La seguridad en los productos de seguridad: solucionado

Gracias a los investigadores de seguridad independientes, hemos solucionado varios problemas de seguridad, protegiendo a los clientes de forma automática.

Somos desarrolladores de software. Lo que significa que somos humanos (al menos hasta ahora). Y todos los humanos se equivocan. Por ello no encontrarás a ningún desarrollador de software en todo el mundo cuyos productos no contengan taras o errores. En pocas palabras: los errores existen, son algo normal.

En busca de los errores

Lo que no es normal es que no se intenten buscar y solucionar estos errores. Por ello en Kaspersky nos esforzamos enormemente en este ámbito. Eliminamos la mayoría de las vulnerabilidades de nuestros productos durante varias etapas de pruebas internas y contamos con un programa de pruebas en el que participan muchas personas (incluido nuestro querido Kaspersky Club). Además, también hemos implementado el ciclo de desarrollo seguro. Todo esto ayuda a minimizar el número de errores y vulnerabilidades.

No obstante, no importa lo rigurosas que sean las medidas, siempre se cuela algún error, por muy pequeño que sea. De hecho, ningún producto de software del mundo puede librarse por completo de ellos durante la etapa preventiva. Por ello, no solo continuamos supervisándolos atentamente después de nuestros lanzamientos, sino que también animamos a los investigadores independientes a que analicen nuestros productos y nos informen. Esto incluye la creación de nuestro programa bug bounty junto con HackerOne, que ofrece una recompensa de hasta 100.000 euros por la denuncia de errores, y la creación de un Safe Harbor para los investigadores con Disclose.io. Invitamos a todos los investigadores a divulgar, independientemente del canal de comunicación, cualquier error o vulnerabilidad que encuentren en nuestros servicios.

Por ello, hoy queremos agradecer a Wladimir Palant, un investigador de seguridad independiente, por informarnos sobre varias vulnerabilidades en algunos de nuestros productos. A continuación, os contamos los errores que descubrió Palant, cómo los solucionamos y cuál es el estado actual de nuestros productos.

Descubiertos y solucionados

Para ofrecer una conexión segura a Internet, que incluya el bloqueo de anuncios y rastreadores y que te avise de los resultados de búsqueda maliciosos, utilizamos una extensión de navegador. Evidentemente, es posible que te niegues a instalar esta (o cualquier otra) extensión. Pero nuestra aplicación no te dejará sin protección en Internet, por lo que, si percibe que la extensión no está instalada, inyectará scripts en las páginas web que visites para supervisar las amenazas potenciales. En estos casos, se establece un canal de comunicación entre el script y el cuerpo de la solución de seguridad.

La mayor parte de las vulnerabilidades que descubrió Palant se encontraban en este canal de comunicación. En teoría, si un adversario atacara este canal, esto se podría utilizar para controlar la aplicación principal. Palant descubrió el problema que afectaba a Kaspersky Internet Security 2019 en diciembre del 2018 y nos informó mediante el programa bug bounty. Comenzamos a trabajar para solucionar el problema de inmediato.

Otro de los descubrimientos de Palant fue un exploit potencial que utilizaba el canal de comunicación entre la extensión del navegador y el producto para acceder a datos importantes como la versión de producto y de sistema operativo y el ID de producto de una solución de seguridad de Kaspersky. También solucionamos este problema.

Por último, Ronald Eikenberg de la revista c’t descubrió una vulnerabilidad que divulgaba los identificadores únicos a los sitios web que visitaban los usuarios de los productos de Kaspersky. También arreglamos esto en julio y en agosto ya había llegado a todos nuestros usuarios. Después Palant descubrió otra vulnerabilidad del mismo tipo que hemos solucionado este noviembre del 2019.

¿Por qué utilizar esta tecnología?

Estos scripts no son una práctica poco común en el mundo de los antivirus; no obstante, no los utilizan todos los proveedores. En nuestro caso, utilizamos tecnología de inyección de script solo si no activas nuestra extensión de navegador. Te recomendamos que utilices la extensión. No obstante, aunque decidas no utilizarla, seguiremos poniendo todos nuestros esfuerzos para ofrecer una buena protección y experiencia de usuario.

Los scripts se utilizan principalmente para mejorar la experiencia del usuario (por ejemplo, ayudan a bloquear banners) pero, además, también protegen a los usuarios contra los ataques con páginas web dinámicas, que no se podrían detectar de otra forma si la extensión Kaspersky Protection está deshabilitada. Por otro lado, componentes como el antiphishing y el control parental dependen de los scripts para funcionar.

Gracias a Wladimir Palant, pudimos mejorar de forma considerable la protección del canal de comunicación entre los scripts o el complemento y la página principal.

Construyendo juntos

Ahora, todas las vulnerabilidades descubiertas se han cerrado y la superficie de ataque se ha estrechado considerablemente. Nuestros productos son seguros, ya los utilices con o sin la extensión de navegador Kaspersky Protection.

Queremos agradecer a todos los que nos han ayudado a descubrir errores en nuestros productos. En parte gracias a sus esfuerzos hemos conseguido que nuestras soluciones sigan siendo las mejores, como se ha demostrado en los diferentes laboratorios de pruebas independientes, por lo que invitamos a todos los investigadores de seguridad a participar en nuestro programa bug bounty.

Nada es del todo seguro. No obstante, trabajando de forma conjunta con los investigadores de seguridad, poniendo solución a las vulnerabilidades lo antes posible y mejorando constantemente nuestras tecnologías podemos ofrecer a nuestros usuarios la protección más fuerte del mercado contra todas las posibles amenazas.

Consejos