- Коротке зведення за звітом про дослідження антивірусних продуктів Лабораторії Касперського
- Загальний висновок по дослідженню
- Загальний аналіз потенційних загроз
- Висновки по дослідженню
Антивірус «Лабораторії Касперського» може віддалено блокувати роботу комп'ютерів і безконтрольно передавати дані користувачів спецслужбам РФ. Чим ще загрожує використання «Антивірус Касперського» в українських держорганах.
Кілька днів тому в розпорядженні українського видання висвітлює IT-тематику AIN.UA виявилося частина дослідження, проведеного на замовлення українського уряду однієї з компаній, що спеціалізується на захисті інформації. Дослідження, що містить понад 100 сторінок тексту, присвячене безпеки використання розробок «Лабораторії Касперського» в українських держорганах.
Висновки експертів вельми категоричні - антивірус може віддалено блокувати роботу комп'ютерів і безконтрольно передавати дані користувачів спецслужбам РФ. Видання опублікувало висновки, зроблені авторами дослідження, а також скріншоти окремих сторінок. На прохання авторів в AIN.UA не назвали компанію, яка проводила дослідження.
Коротке зведення за звітом про дослідження антивірусних продуктів Лабораторії Касперського
Актуальним завданням дослідження є визначення потенційних загроз для органів державної влади України при використанні антивірусних продуктів Російської розробки компанії «Лабораторія Касперського».
Виконувався пошук наступних видів загроз:
Автоматична прихована передача інформації з ПК, що захищається антивірусними продуктами, на зовнішні сервера;
Запуск троянських функцій з метою зміни логіки роботи ПК, модифікування / знищення інформації, виведення ПК з ладу шляхом пошкодження їх програмної і / або апаратної частини.
Загальний висновок по дослідженню
Використання антивірусних продуктів виробництва «Лабораторії Касперського» несе високі ризики в області безконтрольної передачі інформації з ПК користувачів на сервера компанії, з можливістю подальшого використання даної інформації, включаючи передачу її правоохоронним органам і силовим структурам Російської Федерації.
Антивірус Касперського
Виконувалося дослідження антивірусних російськомовних версій продуктів Kaspersky Antivirus 2014 і Kaspersky Internet Security 2014 року, доступних на офіційному сайті компанії.
Загальний висновок по дослідженню
Загальні особливості роботи антивіруса з точки зору інформаційної безпеки.
Всі продукти антивіруса Касперського працюють в системі з найвищим пріоритетом, і не можуть бути обмежені або контролюватися будь-яким зовнішнім програмним забезпеченням або самою операційною системою.
Під час роботи продукти проводять обмін даними з серверами, розташованими в США і Росії.
Всі дані, що передаються, відправляються з комп'ютера зашифровані і не можуть бути проаналізовані.
Загальний аналіз потенційних загроз
Загальний аналіз потенційних загроз
Існує два основних напрямки загроз, пов'язаних з використанням антивірусних продуктів Лабораторії Касперського:
Використання хмарних технологій в аналізі загроз.
Потужна система оновлень продукту.
Висновки по дослідженню
Обсяг і зміст інформації, що передається з комп'ютера інформації. У ліцензійній угоді продуктів Касперського присутній пункт 5.2. Для підвищення рівня оперативної захисту Ви погоджуєтеся в автоматичному режимі надавати інформацію про контрольні суми оброблюваних файлів (MD5), інформацію для визначення репутації URL, статистику використання продуктових повідомлень, статистичні дані для захисту від спаму, дані про активацію і версії використовуваного ПО, інформацію про типи виявлених загроз, а також про вибір потрібного цифрових сертифікатах і інформацію необхідну для перевірки їх достовірності.
В процесі роботи на тестовому ПК протягом двох годин головним процесом продукту (avp.exe) було передано в мережу на іноземні сервера близько 600 мб інформації. При цьому неможливо визначити вміст цієї інформації.
Дана технологія (що збирає всі необхідні дані, а також дозволяє антивірусу приймати рішення на основі даних, отриманих з серверів Лабораторії Касперського) називається KSN - Kaspersky Security Network.
Як показало дослідження - повністю відключити дану систему не можна. Відповідь служби підтримки «Лабораторії Касперського» говорить про те, що «Відключення модуля KSN скасовує передачу даних з ПК користувача, але при цьому прийом і використання інформації виконується в будь-якому випадку». Насправді відправка атрибутів перевіряються антивірусом файлів або сайтів все одно виконується, так як саме на основі цих даних антивірус отримує дані з KSN буде запропоновано заблокувати файлу.
Використання соціальних технологій
Хмарні технології продуктів лабораторії Касперського використовуються для збільшення якості і швидкості детектування вірусних баз. По суті, використовуються механізми репутаційного аналізу.
Коротко їх суть зводиться до того, що користувачі продукту, можуть передавати на сервера «Лабораторії Касперського» свою думку про те, що якийсь файл або сайт є шкідливими. При цьому на сервері формується «репутація» для даного сайту або файлу, заснована на безлічі повідомлень від різних користувачів. Всі інші копії продуктів запитують дані з даного сервера репутацій і на їх підставі можуть виконувати блокування файлів або сайтів на комп'ютерах, з встановленим антивірусом Касперського.
Використання цієї технології може привести до тимчасового блокування сайтів або файлів на ПК користувачів, спровокованого іноземною аудиторією продуктів «Лабораторії Касперського».
система оновлень
Система оновлень антивіруса Касперського складається з двох ключових напрямків: оновлення програмних модулів і оновлення вірусних баз.
Механізм оновлення програмних модулів виконує завантаження нових версією програмних модулів продукту, додає в продукт нову функціональність або змінює існуючу. Даний механізм може бути відключений в настройках продукту.
Механізм оновлення вірусних баз завантажує і автоматично застосовує доповнення, а також зміни до існуючих внутрішніх баз. Відключення даного механізму робить неспроможною захист, який забезпечується антивірусом Касперського.
Які загрози існують в системі оновлень вірусних ба з
Неконтрольований двосторонній обмін даними. При оновленні антивіруса на тестовій системі було завантажено 98 Мб інформації, і при цьому передано близько 14 Мб інформації невстановленого змісту.
Надмірні можливості оновлень вірусних баз. Оновлення вірусних баз являє собою два види даних:
Вірусні записи у власному форматі даних, які є даними для антивіруса про те, які файли і сайти необхідно ідентифікувати як шкідливі, і які дії зі списку стандартних необхідно виконати для нейтралізації виявлених загроз.
Процедури у вигляді машинного коду, що активізуються антивірусом в різних ситуаціях (при виявленні будь то конкретного файлу, або при перевірці кожного файлу і т.п.).
Оновлення вірусних баз (що поставляється у вигляді машинного коду) є повноцінною підпрограмою, яка має все необхідне доступом до системи, програмного забезпечення і даних. Вірусні бази передаються і зберігаються на комп'ютері в зашифрованому вигляді і не можуть бути проаналізовані. При цьому конкретну ділянку коду, присутній в базах, або переданий у вигляді оновлень, може виконуватися не завжди, а тільки при настанні якогось певного події.
Співпраця Лабораторії Касперського з ФСБ Росії
Євген Касперський, засновник компанії і технологічний ідеолог компанії «Лабораторія Касперського», закінчив «Вищу Червонопрапорну школу КДБ» (в даний час факультет відомий як Інститут криптографії, зв'язку та інформатики Академії ФСБ Росії).
«Лабораторія Касперського» постійно співпрацює з ФСБ в області: надання інформації, аналізу і розслідування інцидентів, консультацій в області інформаційної безпеки.
У прес-службі «Лабораторії Касперського» AIN.UA відповіли, що на їхню думку даний документ не є дослідженням, скоріше це нагадує спробу маніпуляції на тлі поточної загостреної ситуації на території України.
«Всі наші продукти регулярно перевірятися і сертифікуються, в тому числі на предмет відсутності« закладок ». Kaspersky Lab безстороння в питанні забезпечення інформаційної безпеки незалежно від політичної ситуації. І ми впевнені, що клієнти, які вибирають продукти безпеки з точки зору об'єктивних критеріїв, поділяють нашу позицію і не стануть жертвами подібних провокацій », - повідомили в офісі лабораторії.
В тему: Сайт ЦВК атакували з Росії, - СБУ
Нагадаємо, що напередодні виборів хакери зламали виборчу систему ЦВК і тимчасово вивели з ладу IT-інфраструктуру Центрвиборчкому. В результаті хакерської атаки в інтернет потрапили всі паролі доступу і структура комп'ютерної мережі організації. Як повідомив глава Держспецзв'язку Володимир Звєрєв, встановлений на комп'ютері адміністратора ЦВК антивірус «Касперського» не спрацював і зловмисники змогли дістатися до інших серверів організації.
У самій лабораторії Касперського на звинувачення відповіли тим, що антивірус не міг запобігти подібній атаку. «За заявами хакерів, атака на ЦВК України була здійснена через використання 0-day уразливості в Cisco ASA - що в принципі не може бути попереджено антивірусним рішенням, встановленим в ЦВК», - повідомив виданню керуючий директор «Лабораторії Касперського» в Україні, Молдові, Білорусі, Румунії та Болгарії Олександр Савушкін.
-
Тимур Ворона, опубліковано у виданні AIN.UA
В тему: