کسپرسکی باگ‌های محصولات امنیتی خود را برطرف می‌کند

۱۳۹۸/۹/۵امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ ما توسعه‌دهندگانِ نرم‌افزار، انسان هستیم. بشر هم جایز الخطاست؛ برای همین هم هست که هیچ توسعه‌دهنده‌ی نرم‌افزاری‌ای را در جهان پیدا نخواهید کرد که هیچ گونه اشتباه و خطایی ازش سر نزده باشد. ساده‌تر بگوییم: باگ‌ها صورت می‌گیرند و این، امری طبیعی است. آنچه غیرطبیعی است تلاش نکردن برای پیدا کردنِ این باگ‌ها و برطرف کردنشان است.

از همین روست که کسپرسکی در این راستا هیچ‌گاه پا پس نمی‌کشد و همیشه ثابت‌قدم است. ما در طول چندین مرحله تست داخلی، بیشترِ آسیب‌پذیری‌های موجود در محصولات خود را از بین برده‌ایم. همچنین برنامه‌ی جامعِ تست بتایی نیز داریم که افراد بسیاری (شامل کلوپ اختصاصی کسپرسکی) را در برمی‌گیرد. همچنین چرخه‌ی توسعه‌ی ایمن را نیز پیاده‌سازی کردیم. همه‌ی اینهاست که به ما کمک می‌کند تعداد باگ‌ها و آسیب‌پذیری‌ها را کاهش دهیم.

با این وجود، فرقی ندارد این اقدامات پیشگیرانه تا اندازه کامل و جامع باشد؛ به هر حال یک سری باگ همیشه راه خود را به داخل محصولات پیدا می‌کنند- و هیچ محصول نرم‌افزاری‌ای در جهان نیست که بتواند تماماً از شر این باگ‌ها (در مرحله‌ی پیشگیری) خلاص شود. به همین خاطر است که نه تنها بعد از عرضه‌ی محصولات خود با دقت کامل به نظارت خود ادامه می‌دهیم که همچنین محققین مستقل را نیز برای کشف و گزارش آن‌ها ترغیب می‌کنیم.

ساخت برنامه‌ی «ارائه‌ی بخشیِ باگ» نیز جزو همین راهکارهاست که اتخاذ نموده‌ایم. این برنامه در حقیقت با همکاری HackerOne کلید خورده است که به ازای گزارش باگ‌ها جایزه‌ای 100 هزار دلاری می‌دهد. ما از تمام محققین دعوت می‌کنیم با استفاده از هر کانال ارتباطی، باگ‌ها و آسیب‌پذیری‌هایی را که پیدا می‌کنند به ما گزارش دهند.

پس امروز، باید قدردان ولادیمیر پالانت، محقق مستقل امنیتی باشیم که چندین آسیب‌پذیری در برخی محصولات‌مان را به ما گزارش داد. حالا خوب می‌دانیم چطور باید باگ‌های کشف‌شده توسط پالانت را برطرف کنیم.

کشف و حل

ما به منظور ارائه‌ی کانکشن اینترنتی ایمن شامل مسدود کردن آگهی‌ها، ردیاب‌ها و هشدار در خصوص نتایج آلوده‌ی جست‌وجو از افزونه‌ی مرورگر استفاده می‌کنیم. البته این امکان نیز وجود دارد که نصب آن (یا هر افزونه‌‌ی دیگری) را قبول نکنید. اپِ ما شما را بدون لایه‌ی محافظتی در جهان اینترنت تک و تنها نخواهد گذاشت؛ بنابراین اگر حس کند افزونه نصب نشده است، اسکریپت‌هایی به صفحات وبی‌ای که بازدید می‌کنید تزریق می‌کند تا تهدیدات احتمالی را تحت نظارت خود قرار دهد. در چنین مواردی، بین اسکریپت و بدنه‌ی راهکار امنیتی، کانال ارتباطی‌ای ایجاد می‌گردد.

بخش عمده‌ی این آسیب‌پذیری‌ها که توسط پالانت کشف شد در همین کانال ارتباطی بود. به طور تئوری، اگر یک دشمن به چنین کانالی حمله کند می‌تواند از آن به عنوان فرمانی در اپ اصلی استفاده نماید. پالانت به این مسئله پی برد که ایراد مذکور از دسامبر 2018 تأثیر خود را گذاشته بوده است. او این مشکل را از برنامه‌ی ارائه‌بخشی باگ به ما گزارش کرد. از یافته‌های دیگر آقای پالانت می‌شود به اکسپلویت احتمالی‌ای اشاره داشت که از کانال ارتباطیِ بین افزونه‌ی مرورگر و محصول استفاده می‌کرد؛ برای مثال برای دسترسی به داده‌های مهم مانند آی‌دی، نوع و نسخه‌ی سیستم‌عامل محصولات امنیتی کسپرسکی. ما این اکسپلویت را نیز برطرف کردیم. در آخر، رونالد ایکنبرگ از مجله‌ی c’t آسیب‌پذیری‌ای کشف کرد که طی آن، آی‌دی‌های منحصر به فرد برای وبسایت‌هایی که توسط کاربران محصولات کسپرسکی بازدید می‌شدند نمایش داده شد. ما در ماه جولای اقدام به برطرف کردن آن کردیم و هنوز به آگست نرسیده همه‌ی کاربران ایمن شدند. پالانت بعدها متوجهِ آسیب‌پذیری دیگری از همین نوع نیز شد که نوامبر 2019 آن را برطرف ساختیم.

چرا از این فناوری استفاده کنیم؟

استفاده از اسکریپت‌هایی مانند آن‌هایی که در فوق شرح دادیم، در جهان آنتی‌ویروس‌ها اقدامی نامعمول نیست. با این وجود، هر فروشنده‌ای از آن‌ها استفاده نمی‌کند. در مورد خودمان بایست گفت ما از فناوری تزریق اسکریپت تنها در صورتی استفاده می‌کنیم که افزونه‌ی مرورگر ما را فعالسازی نکرده باشید. توصیه‌ی ما به شما استفاده از این افزونه است؛ با این حال، حتی اگر تصمیم گرفتید از آن استفاده نکنید نیز همچنان بیشترین تلاش خود را برای ارائه‌ی تجربه‌ی کاربری خوب و سطح بالای حفاظتی به شما می‌کنیم.

این اسکریپت‌ها به طور عمده برای افزایش تجربه‌ی کاربری مورد استفاده قرار می‌گیرند- برای مثال به مسدود کردن بنرهای تبلیغاتی کمک می‌کنند. اما افزونه بر این، آن‌ها کاربران را در برابر حملات به صفحات پویای وب محافظت می‌نمایند؛ حملاتی که اگر افزونه‌ی  Kaspersky Protection غیرفعال باشد نمی‌توانند مورد شناسایی قرار گیرند. همچنین، اجزایی چون آنتی‌فیشینگ و کنترل والدین هم برای اجرا به این اسکریپت‌ها نیاز دارند.

به لطف کمک‌های ولادیمیر پالانت ما توانستیم به طور قابل‌ملاحظه‌ای سطح محافظتیِ کانال ارتباطی را میان این اسکریپت‌ها (یا پلاگین) و اپ اصلی ارتقا دهیم.

دست در دست همدیگر

از حالا به بعد، تمام این آسیب‌پذیری‌های کشف‌شده بسته شده‌اند و سطح حمله به طور چشمگیری محدود شده است. محصولات ما چه با افزونه‌ی مرورگر Kaspersky Protection استفاده شوند چه نشوند، تضمین‌کننده و مطمئن هستند. از تمام کسانی که ما را در کشف باگ‌ها در محصولاتمان یاری رساندند کمال تشکر را داریم. تا حد زیادی کیفیت راهکارهای ما مرهون تلاش‌های این افراد است (این ادعای بی‌اساسی نیست؛ لابراتوارهای مستقل مختلفی این را ثابت کرده‌اند). از همین تریبون از تمامی محققین امنیتی دعوت می‌کنیم به برنامه‌ی ارائه‌بخشی باگ ما شرکت کنند.

هیچ‌ محصول امنیتی‌ای از تهدیدها و خطرات مصون نیست. با این حال، اتحاد داشتن، شانه به شانه‌ی محققین امنیتی پیش رفتن، برطرف کردنِ حتی‌المقدور آسیب‌پذیری‌ها و ارتقای پیوسته‌ی فناوری‌ها در جهت تخفیف هر چه بیشتر قدرت عملیاتی تهدیدها کلید موفقیت در این مسیر است.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.