Güvenlik ürünlerinde güvenlik – çözüldü

Bağımsız güvenlik araştırmacıları sayesinde, birkaç güvenlik sorununu çözerek müşterileri otomatik olarak korumayı başardık.

Biz yazılım geliştiririz. Yani insanız (henüz). Ve bütün insanlar hata yapar. Bu nedenle, dünyada ürünleri hatasız olan bir yazılım geliştirici bulmanız mümkün değildir. Basitçe söylemek gerekirse: Hatalar olur. Bu normaldir.

Hata avcıları aranıyor

Normal olmayan, bu hataları bulmaya ve gidermeye çalışmamaktır. Bu yüzden Kaspersky olarak bu konuda çok çaba harcıyoruz. Ürünlerimizdeki güvenlik açıklarının çoğunu iç testler sırasında ortadan kaldırıyoruz ve birçok kişinin parçası olduğu (buna özverili Kaspersky Club da dahil) çok kapsamlı bir beta test programı yürütüyoruz. Ayrıca güvenli geliştirme döngüsünü de hayata geçirdik. Bunların hepsi, hataları ve güvenlik açıklarını en aza indirmemize yardımcı oluyor.

Bununla birlikte, önleyici tedbirler ne kadar kapsamlı olursa olsun, küçük hatalar içeri gizlice sızmayı başarır ve dünyadaki hiçbir yazılım ürünü önleyici aşamada onlardan tamamen kurtulamaz. Bu nedenle, yalnızca sürümlerimizden sonra onları dikkatle gözlemlemeye devam etmekle kalmıyor, bunları keşfetmeleri ve raporlamaları için bağımsız araştırmacıları teşvik ediyoruz. Bu, hataları raporlamak için HackerOne ile birlikte ortaya çıkarılmış, 100.000 dolara kadar ödül vaat eden ve Disclose.io ile araştırmacılara Güvenli Liman sunan hata bildirme programımızı da kapsıyor. Bütün araştırmacıları, herhangi bir iletişim kanalını kullanarak, buldukları herhangi bir hatayı veya güvenlik açıklarını bize iletmeye davet ediyoruz.

Bu nedenle bugün, bazı ürünlerimizdeki güvenlik açıkları hakkında bizi bilgilendiren bağımsız bir güvenlik araştırmacısı olan Wladimir Palant’a teşekkür ediyoruz. Şimdi Palant’ın keşfettiği hatalara, onları nasıl düzelttiğimize ve ürünlerimizin şu anki durumuna ışık tutuyoruz.

Bulundu ve düzeltildi

Reklamları ve izleyicileri engellemek, sizi kötü amaçlı arama sonuçları hakkında uyarmak da dahil olmak üzere güvenli bir internet bağlantısı sağlayabilmek için bir tarayıcı uzantısı kullanıyoruz. Bu (veya herhangi bir) uzantıyı kurmayı reddedebilirsiniz elbette. Uygulamamız sizi internette korumasız bırakmaz, uzantının kurulu olmadığını algıladığında ziyaret ettiğiniz Web sayfalarına olası tehditleri izlemek için komut dosyaları gönderir. Bu gibi durumlarda, komut dosyası ile güvenlik çözümünün gövdesi arasında bir iletişim kanalı kurulur.

Palant’ın tespit ettiği güvenlik açıklarının büyük kısmı bu iletişim kanalındaydı. Teoride, bir saldırgan bu kanala saldırırsa, kanal ana uygulamayı kumanda etmek için kullanılabilir. Palant, Kaspersky Internet Security 2019’u etkileyen sorunu Aralık 2018’de keşfetti ve hata ödül programı aracılığıyla bize bildirdi. Hemen sorun üzerinde çalışmaya başladık.

Palant’ın bulgularından bir diğeri, Kaspersky güvenlik çözümü ürün kimliği, ürün sürümü ve işletim sistemi sürümü gibi önemli verilere erişmek için, tarayıcı uzantısı ile ürün arasındaki iletişim kanalını kullanan potansiyel bir istismardı. Bu sorunu da çözdük.

Son olarak, c’t dergisinden Ronald Eikenberg bir güvenlik açığı keşfetti.

Bu açık, Kaspersky ürünlerini kullananların ziyaret ettiği web sitelerine benzersiz kimlikleri bildiriyordu. Bu sorunu temmuz ayında düzelttik, ağustos ayında tüm kullanıcılarımıza ulaştı. Daha sonra Palant bu türden başka bir güvenlik açığı buldu ve sorun Kasım 2019’da düzeltildi.

Neden bu teknolojiyi kullanıyoruz?

Yukarıda anlattığımız türde komut dosyaları, antivirüs dünyasında çok sık kullanılır; ancak her satıcı bunları kullanmaz. Biz ise, komut dosyası ekleme teknolojisini yalnızca tarayıcı uzantımızı etkinleştirmediyseniz kullanırız. Uzantıyı kullanmanızı öneririz. Ancak, kullanmamaya karar verseniz bile, size iyi bir kullanıcı deneyimi ve koruma sağlamak için elimizden gelenin en iyisini yapıyoruz.

Komut dosyaları, temel olarak kullanıcı deneyimini geliştirmek için kullanılır — örneğin, reklamları engellemeye yardımcı olurlar — ancak buna ek olarak kullanıcıları, Kaspersky Protection uzantısı devre dışı bırakıldığında başka türlü algılanamayan dinamik Web sayfalarıyla yapılan saldırılara karşı korurlar. Ayrıca, kimlik avı koruması ve ebeveyn kontrolü gibi bileşenler, çalışmak için komut dosyalarına güvenir.

Wladimir Palant sayesinde, komut dosyaları veya eklenti ve ana uygulama arasındaki iletişim kanalının korumasını önemli ölçüde geliştirebildik.

Birlikte inşa ediyoruz

Şu an itibariyle, keşfedilen tüm güvenlik açıkları kapatıldı ve saldırı zemini önemli ölçüde daraltıldı. Kaspersky Protection tarayıcı eklentisi ile birlikte kullansanız da kullanmasanız da, ürünlerimiz güvenlidir.

Ürünlerimizdeki hataları bulmamıza yardımcı olan herkese teşekkür etmek istiyoruz. Onların yardımlarıyla, çözümlerimiz farklı bağımsız test laboratuvarlarının kanıtladığı üzere en iyi devam ediyor ve tüm güvenlik araştırmacılarını hata ödül programımıza katılmaya davet ediyoruz.

Hiçbir şey tamamen güvenli değildir. Öte yandan, güvenlik araştırmacılarıyla birlikte çalışarak, güvenlik açıklarını en kısa sürede gidererek ve teknolojilerimizi sürekli iyileştirerek, kullanıcılarımıza varolan tüm tehditlere karşı en güçlü korumayı sunabiliyoruz.

İpuçları