El sistema de actualización de Eset Smart Security o como te pueden robar una licencia

El antivirus en un software fundamental dentro de cualquier sistema informático ya sea el de un usuario común o el de una gran empresa, existen muchas soluciones para los dos tipos.
Una de las empresas que fabrican este tipo de soluciones es Eset, que cuenta con varios productos tanto para el hogar como para las empresas.

Después de haber adquirido uno de sus productos, para ser más específico Eset Smart Security cuyo costo es de $59.99,  me ha llamado mucho la atención la forma como actualiza su base de firmas de virus.


Ya que cuando se realiza una actualización se envían peticiones http (sin ningún tipo de cifrado) con el usuario y la contraseña de la licencia adquirida. Esto conlleva que, con un simple sniffer, se pueden robar licencias.


Para agravar un poco más el problema, Eset también envía peticiones por http para obtener los datos de la licencia (fecha de expiración, tipo de licencia, etc), así que además brinda información para saber que licencia conviene robar:


Y también muestra información sobre el sistema operativo.


Meditando sobre todo aquello, me he puesto a pensar qué otros peligros más pueden existir. De momento se me ocurre por ejemplo un ataque de fuerza bruta para obtener licencias válidas:


En conclusión es fácil y simple perder una licencia de un valor de $59.99 o más y, ya que Eset se actualiza automáticamente, solo basta estar conectado a una red wifi y que alguien por ahí esté esnifando, que por cierto para realizarlo no se requiere ser un experto informático ya que existen herramientas automatizadas como Caín & Abel .
No estoy seguro si sus otros productos usaran el mismo mecanismo pero lo más seguro es que sí, quizás usando este fallo es que web como http://licenciaseset2014.blogspot.pe/ tienen una larga lista de licencias.

Para terminar voy a decir que me siento profundamente impresionado de que un antivirus tan popular permita que las licencias adquiridas de sus productos viajen libremente por la red sin ningún tipo de cifrado, así que ya saben, si son usuarios de Eset asegúrense de desactivar las actualizaciones automáticas cuando estén conectados a una red pública. 

Ahiezer Alvarez - https://www.facebook.com/ahiezer.alvarestalla

Nota de ESET:
El problema de la validación de usuario y contraseña bajo tráfico http es un problema conocido por ESET. Tan conocido que en la última versión , en la versión VIGENTE del producto, en concreto la 9 para Nod32 y Smart Security, el tráfico se realiza mediante HTTPS.
Recomendamos a todos los usuarios de nuestros productos a actualizar a la última versión. 

8 comentarios :

  1. Joaquín Molina “Kinomakino” desde ESET España:
    Queremos agradecer al administrador del sitio HackPlayers, el Sr. Vicente M. por permitirnos expresarnos de tan rápida manera en el artículo.
    Ante todo queremos tranquilizar a nuestros clientes.
    El problema de la validación de usuario y contraseña bajo tráfico http es un problema conocido por la marca. Tan conocido que en la última versión , en la versión VIGENTE del producto, en concreto la 9 para Nod32 y Smart Security, el tráfico se realiza mediante HTTPS.
    Recomendamos a todos los usuarios de nuestros productos a actualizar a la última versión.
    Desde ESET España monitorizamos el uso, mal uso, sobreuso de todos nuestros productos y periódicamente realizamos tareas de regularización y protección de nuestros usuarios, como regenerar aquellos usuarios/contraseñas que detectamos mal uso durante un tiempo determinado
    Animamos a los investigadores de seguridad que cualquier fallo o incidente que detecten en sistemas Eset, y en cualquier otro fabricante, realicen un Responsible Disclosure reportando a los implicados el fallo para su correcta validación, y si lo requiere, corrección.
    En la seguridad informática estamos TODOS involucrados.
    Gracias por permitirnos expresar nuestra opinión.

    ResponderEliminar
    Respuestas
    1. Ok, Ahiezer especifica la versión que estás utilizando y cuándo adquiriste la licencia. Voy a publicar la nota de ESET en el artículo.

      Eliminar
    2. una pregunta Kino: si es conocido por ESET como dices, aparece en las release notes de la v9?

      Eliminar
    3. En la última imagen aparece V8.

      Eliminar
    4. Cierto Carprisa. Por nuestra parte siento nuestro "irresponsible" disclosure... pero al menos me quedo más tranquilo sabiendio que ya ha sido solucionado

      Eliminar
  2. Yo ya lo había realizado con Cain & Abel y efectivamente te da el usuario y contraseña del producto cuando va a actualizar su base de datos, por lo cual es un error garrafal que el propio antivirus sea presa de un sniffer por medio de estos protocolos lol saludos

    ResponderEliminar