Somos desarrolladores de software, lo cual significa que somos humanos (al menos hasta ahora). Y todos los humanos se equivocan. Por ello, no encontrarás a ningún desarrollador de software en todo el mundo cuyos productos no contengan defectos o errores. En pocas palabras: los errores (bugs) se dan, son algo normal.
Se buscan cazadores de errores
Lo que no es normal es que no se intenten buscar y solucionar estos errores. Por ello, en Kaspersky nos esforzamos enormemente en este ámbito. Eliminamos la mayoría de las vulnerabilidades de nuestros productos de seguridad durante varias etapas de pruebas internas y contamos con un programa de pruebas en el que participan muchas personas (incluido nuestro querido Kaspersky Club). Además, también hemos implementado el ciclo de desarrollo seguro. Todo esto ayuda a minimizar el número de errores y vulnerabilidades en los productos de seguridad.
No obstante, no importa lo rigurosas que sean las medidas, siempre se cuela algún error, por muy pequeño que sea. De hecho, ningún producto de software del mundo puede librarse por completo de ellos durante la etapa preventiva. Por ello, no solo seguimos inspeccionando los productos de seguridad y antivirus atentamente después de nuestros lanzamientos, sino que también animamos a los investigadores independientes a que analicen nuestros productos y nos informen. Esto incluye la creación de nuestro programa bug bounty junto con HackerOne, que ofrece una recompensa de hasta 100,000 euros por la denuncia de errores, y la creación de un Safe Harbor para los investigadores con Disclose.io. Invitamos a todos los investigadores a divulgar, independientemente del canal de comunicación, cualquier error o vulnerabilidad que encuentren en nuestros servicios.
Por ello, hoy queremos agradecer a Wladimir Palant, un investigador de seguridad independiente, por informarnos sobre varias vulnerabilidades en algunos de nuestros productos de seguridad. A continuación, te contamos los errores que descubrió Palant, cómo los solucionamos y cuál es el estado actual de nuestros productos.
Identificados y solucionados
Para ofrecer una conexión segura a Internet, que incluya el bloqueo de anuncios y rastreadores y que te avise de los resultados de búsqueda maliciosos, utilizamos una extensión de navegador. Evidentemente, es posible que te niegues a instalar esta (o cualquier otra) extensión. Pero nuestra aplicación no te dejará sin protección en Internet, por lo que, si percibe que la extensión no está instalada, inyectará scripts en las páginas web que visites para supervisar las amenazas potenciales. En estos casos, se establece un canal de comunicación entre el script y el cuerpo de la solución de seguridad.
La mayor parte de las vulnerabilidades de seguridad que descubrió Palant se encontraban en este canal de comunicación. En teoría, si un adversario atacara este canal, esto se podría utilizar para controlar la aplicación principal. Palant descubrió el problema que afectaba a Kaspersky Internet Security 2019 en diciembre del 2018 y nos informó mediante el programa bug bounty. Comenzamos a trabajar para solucionar el problema de inmediato.
Otro de los hallazgos de Palant fue un exploit potencial que utilizaba el canal de comunicación entre la extensión del navegador y el producto para acceder a datos importantes como la versión de producto y de sistema operativo y el ID de producto de una solución de seguridad de Kaspersky. También solucionamos este problema.
Por último, Ronald Eikenberg de la revista c’t descubrió una vulnerabilidad que divulgaba los identificadores únicos a los sitios web que visitaban los usuarios de los productos de Kaspersky. También arreglamos esto en julio y en agosto ya había llegado a todos nuestros usuarios. Después Palant halló otra vulnerabilidad del mismo tipo que hemos solucionado este noviembre del 2019.
¿Por qué utilizar esta tecnología?
Estos scripts no son una práctica poco común en el mundo de los antivirus; no obstante, no los utilizan todos los proveedores. En nuestro caso, utilizamos tecnología de inyección de script solo si no activas nuestra extensión de navegador. Te recomendamos que utilices la extensión. No obstante, aunque decidas no utilizarla, seguiremos poniendo todos nuestros esfuerzos para ofrecer una buena protección y experiencia de usuario.
Los scripts se utilizan principalmente para mejorar la experiencia del usuario (por ejemplo, ayudan a bloquear banners) pero, además, también protegen a los usuarios contra los ataques con páginas web dinámicas, que no se podrían detectar de otra forma si la extensión Kaspersky Protection está deshabilitada. Por otro lado, componentes como el antiphishing y el control parental dependen de los scripts para funcionar.
Gracias a Wladimir Palant, pudimos mejorar de forma considerable la protección del canal de comunicación entre los scripts o el complemento y la página principal.
Construyendo juntos
Ahora, todas las vulnerabilidades descubiertas se han cerrado y la superficie de ataque se ha estrechado considerablemente. Nuestros productos de seguridad y antivirus son seguros, ya los utilices con o sin la extensión de navegador Kaspersky Protection.
Queremos agradecer a todos los que nos han ayudado a descubrir errores en los productos de seguridad de Kaspersky. En parte gracias a sus esfuerzos hemos conseguido que nuestras soluciones de seguridad sigan siendo las mejores, como se ha demostrado en los diferentes laboratorios de pruebas independientes, por lo que invitamos a todos los investigadores de seguridad a participar en nuestro programa bug bounty.
Nada es absolutamente seguro. No obstante, al trabajar de forma conjunta con los investigadores de seguridad, dar solución a las vulnerabilidades lo antes posible y mejorar constantemente nuestras tecnologías de seguridad podemos ofrecer a nuestros usuarios la protección más fuerte del mercado contra todas las posibles amenazas.