Πόσο ασφαλή είναι τα προϊόντα ασφαλείας; Πρώτα AVG, τώρα TrendMicro με μεγάλες ατέλειες
- Κατηγορία: Ασφάλεια
Ο ερευνητής της Google, Tavis Ormandy, ανακάλυψε ένα σημαντικό ελάττωμα στο στοιχείο διαχείρισης κωδικών πρόσβασης του TrendMicro Antivirus για Windows πρόσφατα που είχε πολλά σημαντικά ζητήματα ασφάλειας που, μεταξύ άλλων, επιτρέπουν στους ιστότοπους να εκτελούν αυθαίρετες εντολές, να εκθέτουν όλους τους αποθηκευμένους κωδικούς πρόσβασης ή να εκτελούν ένα «ασφαλές πρόγραμμα περιήγησης» 'αυτό δεν είναι καθόλου ασφαλές.
Φαίνεται ότι η Google διερευνά επί του παρόντος προϊόντα ασφαλείας στα Windows, και υπάρχουν ειδικά εκείνα που αλληλεπιδρούν με το πρόγραμμα περιήγησης ιστού Chrome ή το Chromium με τον έναν ή τον άλλο τρόπο.
Η εταιρεία ντροπιάζει ανοιχτά την AVG στις αρχές Ιανουαρίου για την επέκταση Web TuneUp για το Chrome, καθώς τα ελαττώματα ασφαλείας θέτουν σε κίνδυνο τα 9 εκατομμύρια χρήστες του Chrome που το χρησιμοποιούν.
Το TuneUp, εγκατεστημένο με λογισμικό ασφαλείας AVG ή ξεχωριστά, θέτει τους χρήστες του Chrome σε κίνδυνο απενεργοποιώντας την «ασφάλεια ιστού» για χρήστες Chrome που είχαν εγκαταστήσει την επέκταση.
Η AVG δημιούργησε μια επιδιόρθωση τελικά (χρειάστηκαν δύο προσπάθειες για αυτό, η πρώτη απορρίφθηκε επειδή δεν ήταν αρκετή).
Πρόβλημα ασφάλειας TrendMicro Password Manager
Και τώρα Είναι το Trend Micro που ντροπιάζεται ανοιχτά από την Google. Σύμφωνα με τον Ormandy, το στοιχείο Password Manager είναι ο ένοχος αυτή τη φορά, το οποίο εγκαθίσταται αυτόματα με το TrendMicro Antivirus για Windows και λειτουργεί κατά την εκκίνηση ( και επίσης διαθέσιμο ως αυτόνομο πρόγραμμα και εφαρμογή).
Αυτό το προϊόν είναι γραμμένο κυρίως σε JavaScript με το node.js και ανοίγει πολλές θύρες HTTP RPC για το χειρισμό αιτημάτων API.
Χρειάστηκαν περίπου 30 δευτερόλεπτα για να εντοπιστεί ένα που επιτρέπει την αυθαίρετη εκτέλεση εντολών, το openUrlInDefaultBrowser, το οποίο τελικά χαρτογραφεί στο ShellExecute ().
Αυτό σημαίνει ότι οποιοσδήποτε ιστότοπος μπορεί να εκκινήσει αυθαίρετες εντολές [..]
Σε απάντηση σε έναν υπάλληλο της TrendMicro Ormandy πρόσθεσε τις ακόλουθες πληροφορίες:
Γεια, απλώς ήθελα να ελέγξω αν υπάρχει κάποια ενημέρωση εδώ; Αυτό είναι ασήμαντα εκμεταλλεύσιμο και ανιχνεύσιμο στην προεπιλεγμένη εγκατάσταση και προφανώς φοβερό - κατά τη γνώμη μου, θα πρέπει να στείλετε σελιδοποίηση για να το διορθώσετε.
FWIW, είναι ακόμη δυνατό να παρακάμψετε το MOTW και να δημιουργήσετε εντολές χωρίς καμία προτροπή. Ένας εύκολος τρόπος για να το κάνετε αυτό (δοκιμάστηκε σε Windows 7), θα ήταν η αυτόματη λήψη ενός αρχείου zip που περιέχει ένα αρχείο HTA και, στη συνέχεια, να το καλέσετε [..]
Η πρώτη έκδοση που έστειλε η TrendMicro στον Travis Ormandy για επαλήθευση διόρθωσε ένα από τα σημαντικότερα ζητήματα του προγράμματος (τη χρήση του ShellExecute), αλλά αυτό δεν αντιμετώπισε άλλα ζητήματα που εντοπίστηκαν κατά τη διάρκεια της σκληρής εξέτασης του κώδικα.
Ο Ormandy σημείωσε, για παράδειγμα, ότι ένα από τα API που χρησιμοποίησε η TrendMicro δημιούργησε μια «αρχαία» έκδοση του Chromium (έκδοση 41 του προγράμματος περιήγησης που είναι τώρα διαθέσιμη ως έκδοση 49) και ότι θα απενεργοποιούσε το sandbox του προγράμματος περιήγησης για να προσφέρει ένα « ασφαλές πρόγραμμα περιήγησης «στους χρήστες του.
Η απάντησή του στο TrendMicro ήταν αμβλύ:
Απλά έκρυψες τα παγκόσμια αντικείμενα και επικαλούσες ένα κέλυφος προγράμματος περιήγησης ...; ... και στη συνέχεια να το ονομάζεις 'Ασφαλές πρόγραμμα περιήγησης';!? Το γεγονός ότι εκτελείτε επίσης μια παλιά έκδοση με το --disable-sandbox προσθέτει προσβολή στον τραυματισμό.
Δεν ξέρω καν τι να πω - πώς θα μπορούσατε να ενεργοποιήσετε αυτό το πράγμα * από προεπιλογή * σε όλα τα μηχανήματα πελατών σας χωρίς να λάβετε έλεγχο από αρμόδιο σύμβουλο ασφαλείας;
Τελευταίο αλλά όχι λιγότερο σημαντικό, ο Ormandy ανακάλυψε ότι το πρόγραμμα προσέφερε ένα «ωραίο καθαρό API για πρόσβαση σε κωδικούς πρόσβασης που είναι αποθηκευμένοι στον διαχειριστή κωδικών πρόσβασης» και ότι οποιοσδήποτε μπορεί να διαβάσει όλους τους αποθηκευμένους κωδικούς πρόσβασης ».
Οι χρήστες καλούνται κατά την εγκατάσταση να εξάγουν τους κωδικούς πρόσβασης του προγράμματος περιήγησής τους, αλλά αυτό είναι προαιρετικό. Νομίζω ότι ένας εισβολέας μπορεί να το αναγκάσει με το / exportBrowserPasswords API, οπότε ακόμη και αυτό δεν βοηθά. Έστειλα ένα μήνυμα ηλεκτρονικού ταχυδρομείου επισημαίνοντας αυτό:
Κατά τη γνώμη μου, θα πρέπει να απενεργοποιήσετε προσωρινά αυτήν τη λειτουργία για τους χρήστες και να ζητήσετε συγγνώμη για την προσωρινή διακοπή και, στη συνέχεια, να προσλάβετε μια εξωτερική συμβουλευτική εταιρεία για τον έλεγχο του κώδικα. Σύμφωνα με την εμπειρία μου σχετικά με τους πωλητές ασφαλείας, οι χρήστες συγχωρούν αρκετά τα λάθη εάν οι προμηθευτές ενεργούν γρήγορα για να τους προστατεύσουν μόλις ενημερωθούν για ένα πρόβλημα, νομίζω ότι το χειρότερο πράγμα που μπορείτε να κάνετε είναι να αφήσετε τους χρήστες εκτεθειμένους ενώ καθαρίζετε αυτό το πράγμα. Η επιλογή είναι δική σας, φυσικά.
Το ζήτημα φαίνεται ότι δεν είχε επιλυθεί πλήρως κατά τη στιγμή της γραφής παρά τις προσπάθειες του TrendMicro και αρκετές ενημερώσεις κώδικα που παρήγαγε η εταιρεία τις τελευταίες δύο ημέρες.
Το λογισμικό ασφαλείας είναι εγγενώς ανασφαλές;
Το κύριο ερώτημα που πρέπει να βγει από αυτό είναι «πόσο ασφαλή είναι τα προϊόντα ασφαλείας»; Δύο σημαντικά ζητήματα σε δύο προϊόντα από σημαντικούς παίκτες στον τομέα προστασίας από ιούς προκαλούν ανησυχία, ειδικά επειδή υπάρχει η πιθανότητα να μην είναι τα μόνα που δεν φαίνεται να έχουν εξασφαλίσει σωστά τα δικά τους προϊόντα.
Για τους τελικούς χρήστες, είναι σχεδόν αδύνατο να πούμε ότι κάτι δεν πάει καλά που τους αφήνει σε επισφαλή κατάσταση. Μπορούν να εμπιστευθούν τη λύση ασφαλείας τους για να διατηρήσουν τα δεδομένα τους ασφαλή ή είναι το ίδιο το λογισμικό που πρέπει να προστατεύει τους υπολογιστές τους που το θέτουν σε κίνδυνο;