Антивирус «Лаборатории Касперского» может удаленно блокировать работу компьютеров и бесконтрольно передавать данные пользователей спецслужбам РФ. Чем еще грозит использование «Антивируса Касперского» в украинских госорганах.
Несколько дней назад в распоряжении украинского издания освещающего IT-тематику AIN.UA [2] оказалось часть исследования, проведенного по заказу украинского правительства одной из компаний, специализирующейся на защите информации. Исследование, содержащее свыше 100 страниц текста, посвящено безопасности использования разработок «Лаборатории Касперского» в украинских госорганах.
Заключения экспертов весьма категоричны — антивирус может удаленно блокировать работу компьютеров и бесконтрольно передавать данные пользователей спецслужбам РФ. Издание опубликовало выводы, сделанные авторами исследования, а также скриншоты отдельных страниц. По просьбе авторов в AIN.UA не назвали компанию, проводившую исследование.
Актуальной задачей исследования является определение потенциальных угроз для органов государственной власти Украины при использовании антивирусных продуктов Российской разработки компании «Лаборатория Касперского».
Выполнялся поиск следующих видов угроз:
Автоматическая скрытая передача информации с ПК, защищаемого антивирусными продуктами, на внешние сервера;
Запуск троянских функций с целью изменения логики работы ПК, модифицирования/уничтожения информации, выведения ПК из строя путём повреждения их программной и/или аппаратной части.
Использование антивирусных продуктов производства «Лаборатории Касперского» несёт высокие риски в области бесконтрольной передачи информации с ПК пользователей на сервера компании, с возможностью дальнейшего использования данной информации, включая передачу её правоохранительным органам и силовым структурам Российской Федерации.
Антивирус Касперского
Выполнялось исследование антивирусных русскоязычных версий продуктов Kaspersky Antivirus 2014 и Kaspersky Internet Security 2014, доступных на официальном сайте компании.
Общее заключение по исследованию
Общие особенности работы антивируса с точки зрения информационной безопасности.
Все продукты антивируса Касперского работают в системе с наивысшим приоритетом, и не могут быть ограничены или контролироваться каким-либо внешним программным обеспечением или самой операционной системой.
Во время работы продукты проводят обмен данными с серверами, расположенными в США и России.
Все передаваемые данные, отправляемые с компьютера зашифрованы и не могут быть проанализированы.
Общий анализ потенциальных угроз
Существует два основных направления угроз, связанных с использованием антивирусных продуктов Лаборатории Касперского:
Использование облачных технологий в анализе угроз.
Мощная система обновлений продукта.
Объём и содержание передаваемой с компьютера информации. В лицензионном соглашении продуктов Касперского присутствует пункт 5.2. Для повышения уровня оперативной защиты Вы соглашаетесь в автоматическом режиме предоставлять информацию о контрольных суммах обрабатываемых файлов (MD5), информацию для определения репутации URL, статистику использования продуктовых уведомлений, статистические данные для защиты от спама, данные об активации и версии используемого ПО, информацию о типах обнаруженных угроз, а также об используемых цифровых сертификатах и информацию необходимую для проверки их подлинности.
В процессе работы на тестовом ПК в течении двух часов главным процессом продукта (avp.exe) было передано в сеть на иностранные сервера около 600 мб информации. При этом невозможно определить содержимое этой информации.
Данная технология (собирающая все необходимые данные, а также позволяющая антивирусу принимать решения на основе данных, полученных с серверов Лаборатории Касперского) называется KSN – Kaspersky Security Network.
Как показало исследование – полностью отключить данную систему нельзя. Ответ службы поддержки «Лаборатории Касперского» говорит о том, что «Отключение модуля KSN отменяет передачу данных с ПК пользователя, но при этом приём и использование информации выполняется в любом случае». На самом деле отправка атрибутов проверяемых антивирусом файлов или сайтов всё равно выполняется, так как именно на основе этих данных антивирус получает данные из KSN о необходимости блокирования файла.
Использование социальных технологий
Облачные технологии продуктов лаборатории Касперского используются для увеличения качества и скорости детектирования вирусных баз. По сути, используются механизмы репутационного анализа.
Кратко их суть сводится к тому, что пользователи продукта, могут передавать на сервера «Лаборатории Касперского» своё мнение о том, что какой-то файл или сайт являются вредоносными. При этом на сервере формируется «репутация» для данного сайта или файла, основанная на множестве сообщений от различных пользователей. Все остальные копии продуктов запрашивают данные с данного сервера репутаций и на их основании могут выполнять блокирование файлов или сайтов на компьютерах, с установленным антивирусом Касперского.
Использование этой технологии может привести к временному блокированию сайтов или файлов на ПК пользователей, спровоцированному иностранной аудиторией продуктов «Лаборатории Касперского».
Система обновлений
Система обновлений антивируса Касперского состоит из двух ключевых направлений: обновление программных модулей и обновление вирусных баз.
Механизм обновления программных модулей выполняет загрузку новых версией программных модулей продукта, добавляет в продукт новую функциональность или изменяет существующую. Данный механизм может быть отключен в настройках продукта.
Механизм обновления вирусных баз загружает и автоматически применяет дополнения, а также изменения к существующим внутренним базам. Отключение данного механизма делает несостоятельной защиту, обеспечиваемую антивирусом Касперского.
Какие угрозы существуют в системе обновлений вирусных баз
Неконтролируемый двухсторонний обмен данными. При обновлении антивируса на тестовой системе было загружено 98 Мб информации, и при этом передано около 14 Мб информации неустановленного содержания.
Чрезмерные возможности обновлений вирусных баз. Обновления вирусных баз представляет собой два вида данных:
Вирусные записи в собственном формате данных, являющиеся данными для антивируса о том, какие файлы и сайты необходимо идентифицировать как вредоносные, и какие действия из списка стандартных необходимо выполнить для нейтрализации обнаруженных угроз.
Процедуры в виде машинного кода, активизируемые антивирусом в различных ситуациях (при обнаружении какого то конкретного файла, или при проверке каждого файла и т.п.).
Обновление вирусных баз (поставляемое в виде машинного кода) является полноценной подпрограммой, обладающей всем необходимым доступом к системе, программному обеспечению и данным. Вирусные базы передаются и хранятся на компьютере в зашифрованном виде и не могут быть проанализированы. При этом конкретный участок кода, присутствующий в базах, или переданный в виде обновлений, может выполняться не всегда, а только при наступлении какого то определённого события.
Сотрудничество Лаборатории Касперского с ФСБ России
Евгений Касперский, основатель компании и технологический идеолог компании «Лаборатория Касперского», окончил «Высшую краснознамённую школу КГБ» (в настоящее время факультет известен как Институт криптографии, связи и информатики Академии ФСБ России).
«Лаборатория Касперского» постоянно сотрудничает с ФСБ в области: предоставления информации, анализа и расследования инцидентов, консультаций в области информационной безопасности.
В пресс-службе «Лаборатории Касперского» AIN.UA [2] ответили, что по их мнению данный документ не является исследованием, скорее это напоминает попытку манипуляции на фоне текущей обостренной ситуации на территории Украины.
«Все наши продукты регулярно проверятся и сертифицируются, в том числе на предмет отсутствия «закладок». Kaspersky Lab беспристрастна в вопросе обеспечения информационной безопасности вне зависимости от политической ситуации. И мы уверены, что клиенты, выбирающие продукты безопасности с точки зрения объективных критериев, разделяют нашу позицию и не станут жертвами подобных провокаций», — сообщили в офисе лаборатории.
В тему: Сайт ЦИК атаковали из России, - СБУ [3]
Напомним, что накануне выборов хакеры взломали избирательную систему ЦИК и временно вывели из строя IT-инфраструктуру Центризбиркома. В результате хакерской атаки в интернет попали все пароли доступа и структура компьютерной сети организации. Как сообщил глава Госспецсвязи Владимир Зверев, установленный на компьютере администратора ЦИКа антивирус «Касперского» не сработал и злоумышленники смогли добраться до остальных серверов организации.
В самой лаборатории Касперского на обвинения ответили тем, что антивирус не мог предотвратить подобную атаку. «По заявлениям хакеров, атака на ЦИК Украины была совершена через использование 0-day уязвимости в Cisco ASA – что в принципе не может быть предотвращено антивирусным решением, установленным в ЦИК», - сообщил изданию управляющий директор «Лаборатории Касперского» в Украине, Молдове, Беларуси, Румынии и Болгарии Александр Савушкин.
—
Тимур Ворона, опубликовано в издании AIN.UA [2]
В тему:
Ссылки:
[1] https://argumentua.com/stati/kriminal/kiberprestupnost
[2] http://ain.ua/
[3] http://argumentua.com/novosti/sait-tsik-atakovali-iz-rossii-sbu
[4] http://argumentua.com/stati/internet-trolling-prevratilsya-v-industriyu
[5] http://argumentua.com/stati/konets-mega-d-zhitie-i-bitie-velikogo-spamera-kak-ne-stoit-zarabatyvat-dengi
[6] http://argumentua.com/stati/vzlet-i-padenie-carderplanet-glazami-uchastnika-dvizheniya
[7] http://argumentua.com/stati/carderplanet-i-ubiistvo-dmitriya-zavgorodnego-delo-rossiiskikh-spetssluzhb
[8] http://argumentua.com/stati/kiber-voina-v-ataku-idut-tolko-khakery-i-boty
[9] http://argumentua.com/stati/belye-khakery-protiv-chernykh