Ja, wir sind Softwareentwickler. Doch in erster Linie sind auch wir (bislang) nur Menschen – und Menschen machen Fehler. Aus eben diesem Grund werden Sie weltweit vermutlich keinen einzigen Softwareentwickler finden, dessen Produkte fehlerfrei sind. Einfach ausgedrückt: Bugs happen, denn Irren ist menschlich.
Bug-Busters gesucht
Keinen Versuch zu unternehmen, diese Fehler zu finden und zu beheben, ist jedoch weniger menschlich. Deshalb verwenden wir bei Kaspersky besonders viel Mühe auf diesen Prozess. Wir beseitigen die meisten Schwachstellen in unseren Produkten in mehreren internen Testphasen und haben ein sehr gründliches Beta-Testprogramm, an dem viele Personen beteiligt sind (dazu gehört auch unser engagierter Kaspersky Club). Darüber hinaus kommt das Konzept des „Security Development Cycle“ bei der Entwicklung unserer Software stetig zum Einsatz. All dies hilft uns, die Anzahl möglicher Bugs und Schwachstellen zu reduzieren.
Doch egal, wie gründlich vorbeugende Maßnahmen getroffen werden: kleine Bugs schleichen sich hin und wieder ein – und kein Softwareprodukt dieser Welt kann sie in der vorbeugenden Phase vollständig beseitigen. Aus diesem Grund überwachen wir unsere Produkte auch nach dem Marktstart nicht nur weiterhin aufmerksam, sondern ermutigen auch unabhängige Forscher dazu, unsere Lösungen genauer unter die Lupe zu nehmen, um uns mögliche Fehler zu melden. Gemeinsam mit HackerOne haben wir ein Bug-Bounty-Programm auf die Beine gestellt, bei dem Hobbyexperten, Forscher und IT-Liebhaber eine Prämie in Höhe von bis zu 100.000 US-Dollar für die Meldung von Bugs und Schwachstellen gewinnen können. Darüber hinaus haben wir in Zusammenarbeit mit Disclose.io einen sicheren Hafen für Forscher errichtet. Also, an alle Forscher: Teilt uns eure entdeckten Bugs oder Schwachstellen über einen beliebigen Kaspersky-Kommunikationskanal mit.
Heute möchten wir vor allem dem unabhängigen Sicherheitsforscher Wladimir Palant, der uns über verschiedene Sicherheitslücken in einigen unserer Produkte informiert hat, danken. Im Anschluss fassen wir die von Palant entdeckten Bugs, deren Beseitigung und den aktuellen Stand unserer Produkte kurz zusammen.
Gefunden und behoben
Wir verwenden eine Browsererweiterung, um eine sichere Internetverbindung zu gewährleisten, die lästige Werbeanzeigen und Tracker blockiert und vor böswilligen Suchergebnissen warnt. Natürlich können Sie die Installation dieser (oder einer anderen) Erweiterung verweigern. Unsere App lässt Sie nicht ohne Schutz im Internet zurück. Wenn sie also feststellt, dass die Erweiterung nicht installiert wurde, werden Skripts in die von Ihnen besuchten Webseiten injiziert, um potenzielle Bedrohungen zu überwachen. In solchen Fällen wird ein Kommunikationskanal zwischen dem Skript und dem Hauptprogramm der Sicherheitslösung hergestellt.
Der Großteil der von Palant entdeckten Schwachstellen befand sich in eben diesem Kommunikationskanal. Greift ein Cyberkrimineller diesen an, kann der Kanal theoretisch zur Steuerung des Hauptprogramms verwendet werden. Palant entdeckte das Problem, welches Kaspersky Internet Security 2019 im Dezember 2018 betraf, und machte uns über das Bug-Bounty-Programm darauf aufmerksam.
Eine weitere Erkenntnis von Palant war der potenzielle Exploit über den Kommunikationskanal zwischen der Browsererweiterung und dem Produkt, um beispielsweise auf wichtige Daten wie die Produkt-ID, die Produktversion und die Betriebssystemversion einer Kaspersky-Sicherheitslösung zuzugreifen. Auch dieses Problem haben wir erfolgreich behoben.
Zuletzt entdeckte Ronald Eikenberg von c’t magazine eine Sicherheitslücke, die Webseiten eindeutige IDs von Kaspersky-Nutzern enthüllte. Wir haben das Problem bereits im Juli behoben und im August waren all unsere Benutzer geschützt. Palant fand später eine weitere Sicherheitslücke dieser Art, die im November 2019 behoben wurde.
Warum verwendet Kaspersky diese Technologie?
Der Gebrauch von Skripten wie den oben beschriebenen ist in der Antivirenwelt keine ungewöhnliche Praxis, auch wenn diese nicht von jedem Anbieter genutzt werden. Wir verwenden die Script-Injection-Technologie nur dann, wenn unsere Browser-Erweiterung auf eigenen Wunsch der Nutzer nicht aktiviert wird. Ja, wir empfehlen die Verwendung der Erweiterung, doch auch, wenn Sie sich aus persönlichen Gründen dagegen entscheiden, tun wir dennoch unser Bestes, um Ihnen die bestmögliche Benutzererfahrung und einen optimalen Schutz zu bieten.
Die Skripte dienen hauptsächlich dazu, die Benutzerfreundlichkeit zu verbessern, beispielsweise um Banner zu blockieren. Außerdem schützen sie Benutzer vor Angriffen mit dynamischen Webseiten, die ansonsten nicht erkannt werden könnten, wenn die Erweiterung Kaspersky Protection deaktiviert ist. Auch Anti-Phishing- und elterliche Kontroll-Komponenten sind darauf angewiesen, dass die Skripte funktionieren.
Dank Wladimir Palant konnten wir den Schutz des Kommunikationskanals zwischen den Skripten oder dem Plugin und dem Hauptprogramm deutlich verbessern.
Gemeinsam zu mehr Sicherheit
Zu diesem Zeitpunkt sind alle entdeckten Schwachstellen bereits gepatcht und die Angriffsfläche somit erheblich reduziert. Unsere Produkte sind sicher, unabhängig davon, ob Sie sie mit oder ohne die Browser-Erweiterung Kaspersky Protection surfen.
Wir möchten uns an dieser Stelle bei allen bedanken, die uns dabei helfen, Fehler in unseren Produkten zu finden. Zum Teil ist es ihren Bemühungen zu verdanken, dass unsere Lösungen nach wie vor die besten sind, wie verschiedene unabhängige Testlabors belegen. Wir möchten auch alle Sicherheitsforscher zur Teilnahme an unserem Bug-Bounty-Programm animieren.
Nichts ist absolut sicher. Aber indem wir Hand in Hand mit Sicherheitsforschern arbeiten, Schwachstellen so schnell wie möglich beheben und unsere Technologien ständig verbessern, können wir unseren Nutzern den bestmöglichen Schutz vor allen möglichen Bedrohungen bieten.