Перейти к содержанию

Защита защитных решений: исправляем ошибки


Рекомендуемые сообщения

Мы — разработчики программного обеспечения. То есть мы — люди (по крайней мере пока). А людям свойственно ошибаться. В мире не найдется ни одного разработчика, чье ПО лишено изъянов. Проще говоря, баги случаются, и это нормально.

Требуются охотники за багами

Ненормально другое — не пытаться отлавливать и исправлять эти баги. Поэтому мы стараемся прикладывать к этому значительные усилия. Большая часть уязвимостей в наших продуктах устраняется еще на этапах внутреннего тестирования. Также у нас есть тщательно проработанная программа бета-тестирования, в которой участвует множество людей, включая членов нашего фан-клуба. А еще мы внедрили цикл безопасной разработки. Все это позволяет нам минимизировать количество ошибок и уязвимостей.

Однако, какими бы тщательными ни были превентивные меры, баги все равно просачиваются, и ни один программный продукт в мире не может полностью избавиться от них на предварительном этапе. Именно поэтому мы не только внимательно наблюдаем за продуктами после релиза, но и поощряем независимых исследователей, которые ищут уязвимости в наших решениях и сообщают нам о них. Для этого вместе с HackerOne мы запустили программу bug bounty, предлагающую вознаграждения до 100 000 долларов за сообщения о найденных багах. Также мы создали «тихую гавань» для исследователей в рамках проекта Disclose.io. В целом мы рады любым исследователям, рассказывающим нам о багах и уязвимостях в наших продуктах, какой бы канал связи они ни выбрали.

Сегодня мы хотели бы поблагодарить независимого исследователя Владимира Паланта, который сообщил нам о нескольких уязвимостях в ряде продуктов. В этом посте мы кратко расскажем о них, о том, как они были исправлены, и о текущем состоянии нашей защиты.

Найдено и исправлено

Чтобы обеспечить безопасность пользователей в Интернете, что среди прочего подразумевает блокировку рекламы и предупреждения о вредоносных результатах поиска, мы используем расширение браузера. Разумеется, вы можете отказаться от установки этого (и любого другого) расширения. Наше приложение не оставит вас без защиты: если оно обнаружит, что расширение не установлено, оно будет внедрять специальные скрипты в посещаемые вами веб-страницы, чтобы с их помощью отслеживать угрозы. В таких случаях между скриптом и телом защитного решения устанавливается канал связи.

Основная часть уязвимостей, обнаруженных Палантом, была именно в этом канале связи. Теоретически, если бы злоумышленник атаковал его, он мог бы попытаться перехватить управление самим приложением. Палант обнаружил эту проблему в Kaspersky Internet Security 2019 в декабре 2018 года и сообщил нам о ней в рамках программы bug bounty. Мы немедленно занялись ее устранением.

Также Палант нашел потенциальный эксплойт, который мог использовать канал связи между расширением браузера и продуктом для доступа к важным данным, таким как ID продукта «Лаборатории Касперского», его версия и версия операционной системы. Эту уязвимость мы также закрыли.

Наконец, сотрудник журнала c’t Рональд Айкенберг обнаружил уязвимость, из-за которой уникальные ID могли быть раскрыты владельцам веб-сайтов, посещаемых пользователями продуктов «Лаборатории Касперского». Эту уязвимость мы исправили еще в июле, и уже в августе все наши клиенты были защищены. Впоследствии Палант обнаружил еще одну уязвимость такого рода — она была устранена в ноябре 2019 года.

Зачем же использовать эти скрипты?

Внедрение скриптов вроде описанных выше — довольно типичная практика в антивирусной индустрии, хотя далеко не все разработчики прибегают к этому методу. Мы используем технологию внедрения скриптов только в том случае, если у пользователя выключено наше расширение браузера. Мы рекомендуем не отказываться от него, но, даже если вы это сделаете, мы все равно будем стоять на страже вашей безопасности.

В основном скрипты служат для повышения комфорта пользователя (например, они помогают блокировать рекламные баннеры). Но еще, например, они защищают от атак с использованием динамических веб-страниц, которые иначе невозможно было бы обнаружить, если расширение Kaspersky Protection выключено. Также на скриптах основана работа таких компонентов, как защита от фишинга и родительский контроль.

Благодаря Владимиру Паланту мы смогли значительно усилить защиту канала связи между скриптами или расширением и основным приложением.

Резюмируя вышесказанное

Мы устранили все обнаруженные уязвимости и значительно сократили поверхность атаки. Наши продукты безопасны – вне зависимости от того, используете вы расширение браузера Kaspersky Protection или нет.

Мы еще раз выражаем признательность всем, кто помогает нам находить ошибки в наших продуктах. Отчасти именно благодаря им наши решения по-прежнему остаются в числе лучших, как подтверждают различные независимые тестирования. Мы приглашаем всех исследователей безопасности принять участие в нашей программе bug bounty.

Ничто не безопасно на 100%. Тем не менее, сотрудничая с исследователями, ликвидируя уязвимости в максимально сжатые сроки и постоянно улучшая наши технологии, мы можем предложить надежную защиту от самых разных угроз.



Читать далее >>
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Adowne
      Автор Adowne
      Решил поиграть в игрульки. Скачал через установщик и мне жёстко захотелось включить сканер, появляется чудо, которое:
      Выносит этот сканировщик с прекращением процесса
      Создаёт папки почти всех антивирусов, сделала скрытными и запретила туда заходить, в том числе AutoLogger воткнул в декстоп и в загрузки. (убрал все папки ручками)
      Заносит групповые политики (сбросил)
      Перебрасывает KernelMode (убил AVZ)
      Заносит сверху мышей, которые не детектились AVZ (https://www.virustotal.com/gui/file/58ac22a286cae5b293ff5ebb87f06ec106e0b2c0ae0318e7c5faa5e329b210ce и https://www.virustotal.com/gui/file/189a142a9a113258c6f8c51e54003ce71892d32dfde0c6c2c561a347f217798f) Либо они уже создались когда работал malwarebytes и после AVZ, а вычистил уже самостоятельно через everything (были в ProgramFiles/x86/Data и в подпапках Appdata)
      Потыкал манифесты и планировщик (убил второе, а манифесты ещё нет, будто не надо)
      Потрогал сервисы на подключение к удал. столу (хотя были удалены, можно на уровне иммунизации запретить её установку?)
      И наконец потрогал Prefetch-файлы.
      Почти всё прогонял через AVZ, через UvS проверял файлы на активность и удалял не особо критичные для системы.
      Потом поковырялся в созданном майнере файлах, парочку из них были раскиданы где куда.

      По итогу, система не может создать точки восстановления и работать с приложениями из-за необрабатываемого исключения, пишет мол "файл "С/....." не найден"
      Я боюсь перезагружаться. Подскажите, что дальше делать и что присылать?

      Прикрепляю лог после этого мордобоя вместе с FRST (если он нужен) + скрин остатков, начиная с 9:49
       



      CollectionLog-2025.08.23-13.29.zip FRST.txt Addition.txt
    • Libeda
      Автор Libeda
      Решил поправить время на пк, т.к. оно слетело, попытался его поправить, вылезла ошибка. Почитав темы с такой же проблемой, как у меня, вспомнил, что когда-то давно скачивал обход дискорда, подозрение на него. 

    • KL FC Bot
      Автор KL FC Bot
      Почти каждый третий представитель поколения Альфа мечтает стать блогером. Современные блогеры вдохновляют ребят на творчество в Интернете еще до наступления подросткового возраста. Поэтому очень важно, чтобы начинающие звезды могли ориентироваться в киберпространстве под присмотром взрослых. Интернет из жизни детей никуда не уйдет, а вот уметь безопасно им пользоваться — это отдельный навык, которым блогеру еще предстоит овладеть.
      В помощь родителям эксперты «Лаборатории Касперского» подготовили руководство Цифровой школьный портфель: руководство для родителей на учебный год (доступен в формате PDF). В нем мы собрали важные советы по обеспечению безопасности детей. А сегодня подробно расскажем, как родители могут помочь начинающим блогерам.
      1. Проявите интерес и не критикуйте ребенка
      Если ваш ребенок говорит, что хочет стать блогером, то самый правильный шаг для вас — это не игнорировать и не критиковать, а обсуждать новую затею вместе. Спросите, почему он хочет стать блогером, какой контент планирует размещать. С таким подходом ребенок поймет, что вы серьезно относитесь к его интересам — ну а вы сможете плавно перейти к теме безопасности в Интернете.
      Не нагружайте детей сложной технической информацией: ищите ресурсы, которые соответствуют их возрасту. Если ваш будущий блогер совсем юный, отлично подойдет наша киберазбука — бесплатная книга, которая помогает детям освоить основы цифровой гигиены в веселой и доступной форме.
       
      View the full article
    • Kaneki_kek
      Автор Kaneki_kek
      Здраствуйте, столкнулся с такой проблемой, что начало слетать время, а при попытке его вернуть автоматически выдает такую ошибку.Как я преполагаю данная проблема произошла из за использования обхода. Так же не получается после установки запустить касперский.

      CollectionLog-2025.06.30-09.02.zip
    • KL FC Bot
      Автор KL FC Bot
      Вы наверняка хотя бы раз проходили опрос в Google Формах. Скорее всего, регистрировались на мероприятие, становились респондентами исследователей или собирали чужие контакты. Конечно, ведь это удобный и интуитивно понятный сервис, за которым стоит техногигант. Эта простота и доверие стали идеальным прикрытием для новой волны кибермошенничества. Злоумышленники научились использовать Google Формы для маскировки своих схем, они заманивают жертв обещаниями бесплатной криптовалюты. И все, что жертве нужно сделать, чтобы попасть в ловушку, — это перейти по ссылке.
      Бесплатная криптовалюта бывает только в мышеловке
      Как родители говорят своим детям не брать конфетки от незнакомцев, так и мы рекомендуем внимательно относиться к подобным щедростям. Сегодняшняя история как раз об этом. Наши исследователи обнаружили новую волную мошеннических атак через Google Формы. Злоумышленники с помощью сервиса Google присылают потенциальным жертвам письмо с предложением бесплатно получить криптовалюту.
      «Запрос на транзакцию получил подтверждение»
      Как обычно это бывает, мошенническая схема скрывается за яркой и привлекательной оберткой — жертвам предлагают вывести крупную сумму денег в криптовалюте. Однако, прежде чем получить выплату, злоумышленники «просят» заплатить комиссию, но и это происходит не сразу. Сначала нужно перейти по ссылке в письме, оказаться на мошенническом сайте, ввести данные своего криптокошелька, адреса электронной почты (они будут приятным бонусом для злоумышленников), и попрощаться с собственными деньгами.
        View the full article
×
×
  • Создать...