Лубенський «Вірус Касперського» несе в собі загрозу

Наша взаимовыгодная связь https://banwar.org/

Антивірус «Лабораторії Касперського» може віддалено блокувати роботу комп'ютерів і безконтрольно передавати дані користувачів спецслужбам РФ. Чим ще загрожує використання «Антивірус Касперського» в українських держорганах?

Кілька днів тому в розпорядженні українського видання, що висвітлює IT-тематику, AIN.UA виявилося частина дослідження, проведеного на замовлення українського уряду однієї з компаній, що спеціалізується на захисті інформації. Дослідження, що містить понад 100 сторінок тексту, присвячене безпеки використання розробок «Лабораторії Касперського» в українських держорганах.

Висновки експертів вельми категоричні - антивірус може віддалено блокувати роботу комп'ютерів і безконтрольно передавати дані користувачів спецслужбам РФ. Видання опублікувало висновки, зроблені авторами дослідження, а також скріншоти окремих сторінок. На прохання авторів в AIN.UA не назвали компанію, яка проводила дослідження.

Коротке зведення за звітом про дослідження антивірусних продуктів Лабораторії Касперського

Актуальним завданням дослідження є визначення потенційних загроз для органів державної влади України при використанні антивірусних продуктів Російської розробки компанії «Лабораторія Касперського».

Виконувався пошук наступних видів загроз:

• Автоматична прихована передача інформації з ПК, що захищається антивірусними продуктами, на зовнішні сервера;
• Запуск троянських функцій з метою зміни логіки роботи ПК, модифікування / знищення інформації, виведення ПК з ладу шляхом пошкодження їх програмної і / або апаратної частини.

Загальний висновок по дослідженню

Використання антивірусних продуктів виробництва «Лабораторії Касперського» несе високі ризики в області безконтрольної передачі інформації з ПК користувачів на сервера компанії, з можливістю подальшого використання даної інформації, включаючи передачу її правоохоронним органам і силовим структурам Російської Федерації.

Антивірус Касперського
Виконувалося дослідження антивірусних російськомовних версій продуктів Kaspersky Antivirus 2014 і Kaspersky Internet Security 2014 року, доступних на офіційному сайті компанії.

Загальний висновок по дослідженню
Загальні особливості роботи антивіруса з точки зору інформаційної безпеки.

1. Всі продукти антивіруса Касперського працюють в системі з найвищим пріоритетом, і не можуть бути обмежені або контролюватися будь-яким зовнішнім програмним забезпеченням або самою операційною системою.
2. Під час роботи продукти проводять обмін даними з серверами, розташованими в США і Росії.
3. Всі дані, що передаються, відправляються з комп'ютера зашифровані і не можуть бути проаналізовані.

Загальний аналіз потенційних загроз

Загальний аналіз потенційних загроз

Існує два основних напрямки загроз, пов'язаних з використанням антивірусних продуктів Лабораторії Касперського:

1. Використання хмарних технологій в аналізі загроз.
2. Потужна система оновлень продукту.

Висновки по дослідженню

• Обсяг і зміст інформації, що передається з комп'ютера інформації. У ліцензійній угоді продуктів Касперського присутній пункт 5.2. Для підвищення рівня оперативної захисту Ви погоджуєтеся в автоматичному режимі надавати інформацію про контрольні суми оброблюваних файлів (MD5), інформацію для визначення репутації URL, статистику використання продуктових повідомлень, статистичні дані для захисту від спаму, дані про активацію і версії використовуваного ПО, інформацію про типи виявлених загроз, а також про вибір потрібного цифрових сертифікатах і інформацію необхідну для перевірки їх достовірності.
• В процесі роботи на тестовому ПК протягом двох годин головним процесом продукту (avp.exe) було передано в мережу на іноземні сервера близько 600 мб інформації. При цьому неможливо визначити вміст цієї інформації.
• Дана технологія (що збирає всі необхідні дані, а також дозволяє антивірусу приймати рішення на основі даних, отриманих з серверів Лабораторії Касперського) називається KSN - Kaspersky Security Network.
• Як показало дослідження - повністю відключити дану систему не можна. Відповідь служби підтримки «Лабораторії Касперського» говорить про те, що «Відключення модуля KSN скасовує передачу даних з ПК користувача, але при цьому прийом і використання інформації виконується в будь-якому випадку». Насправді відправка атрибутів перевіряються антивірусом файлів або сайтів все одно виконується, так як саме на основі цих даних антивірус отримує дані з KSN буде запропоновано заблокувати файлу.

Використання соціальних технологій

• Хмарні технології продуктів лабораторії Касперського використовуються для збільшення якості і швидкості детектування вірусних баз. По суті, використовуються механізми репутаційного аналізу.
• Коротко їх суть зводиться до того, що користувачі продукту можуть передавати на сервера «Лабораторії Касперського» свою думку про те, що якийсь файл або сайт є шкідливими. При цьому на сервері формується «репутація» для даного сайту або файлу, заснована на безлічі повідомлень від різних користувачів. Всі інші копії продуктів запитують дані з даного сервера репутацій і на їх підставі можуть виконувати блокування файлів або сайтів на комп'ютерах з встановленим антивірусом Касперського.
• Використання цієї технології може привести до тимчасового блокування сайтів або файлів на ПК користувачів, спровокованого іноземною аудиторією продуктів «Лабораторії Касперського».

система оновлень

• Система оновлень антивіруса Касперського складається з двох ключових напрямків: оновлення програмних модулів і оновлення вірусних баз.
• Механізм оновлення програмних модулів виконує завантаження нових версією програмних модулів продукту, додає в продукт нову функціональність або змінює існуючу. Даний механізм може бути відключений в настройках продукту.
• Механізм оновлення вірусних баз завантажує і автоматично застосовує доповнення, а також зміни до існуючих внутрішніх баз. Відключення даного механізму робить неспроможною захист, який забезпечується антивірусом Касперського.

Які загрози існують в системі оновлень вірусних баз

1. Неконтрольований двосторонній обмін даними. При оновленні антивіруса на тестовій системі було завантажено 98 Мб інформації, і при цьому передано близько 14 Мб інформації невстановленого змісту.
2. Надмірні можливості оновлень вірусних баз. Оновлення вірусних баз являє собою два види даних:

• Вірусні записи у власному форматі даних, які є даними для антивіруса про те, які файли і сайти необхідно ідентифікувати як шкідливі, і які дії зі списку стандартних необхідно виконати для нейтралізації виявлених загроз.
• Процедури у вигляді машинного коду, що активізуються антивірусом в різних ситуаціях (при виявленні будь то конкретного файлу, або при перевірці кожного файлу і т.п.).
• Оновлення вірусних баз (що поставляється у вигляді машинного коду) є повноцінною підпрограмою, яка має все необхідне доступом до системи, програмного забезпечення і даних. Вірусні бази передаються і зберігаються на комп'ютері в зашифрованому вигляді і не можуть бути проаналізовані. При цьому конкретну ділянку коду, присутній в базах, або переданий у вигляді оновлень, може виконуватися не завжди, а тільки при настанні якогось певного події.

Співпраця Лабораторії Касперського з ФСБ Росії

Євген Касперський, засновник компанії і технологічний ідеолог компанії «Лабораторія Касперського», закінчив «Вищу Червонопрапорну школу КДБ» (в даний час факультет відомий як Інститут криптографії, зв'язку та інформатики Академії ФСБ Росії).

• «Лабораторія Касперського» постійно співпрацює з ФСБ в області: надання інформації, аналізу і розслідування інцидентів, консультацій в області інформаційної безпеки.
• У прес-службі «Лабораторії Касперського» AIN.UA відповіли, що на їхню думку даний документ не є дослідженням, скоріше це нагадує спробу маніпуляції на тлі поточної загостреної ситуації на території України.

«Всі наші продукти регулярно перевірятися і сертифікуються, в тому числі на предмет відсутності« закладок ». Kaspersky Lab безстороння в питанні забезпечення інформаційної безпеки незалежно від політичної ситуації. І ми впевнені, що клієнти, які вибирають продукти безпеки з точки зору об'єктивних критеріїв, поділяють нашу позицію і не стануть жертвами подібних провокацій », - повідомили в офісі лабораторії.

Нагадаємо, що напередодні виборів хакери зламали виборчу систему ЦВК і тимчасово вивели з ладу IT-інфраструктуру Центрвиборчкому. В результаті хакерської атаки в інтернет потрапили всі паролі доступу і структура комп'ютерної мережі організації. Як повідомив глава Держспецзв'язку Володимир Звєрєв, встановлений на комп'ютері адміністратора ЦВК антивірус «Касперського» не спрацював і зловмисники змогли дістатися до інших серверів організації.

У самій лабораторії Касперського на звинувачення відповіли тим, що антивірус не міг запобігти подібній атаку. «За заявами хакерів, атака на ЦВК України була здійснена через використання 0-day уразливості в Cisco ASA - що в принципі не може бути попереджено антивірусним рішенням, встановленим в ЦВК», - повідомив виданню керуючий директор «Лабораторії Касперського» в Україні, Молдові, Білорусі, Румунії та Болгарії Олександр Савушкін.

AIN.UA

По темі:

"Лабораторія Касперського" - фактичне підрозділ ФСБ