijn, zoals is bewezen door verschillende onafhankelijke testlaboratoria, en we nodigen alle beveiligingsonderzoekers uit om deel te nemen aan ons bug bounty-programma.

Niets is volledig veilig. Maar door samen te werken met beveiligingsonderzoekers, kwetsbaarheden zo snel mogelijk te verhelpen en onze technologieën continue te verbeteren, kunnen we onze gebruikers de sterkste beveiliging die er is aanbieden tegen alle mogelijke dreigingen.

Tips