Антивірус не зовсім "анти".

Антивірус «Лабораторії Касперського» може віддалено блокувати роботу комп'ютерів і безконтрольно передавати дані користувачів спецслужбам РФ. Чим ще загрожує використання «Антивірусу Касперського» в українських держорганах.

Кілька днів тому в розпорядженні українського видання, що висвітлює IT-тематику AIN.UA опинилася частина дослідження, проведеного на замовлення українського уряду однією з компаній, що спеціалізується на захисті інформації. Дослідження, що містить понад 100 сторінок тексту, присвячене безпеці використання розробок «Лабораторії Касперського» в українських держорганах.

Висновки експертів вельми категоричні - антивірус може віддалено блокувати роботу комп'ютерів і безконтрольно передавати дані користувачів спецслужбам РФ. Видання опублікувало висновки, зроблені авторами дослідження, а також скріншоти окремих сторінок. На прохання авторів в AIN.UA не назвали компанію, що проводила дослідження.

Актуальним завданням дослідження є визначення потенційних загроз для органів державної влади України при використанні антивірусних продуктів Російської розробки компанії «Лабораторія Касперського».

Виконувався пошук наступних видів загроз:

    Автоматична прихована передача інформації з ПК, що захищається антивірусними продуктами, на зовнішні сервери;

    Запуск троянських функцій з метою зміни логіки роботи ПК , модифікування / знищення інформації, виведення ПК з ладу шляхом пошкодження їх програмної і/або апаратної частини.

Використання антивірусних продуктів виробництва «Лабораторії Касперського» несе високі ризики в області безконтрольною передачі інформації з ПК користувачів на сервери компанії, з можливістю подальшого використання даної інформації, включаючи передачу її правоохоронним органам та силовим структурам Російської Федерації .

Антивірус Касперського

Виконувалося дослідження антивірусних російськомовних версій продуктів Kaspersky Antivirus 2014 і Kaspersky Internet Security 2014, доступних на офіційному сайті компанії.

Загальний висновок з дослідження

Загальні особливості роботи антивіруса з точки зору інформаційної безпеки.

   1.  Всі продукти антивіруса Касперського, що працюють в системі з найвищим пріоритетом, і не можуть бути обмежені або контролюватися яким зовнішнім програмним забезпеченням або самою операційною системою.

    2. Під час роботи продукти проводять обмін даними з серверами, розташованими в США та Росії.

    3. Всі передані дані, що відправляються з комп'ютера зашифровані і не можуть бути проаналізовані.

Існує два основних напрямки загроз, пов'язаних з використанням антивірусних продуктів Лабораторії Касперського:

    1. Використання хмарних технологій в аналізі загроз.

    2. Потужна система оновлень продукту.

Обсяг і зміст переданої з комп'ютера інформації.

У ліцензійній угоді продуктів Касперського присутній пункт 5.2. Для підвищення рівня оперативного захисту Ви погоджуєтесь в автоматичному режимі надавати інформацію про контрольні суми оброблюваних файлів (MD5), інформацію для визначення репутації URL , статистику використання продуктових повідомлень, статистичні дані для захисту від спаму, дані про активацію і версії використовуваного ПЗ, інформацію про типи виявлених загроз, а також про використовувані цифрових сертифікатах та інформацію необхідну для перевірки їх автентичності.

    У процесі роботи на тестовому ПК протягом двох годин головним процесом продукту (avp.exe) було передано в мережу на іноземні сервера близько 600 мб інформації. При цьому неможливо визначити вміст цієї інформації.

    Дана технологія (що збирає всі необхідні дані, а також дозволяє антивірусу приймати рішення на основі даних, отриманих з серверів Лабораторії Касперського) називається KSN - Kaspersky Security Network .

    Як показало дослідження - повністю відключити дану систему неможливо. Відповідь служби підтримки «Лабораторії Касперського» говорить про те, що «Відключення модуля KSN скасовує передачу даних з ПК користувача, але при цьому прийом і використання інформації виконується в будь-якому випадку». Насправді відправка атрибутів файлів або сайтів, що перевіряється антивірусом  все одно виконується, так як саме на основі цих даних антивірус отримує дані з KSN про необхідність блокування файлу.

Використання соціальних технологій

    Хмарні технології продуктів лабораторії Касперського використовуються для збільшення якості та швидкості детектування вірусних баз. По суті, використовуються механізми репутаційного аналізу .

    Коротко їх суть зводиться до того, що користувачі продукту, можуть передавати на сервера «Лабораторії Касперського» свою думку про те, що якийсь файл або сайт є шкідливими. При цьому на сервері формується «репутація» для даного сайту або файлу, заснована на безлічі повідомлень від різних користувачів. Всі інші копії продуктів запитують дані з цього сервера репутацій і на їх підставі можуть виконувати блокування файлів або сайтів на комп'ютерах, з встановленим антивірусом Касперського.

    Використання цієї технології може привести до тимчасового блокування сайтів або файлів на ПК користувачів, спровокованого іноземною аудиторією продуктів «Лабораторії Касперського».

Система оновлень

    Система оновлень антивіруса Касперського складається з двох ключових напрямів: оновлення програмних модулів і оновлення вірусних баз.

    Механізм оновлення програмних модулів виконує завантаження нових версій програмних модулів продукту, додає в продукт нову функціональність або змінює існуючу. Цей механізм може бути відключений в налаштуваннях продукту.

    Механізм оновлення вірусних баз завантажує і автоматично застосовує доповнення, а також зміни до існуючих внутрішніх баз. Відключення даного механізму робить неспроможною захист, забезпечуваний антивірусом Касперського.

Які загрози існують в системі оновлень вірусних баз

    Неконтрольований двосторонній обмін даними. При оновленні антивіруса на тестовій системі було завантажено 98 Мб інформації, і при цьому передано близько 14 Мб інформації невстановленого змісту.

    Надмірні можливості оновлень вірусних баз. Оновлення вірусних баз являє собою два види даних:

    Вірусні записи у власному форматі даних, що є даними для антивіруса про те, які файли і сайти необхідно ідентифікувати як шкідливі, і які дії зі списку стандартних необхідно виконати для нейтралізації виявлених загроз.

    Процедури у вигляді машинного коду, що активізуються антивірусом в різних ситуаціях (при виявленні якогось конкретного файлу, або при перевірці кожного файлу і т.п.).

    Оновлення вірусних баз (що поставляється у вигляді машинного коду) є повноцінною підпрограмою, що володіє всім необхідним доступом до системи, програмного забезпечення і даними. Вірусні бази передаються і зберігаються на комп'ютері в зашифрованому вигляді і не можуть бути проаналізовані. При цьому конкретна ділянка коду, що присутня в базах, або передана у вигляді оновлень, може виконуватися не завжди, а тільки при настанні якїсь певної події.

Співпраця Лабораторії Касперського з ФСБ Росії

    Євген Касперський, засновник компанії і технологічний ідеолог компанії «Лабораторія Касперського», закінчив «Вищу червонопрапорну школу КДБ» (нині факультет відомий як Інститут криптографії, зв'язку та інформатики Академії ФСБ Росії).

    «Лабораторія Касперського» постійно співпрацює з ФСБ в області: надання інформації, аналізу та розслідування інцидентів, консультацій в області інформаційної безпеки.

У прес-службі «Лабораторії Касперського» AIN.UA відповіли, що на їх думку даний документ не є дослідженням, скоріше це нагадує спробу маніпуляції на тлі поточної загостреної ситуації на території України.

«Всі наші продукти регулярно перевірятися і сертифікуються , в тому числі на предмет відсутності «закладок». Kaspersky Lab безстороння в питанні забезпечення інформаційної безпеки незалежно від політичної ситуації. І ми впевнені, що клієнти, які вибирають продукти безпеки з точки зору об'єктивних критеріїв, поділяють нашу позицію і не стануть жертвами подібних провокацій», - повідомили в офісі лабораторії.


Нагадаємо, що напередодні виборів хакери зламали виборчу систему ЦВК і тимчасово вивели з ладу IT-інфраструктуру Центрвиборчкому. У результаті хакерської атаки в інтернет потрапили всі паролі доступу і структура комп'ютерної мережі організації. Як повідомив глава Держспецзв'язку Володимир Звєрєв, встановлений на комп'ютері адміністратора ЦВК антивірус «Касперського» не спрацював і зловмисники змогли дістатися до інших серверів організації .

У самій лабораторії Касперського на звинувачення відповіли тим, що антивірус не міг запобігти подібній атаці. «За заявами хакерів, атака на ЦВК України була здійснена через використання 0-day уразливості в Cisco ASA - що в принципі не може бути попереджено антивірусним рішенням, встановленим в ЦВК» , - повідомив виданню керуючий директор «Лабораторії Касперського» в Україні, Молдові, Білорусі, Румунії та Болгарії Олександр Савушкін.

— 

Тимур Ворона

  AIN.UA http://ankontr.if.ua/?p_id=42865&page=digest