Kaspersky Security Network (KSN)

На прошлой неделе, благодаря Kaspersky Security Network (KSN), я имел удовольствие пообщаться с сотрудниками областного ФСБ по весьма любопытному поводу. Почему это ещё «благодаря KSN», спросите вы недоумевая, а самые рьяные фанатики фанаты Лаборатории Касперского сразу же начнут всё отрицать и говорить, что это наветы и происки врагов. 🙂 Но факт остаётся фактом — KSN гласно и негласно собирает о пользователях кучу информации и отказаться от этой «услуги» можно только нестандартными способами (типа блокирования отправки информации другим файерволом и т.п.). Для начала давайте посмотрим, что же написано в пользовательском соглашении KSN — там приводится довольно подробный список собираемой информации:

  1. Информация об установленном на компьютере аппаратном и программном обеспечении, в том числе версия операционной системы и установленные пакеты обновлений, объекты ядра, драйверы, сервисы, расширения Microsoft Internet Explorer, расширения системы печати, расширения Windows Explorer, загруженные объекты, элементы Active Setup, апплеты панели управления, записи файла hosts и системного реестра, версии браузеров и почтовых клиентов.
  2. Информация о состоянии антивирусной защиты компьютера, а также данные обо всех потенциально вредоносных объектах и действиях (в том числе название детектируемого объекта, дата и время обнаружения, URL-адрес, по которому он был загружен, названия и размер зараженных файлов и пути к ним, IP-адрес атакующего компьютера и номер порта компьютера пользователя, на который была направлена сетевая атака, перечень активностей вредоносной программы, потенциально вредоносные URL-адреса) и решениях продукта и пользователя по ним.
  3. Информация о загружаемых пользователем программах (URL-адрес, атрибуты, размер файла, информация о процессе, загрузившем файл).
  4. Информация о запускаемых программах и их модулях (размер, атрибуты, дата создания, информация заголовка PE, регион, имя, местоположение, упаковщики).
  5. Информация об ошибках и использовании пользовательского интерфейса установленного продукта Лаборатории Касперского.
  6. Также для дополнительной проверки в Лабораторию Касперского могут отправляться файлы, в отношении которых существует риск использования их злоумышленником с целью нанесения вреда компьютеру Пользователя, или их части.

То есть по сути — собирается практически всё, при желании можно самостоятельно додумать о том, что рядовой пользователь делает на своём компьютере и насколько информированной о его действиях оказывается ЛК. Но это ещё не всё — загвоздка в том, что от KSN нельзя полностью отказаться, и отключение данной опции разве что немного сократит вышеприведённый список.

Заметил я это довольно давно и совершенно случайно — выяснилось, что с отключенным KSN, но с подключением к сети Интернет, проверка on-demand длится в два раза дольше нежели чем таковая без доступа к сети Интернет. Сотрудники техподдержки сначала попытались свалить это на обновлённые и улучшенные (!!!) технологии и выдали перл о том, что при отключении KSN данные перестают передаваться куда-то, а только принимаются из облака. Вот скриншот официальной переписки с техподдержкой:

Но глупо было бы верить «товарищам» из ЛК, у которых приём информации из KSN осуществляется волшебным образом — без отправки каких-либо запросов. Сами представьте процесс проверки файла, принесённый знакомым на флешке, Антивирусом Касперского без KSN:

  • запускаете проверку файла
  • Касперский проверяет файл с помощью сигнатурных баз и эвристического анализатора
  • из KSN прилетает информация о том, что файл в заражённых не числится и вообще всё «Ол райт»

Но как Касперский догадался о том, что именно этот файл я проверяю в данный момент и что именно о нём мне внезапно должна поступить информация из KSN, где по заверениям сотрудников ЛК хранится информация о более чем 200 миллионов только «чистых» файлах? Ответ прост — сначала в KSN отправляется всё та же информация — имя файла, путь к файлу, хеш файла и IP-адрес компьютера, на котором производится проверка. И вот только после этого приходит ответ из KSN. Но отправленный в KSN запрос уже никуда не пропадает и продолжает храниться неизвестное количество времени на серверах ЛК. А раз антивирус с включённым Интернетом всё равно продолжает обращаться к KSN для проверки резидентных и нерезидентных проверяемых модулей/программ/объектов, то вся информации исправно продолжает падать в логи. В тоже запросе сотрудник техподдержки ЛК пообещал, что в новых версиях продукта всё исправят и отключение KSN починят:

Но мы то прекрасно понимаем, что это скорее был вежливый посыл в пешую эротическую прогулку 🙂 и ничего в результате не изменится, разве только в худшую сторону. )))

P.S. Не хочется даже думать о том, чем всё это может закончиться и куда завести, но первое пришедшее на ум предположение я уже сделал в декабре прошлого года, когда впечатления от «кляузника» Касперского были ещё свежи. У кого-то есть гарантии того, что завтра Антивирус Касперского не станет обязательным для установки всех граждан, проживающих на территории РФ и вся его информация официально не превратится в доказательно-карательный инструмент силовых структур? А уж вспоминать про то, что контроль белых и чёрных списков сайтов и программ всей страны — сказочная мечта любой спецслужбы, и вообще не стоит.

Метки: , , , , , , , , , , , , , , , . Закладка Постоянная ссылка.

20 комментариев: Kaspersky Security Network (KSN)

  1. mrbelyash пишет:

    гы-гы
    дядя Женя нихароший дядя

  2. mrbelyash пишет:

    Меня вот больше интрересует почему громадное кол-во винлоков не разбирается и номера и коды разблокировки не поступают на унлокеры.

    А ведь это видно.
    Походу АВ компании просто не заинтересованы в этих бесплатных сервисах…Пиар да и только..

    Увы и ах
    ;(

  3. xoxmodav пишет:

    Правильней говорить о том, что антивирусным компаниям на руку продолжающаяся атака винлоков на компьютеры — это очень доходчиво объясняет пользователям, что пора купить антивирус. Кто же будет портить рекламную компанию, ежели она мало того, что бесплатная, так ещё и действительно «вирусная» — количество вовлечённых с каждым днём множится. 🙂

  4. xoxmodav пишет:

    Я уже задавался этим вопросом в начале года и приводил весьма простые способы борьбы с основным костяком угрозы — http://xoxmodav.net/?p=7590

  5. xoxmodav пишет:

    Ндя… Кругом складывается весьма плачевная ситуация, однако почему-то никого это не беспокоит и ничего не меняется…

  6. xoxmodav пишет:

    Кстати — ты только одному вируслабу помогаешь по анлокерам или нескольким сразу?

  7. mrbelyash пишет:

    Касперы меня банят

  8. xoxmodav пишет:

    За что это они так они? Как-то объясняют причину своего поведения?

  9. mrbelyash пишет:

    У гостева на меня алергия 😀

  10. redbear пишет:

    Аналогичная ситуация имеет место быть и с другими ведущими антивирусными продуктами. И далеко не первый год уже.

  11. redbear пишет:

    Сюда (к кляузникам) можно добавить и саму винду.

  12. redbear пишет:

    По-умолчанию сетевой стек как Виндовс, так и Линукс с Фряхой имеют уязвимую конфигурацию. А теперь задайте себе вопрос: «Каков процент тех, кто правит стек и делает его безопасным?» А также вопрос: «Почему ведущие антивирусы не изменяют его, хотя эти уязвимости известны уже много-много лет, да, к тому же, без тюнинга стека ВСЕ!!! антивирусы при сегфалтются при получении некоторых, особым образом сфомированных, пакетов.

    Т. е. больше вопросов возникает, чем ответов на них. В рекламе борьба с вирусней, а на деле — попустительство её распространению со стороны самих антивирусных компаний (не только каспера). исключение, пожалуй, в некоторой (большей) мере, имеет место быть с продукцией Checkpoint Software.

  13. xoxmodav пишет:

    Сложно сказать, что вообще в этом мире безопасно. К примеру, продукция одной весьма широко известной и серьёзной компании во время боевых действий с одной маленькой, но гордой страной, внезапно перестали работать на какое-то время без видимых причин на ряде предприятий и поэтому в дальнейшем определённые органы безопасности рекомендовали не использовать продукцию данной фирмы в серьёзных сетях с подключением к сети Интернет.

  14. redbear пишет:

    Встроенными средствами винды обезопасить её стек нереально (только улучшить), в отличие от встроенных средств Линукс и Бзды. Но на помощь винде приходят сторонние решенеия, в т. ч. от одной изветсной антивирусной зарубежной компании. И получается конфетка, я имею ввиду винду, но горячая, т. к. грется сильнее линуха на ноутах начинает, да и не только на ноутах. Но, если кому необходима максимальная безопасность, а по темстам ведущих вируслабов и секьюрити центров, уровень безопасности получается 100% для винды в этом случае.

    Так что, есть чему верить, есть. Жаль, что не касперу и др. вебу. Им еще расти и расти из своих штанишек.

    Это не троллинг, а понуждение Евгения к исследованиям. Пройди мой путь и откроется тебе истина.

  15. xoxmodav пишет:

    Хм, но всё же уж больно сильно напоминает троллинг. 🙂 Можно хоть какой-то намёк на упомянутую «одну известную антивирусную зарубежную компанию»?

  16. mrbelyash пишет:

    новый браузер от яндекса(который старый хромиум) теперь тоже отправляет файлы в лабораторию дяди Жени

  17. Уведомление:KSN и ФСБ | Дневник хохмодава

  18. Cybertronik пишет:

    А я просто деинсталлирую KSN.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *