Siamo sviluppatori di software, il che vuol dire che siamo umani (almeno per il momento). E tutti gli esseri umani commettono degli errori. Per questo motivo non troverete prodotti creati da sviluppatori di software che non contengano errori o imperfezioni. Bisogna accettare la realtà: che ci siano dei bug è normale.
AAA… Cacciatori di bug cercasi
Ciò che non rientra nella norma, invece, è non provare a trovare e a risolvere questi bug. Ecco perché noi di Kaspersky ci sforziamo molto da questo punto di vista. Durante le numerose fasi di testing interne, eliminiamo la maggior parte delle vulnerabilità presenti nei nostri prodotti di sicurezza; e abbiamo un programma di beta-testing molto accurato che coinvolge numerose persone (compreso il nostro fedele Kaspersky Club). Inoltre, abbiamo implementato un ciclo di sviluppo software sicuro. Tutto ciò aiuta a ridurre al massimo il numero di bug e vulnerabilità nei prodotti di sicurezza.
Tuttavia, indipendentemente da quanto siano specifiche le misure di prevenzione, ci sono dei piccoli bug che riescono a sfuggire ai controlli e nessun software al mondo ne è esente in questa fase preventiva. Per questo motivo, non solo continuiamo a monitorare con attenzione il rilevamento di bug dopo la release dei nostri prodotti ma esortiamo i ricercatori di sicurezza indipendenti a scoprire nuovi bug e a segnalarceli. Ne è derivata la creazione di un programma bug bounty in collaborazione con HackerOne, che prevede una ricompensa fino a 100 mila dollari per il reporting di bug; inoltre, insieme a Disclose.io abbiamo offerto un porto sicuro (Safe Harbour) per i ricercatori. Invitiamo quindi tutti i ricercatori a indicarci eventuali bug o vulnerabilità che riescano a trovare, avvalendosi di un qualsiasi canale di comunicazione.
Oggi vogliamo ringraziare il ricercatore di sicurezza indipendente Wladimir Palant che ci ha infomato della presenza di numerose vulnerabilità riscontrate in alcuni prodotti di sicurezza. Vi spiegheremo quali sono i bug individuate da Palant, come li abbiamo risolti e qual è la situazione attuale.
Trovati e risolti
Per offrire una connessione a Internet sicura, che comprende il blocco di annunci o tracker e la notifica di risultati di ricerca dannosi, ci avvaliamo di un’estensione del browser. Naturalmente, potete decidere se installare o meno questa e altre estensioni. La nostra app non vi lascerà indifesi su Internet, per cui se non viene installata l’estensione, l’app inietta script nelle pagine web visitate per monitorare la presenza di potenziali minacce. In casi di questo tipo, viene stabilito un canale di comunicazione tra lo script e la soluzione di sicurezza.
Palant ha scoperto alcune vulnerabilità di sicurezza proprio in questo canale di comunicazione. In teoria, se venisse preso di mira questo canale, si potrebbe prendere il controllo dell’app principale. A dicembre 2018, Palant ha scoperto questo problema in Kaspersky Internet Security 2019, ci ha informato mediante il programma bug bounty e abbiamo iniziato a lavorarci subito.
Inoltre, Palant ha scoperto un exploit potenziale che sfruttava il canale di comunicazione tra l’estensione del browser e il prodotto, che serve ad esempio per avere accesso a dati importanti come l’ID del prodotto della soluzione di sicurezza Kaspersky, la versione del prodotto e del sistema operativo. Abbiamo risolto anche questa vulnerabilità.
Infine, Ronald Eikenberg di c’t magazine ha scoperto una vulnerabilità che mostrava gli ID unici dei siti visitati dagli utenti dei prodotti Kaspersky. L’abbiamo risolta lo scorso luglio e ad agosto la soluzione è arrivata a tutti i nostri utenti. Successivamente, Palant ha riscontrato un’altra vulnerabilità di questo tipo che è stata risolta a sua volta a novembre 2019.
Perché utilizziamo questa tecnologia?
Nel mondo degli antivirus, è abbastanza comune utilizzare gli script descritti; tuttavia, non tutti i vendor li adottano. Utilizzano la tecnologia di iniezione degli script solo se non viene attivata la nostra estensione del browser e consigliamo, quindi, di optare per l’estensione. Anche se decidete di non utilizzarla, facciamo del nostro meglio per garantirvi un’esperienza d’uso e una protezione ottimali.
Gli script servono principalmente per migliorare l’esperienza d’uso (ad esempio, aiutano a bloccare i banner), ma anche per proteggere gli utenti dagli attacchi con pagine web dinamiche, che altimenti non sarebbero stati individuati se disattivata l’estensione Kaspersky Protection. Inoltre, per il loro corretto funzionamenti, i componenti anti-phishing e parental control si affidano agli script.
Grazie a Wladimir Palant, abbiamo potuto migliorare in modo significativo la protezione del canale di comunicazione tra gli script o il plugin e l’app principale.
Crescere insieme
Al momento, tutte le vulnerabilità riscontrate sono state risolte e la superficie di attacco è stata significativamente ridotta. I nostri prodotti sono sicuri, indipendentemente se utilizzate o meno la nostra estensione browser Kaspersky Protection.
Vogliamo ringraziare tutti coloro che ci aiutano a individuare i bug all’interno dei prodotti di sicurezza di Kaspersky. In parte grazie al loro impegno, le nostre soluzioni di sicurezza continuano a essere le migliori, come dimostrato da diversi laboratori di testi indipendenti. Invitiamo tutti i ricercatori di sicurezza a prendere parte al nostro programma bug bounty.
Nulla è sicuro al 100%. Tuttavia, grazie al lavoro congiunto con i ricercatori di sicurezza, possiamo risolvere le vulnerabilità il prima possibile e migliorare costantemente le nostre tecnologie di sicurezza, per offrire ai nostri utenti la protezione più robusta esistente da tutte le possibili minacce.