KES 10 SP1 и «Веб-контроль»

Не хотел в понедельник писать гадости об антивирусах, но что-то уже устаю от борьбы с техподдержкой Лаборатории Касперского. Когда вышел новый продукт «Kaspersky Endpoint Security 10 Service Pack 1«, то делался упор на то, что это не какой-то сверхновый продукт, а очень хорошо и качественно переработанная версия предыдущего — «Kaspersky Endpoint Security 10 Maintenance Release 1«, и в дальнейшем упор будет делаться не на скорость выхода версий или внедрение большего количества новых опций и сервисов, а качество и стабильность продукта (напомню, что речь ведётся о корпоративном продукте для бизнеса, а не о продукте для домашних пользователей, на которых собственно многие инновации и обкатываются 🙂 ). Однако реальность как и всегда оказалась гораздо суровей и безжалостней — продукт что-то приобрёл, но в чём-то резко стал неудобным.

К примеру, в новой версии продукта очень много головной боли вызывает модуль «Веб-контроль». Сравните для начала перечень готовых и обновляемых категорий от ЛК для управления компонентом.

Было:

  1. Азартные игры
  2. Анонимные прокси-серверы
  3. Баннеры
  4. Браузерные игры
  5. Веб-почта
  6. Интернет-магазины
  7. Наркотики
  8. Нелегальное ПО
  9. Нецензурная лексика
  10. Оружие
  11. Платежные системы
  12. Поиск работы
  13. Порнография, эротика
  14. Социальные сети
  15. Сцены насилия
  16. Форумы и чаты

Стало:

  1. Азартные игры, лотереи, тотализаторы
  2. Алкоголь, табак, наркотические и психотропные вещества
  3. Баннеры
  4. Для взрослых
  5. Компьютерные игры
  6. Насилие
  7. Нецензурная лексика
  8. Новостные ресурсы
  9. Оружие, взрывчатые вещества, пиротехника
  10. Переадресация HTTP-запросов
  11. Поиск работы
  12. Программное обеспечение, аудио, видео
  13. Религии, религиозные объединения
  14. Средства интернет-коммуникации
  15. Электронная коммерция

Категорий не стало особо меньше и если приглядеться, то можно заметить, что часть из них просто переименовалась, а часть объединилась и обрела некие весьма размытые формулировки. И если переименование «Порнография, эротика» в «Для взрослых» и «Браузерные игры» в «Компьютерные игры» носит чисто косметический характер, то переименование «Нелегального ПО» в «Программное обеспечение, аудио, видео» заставляет задуматься и вызывает кучу вопросов — то есть теперь этой категорией накрывается абсолютно всё ПО — и легальное и нелегальное, а также все сервисы по предоставлению аудио и видео контента?!? Но самое жестокое не в этом, а в новой категории «Средства интернет-коммуникации«, в которую вошло всё — «Веб-почта», «Социальные сети», «Форумы и чаты», блоги и не только. То есть теперь если вам директор или представитель ИБ скажет на работе закрыть все соцсети или почтовики, то либо формируете и обновляете списки вручную, либо включаете блокировку этой категории и получаете огромную кучу проблем как с блокированием всего и вся, так и с неожиданными пропусками и со множеством ложных срабатываний.

В статье ТП «Категории веб-контроля в Kaspersky Endpoint Security 10 для Windows (для рабочих станций)» можно ознакомиться с содержимым новых категорий. Правда у меня сложилось мнение, что у того кто заново «придумывал колесо» в голове была жуткая каша, которая и привела к множественным пересечениям внутри категорий. Не буду описывать всех мытарств и удовольствия от общения со счастливыми пользователями новой версии KES в организации, а также долгое ожидание по каждому из запросов в техподдержку ЛК, приведу простой и наглядный пример того как Лаборатория Касперского постепенно ухудшает качество продукта и явно «лукавит», используя двойные стандарты при формировании категорий на примере «Средств интернет-коммуникации«. Привожу официальное описание категории:

Данная категория включает веб-ресурсы, позволяющие тем или иным пользователям (зарегистрированным или нет) отправлять персональные сообщения другим пользователям соответствующих веб-ресурсов или других интернет-сервисов и/или на определённых условиях участвовать в пополнении контента (общедоступного или ограниченно доступного) соответствующих веб-ресурсов. Данная категория включает в частности следующие средства интернет-коммуникации:

  • Веб-чаты, а также веб-ресурсы, предназначенные для распространения и поддержки приложений для мгновенного обмена сообщениями, предоставляющих возможность коммуникации в реальном времени.
  • Форумы и блоги – веб-ресурсы, предназначенные для публичного обсуждения различных тем с помощью специальных веб-приложений, включая блог-платформы (веб-сайты, предоставляющие платные или бесплатные услуги по созданию и обслуживанию блогов).
  • Доски объявлений – веб-ресурсы, предназначенные для размещения и поиска объявлений о купле-продаже либо предложения товаров и услуг на возмездной или безвозмездной основе.
  • Социальные сети – веб-сайты, предназначенные для построения, отражения и организации контактов между людьми, организациями, государством, требующие в качестве условия участия регистрацию учётной записи пользователя.
  • Виртуальные службы знакомств – разновидность социальных сетей, предоставляющих  платные или бесплатные услуги.
  • Веб-почта — исключительно страницы авторизации в почтовом сервисе и страницы почтового ящика, содержащего почтовые сообщения и сопутствующие данные (например, личные контакты). Для остальных веб-страниц интернет-провайдера, предлагающего почтовый сервис, данная категория не назначается.

Ну что же — разворачиваем виртуальную машину, ставим KES 10 SP1 и агент администрирования (разрешаем использование KSN), на сервере KSC создаём отдельную группу с отдельной независимой политикой, в которой всё оставляем по умолчанию, кроме запрета сайтов нужной нам категории «Средства интернет-коммуникации». После этого обновляем базы, перезагружаем виртуалку и начинаем тест. В качестве наглядного теста решено было взять сайты известных производителей антивирусных продуктов и проверить — как же там отрабатывает блокировка по данной категории. 🙂 Проверка производится очень просто — на каждом сайте пытаемся открыть сам сайт, блог и форум компании. Вот такой получился результат:

Доступно Заблокировано
http://www.kaspersky.ru/ http://www.bitdefender.com/blog/
http://www.kaspersky.com/ http://forum.bitdefender.com/
https://blog.kaspersky.ru/ http://blogs.drweb.com/
http://forum.kaspersky.com/ http://forum.drweb.com/
https://www.esetnod32.ru/ http://blogs.mcafee.com/
http://forum.esetnod32.ru/ http://sophos.com/
https://club.esetnod32.ru/ http://blogs.sophos.com/
http://www.bitdefender.com/ http://community.sophos.com/
http://www.drweb.ru/ http://answers.microsoft.com/ru-ru/protect/?auth=1
https://www.symantec.com/ru/ru/ http://blogs.microsoft.com/
http://www.symantec.com/connect/blogs http://www.pandasecurity.com/mediacenter/security/welcome-to-the-new-panda-security-support-blog/
http://www.symantec.com/connect/forums/community-forums http://support.pandasecurity.com/forum
https://www.avast.ru/index http://www.webroot.com/blog/
https://forum.avast.com/ http://blog.360totalsecurity.com/ru/
https://blog.avast.com/ http://blog.checkpoint.com/
http://www.mcafee.com/ru/
https://community.mcafee.com/community/home
http://www.trendmicro.com.ru/
http://blog.trendmicro.com/
http://windows.microsoft.com/ru-ru/windows/security-essentials-download
http://www.microsoft.com/ru-ru/security/pc-security/mse.aspx
http://www.pandasecurity.com/russia/
http://www.webroot.com/us/en/
https://community.webroot.com/t5/Community-Forums/ct-p/Forums
https://www.f-secure.com/ru_RU/web/home_ru/home
https://community.f-secure.com/t5/English/ct-p/EN
https://labsblog.f-secure.com/
http://www.360totalsecurity.com/
http://rus.checkpoint.com/
https://forums.checkpoint.com/forums/index.jspa?categoryID=1

Получается, что компонент совершенно лояльно относится к ресурсам Kaspersky Lab, Symantec, Trend Micro, Eset,  F-Secure, относя их блоги и форумы к чему-то исключительному, но вот к аналогичным ресурсам других производителей (Доктор Веб, Intel Security (McAfee), Sophos, Microsoft, Panda Security, Webroot, Bitdefender, Qihoo 360, Check Point Software Technologies) относится весьма неоднозначно — производя выборочные блокировки. Ну и как после этого нормально относиться к этому компоненту и категориям, ежели они толком-то и не работают?

Аналогичные вещи можно наблюдать при выборочном тестировании доступа к смежным ресурсам — на форумы трёх из 17 распространённых движков форумов (ну да — такая вот тавтология получается ))) ) без проблем можно получить доступ, аналогичная картина и с соцсетями (выборка проверялась по базе Яндекс.Каталога) — доступ не блокируется к 44 из 128. Случайно, во время поиска блога ЛК, из поисковика перешёл на «левый» блог «low-format.ru», причём KES не блокирует сами статьи (к примеру по этой ссылке), но блокирует доступ при попытке перехода по элементам меню в заголовке и при попытках использования встроенного на сайте поиска. Хороший показатель качества работы компонента.

Ну и реальный пример из жизни, наглядно показывающий оперативность исправления ложных срабатываний компонента «Веб-контроль» с помощью технической поддержки Лаборатории Касперского — инцидент INC000004884406 зарегистрирован 07.08.2015 (в числе ложный срабатываний значится сайт aktivsb.ru), до сих пор происходит ложное срабатывание по категории «Средства интернет-коммуникации». Три месяца решается проблема!!! ТРИ МЕСЯЦА, Карл!!! ))) На вопрос — почему так долго это происходит, привожу оригинальный ответ:

Долгий процесс внесения изменений связан с тем, что на вердикт влияет ряд причин, которые могут сказываться на некорректном отнесении сайтов к категориям. На данный момент наши коллеги работают над разрешением проблемы, и, как только будут новые данные, сразу же Вам сообщим! Мы сожалеем о доставленных неудобствах.

 

 

Метки: , , , , , , , , , , . Закладка Постоянная ссылка.

1 комментарий: KES 10 SP1 и «Веб-контроль»

  1. Василий пишет:

    Как здорово… но, вообще, уже ожидаемо:(

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *