Esto es realmente patético y lamentable. Es una de esas situaciones en las que un auditor de seguridad informática quiere mandar todo al carajo y mudarse a El Bolsón a hacer trenzas, al mejor estilo neohippie.

El sitio de descargas de actualizaciones del antivirus AVG (desde donde, por ejemplo, la aplicación descarga la base de definiciones de virus, entre otras cosas), ¡no soporta HTTPS! Yo no lo puedo creer, es bizarro es estos tiempos. Para colmo se trata de los updates de la versión paga. Imagínense montar un ataque man-in-the-middle e infectar todos los antivirus de una organización con un hermoso troyano. El sueño del lammer, y se puede hacer realidad muy pero muy fácilmente si una red no es lo suficientemente segura.

Un tremendo agujero de seguridad justo en una pieza de software que se supone provee seguridad. Lamentable.

Ahora bien, me dirán que luego de descargar tal vez haga un md5sum para comprobar la validez de los archivos que obtiene de forma plana. Pues no, no hay checksum alguno disponible, y de todas formas, ¿lo va a descargar también por HTTP plano?

Este es el sitio de descargas de AVG:

Si se desplaza un poco hacia abajo se encuentran los enlaces a los archivos, por ejemplo la base de definiciones de virus, actualizaciones del software, definiciones de firewall, etc:

Se observa que el enlace es HTTP plano (ver esquina inferior izquierda). Al hacer clic, el archivo se descarga por HTTP.

Si se copia el link y se cambia el protocolo "http" por "https":

Imposible conectar.

Veamos si al menos el puerto 443 (HTTPS) está abierto:

$ nc -vv download.avg.com 443
Warning: inverse host lookup failed for 193.85.216.8: Unknown host
download.avg.com [193.85.216.8] 443 (https) : Connection refused
 sent 0, rcvd 0

El puerto 443 en el sitio download.avg.com está cerrado. Por ende todas las descargas de actualizaciones de software, definiciones de virus, etc. se descargan de forma plana. Pero lo peor de todo, es que se trata de archivos que luego se instalan automáticamente, sin intervención del usuario. Un atacante podría fácilmente lograr que el antivirus descargue un archivo infectado e instale un troyano. Aunque parezca increíble.

Esta es una de las peores aberraciones que he visto en mi experiencia trabajando en seguridad informática.

Si quieren mantener sus sistemas Windows libres de amenazas, utilicen otro software, por ejemplo ClamWin que es software libre:

$ nc -vv database.clamav.net 443
DNS fwd/rev mismatch: db.us.rr.clamav.net != clamav.swishmail.com
DNS fwd/rev mismatch: db.us.rr.clamav.net != pinata.amerinoc.com
DNS fwd/rev mismatch: db.us.rr.clamav.net != clamav.theshell.com
DNS fwd/rev mismatch: db.us.rr.clamav.net != clamav.us.es
Warning: inverse host lookup failed for 172.110.204.67: Host name lookup failure
DNS fwd/rev mismatch: db.us.rr.clamav.net != mirrors2.vrt.sourcefire.com
db.us.rr.clamav.net [208.72.56.53] 443 (https) open


Tal vez pueda interesarte


Compartí este artículo