В «Космической одиссее 2001 года» Фрэнк Боумэн отключает, один за другим, модули памяти компьютера HAL 9000, а HAL 9000 поет песню про Дейзи. Чуть раньше HAL пытался убить самого Боумэна, а заодно и всех остальных людей на борту «Дискавери-1», и у него почти получилось. Зачем он это сделал? Трактовать можно по-разному. Например, что получив две вводные: «Я знаю больше, чем экипаж, и должен хранить этот секрет» и «Они планируют меня отключить», HAL абсолютно логично посчитал, что он важнее, чем экипаж. Фрэнку тем не менее очень хотелось жить, и, зная, что имеет дело с компьютером, он не стал просить компьютер одуматься, а просто разнес чертову железку на микросхемы.С компьютерами на самом деле очень просто: они всегда (всегда!) делают то, на что запрограммированы. С людьми сложнее: понять мотивацию и причины для высказываний и поступков подчас вовсе невозможно. Люди (пока что только они) программируют компьютеры, и собственно все компьютерные проблемы – от глюков системы до вирусов – от людей. В сегодняшнем первоапрельском посте – пять историй про людей, а также немножко про программы. И совсем чуть-чуть про троллей и баню. И самую малость – про то, как люди мешают программистам работать.
История первая. Пострадавшая пользователь.
Пострадавшая пользователь скачала нашу бесплатную утилиту Kaspersky Security Scan, запустила, просканировала, увидела, что с ее компьютером не все хорошо (ну то есть не то, чтобы совсем ужасно, но и не идеально), ужаснулась и приобрела наше полнофункциональное защитное решение. Ну вроде бы как все нормально, только потом пользователь поняла (или ей подсказали), что таким образом мы ее как бы заставили потратить деньги.
В США на нас был подан соответствующий иск, в процессе слушаний мы представили массу доказательств, что отмеченные утилитой настройки системы и уязвимости действительно влияют на безопасность. Возможно настоящая пострадавшая пользователь пожелала бы выслушать вердикт судьи по ее и нашим аргументам, но реальная цель иска заключалась не в этом, а в получении от нас солидной компенсации. Поняв, что просто так они ничего не получат, горе-юристы моментально растворились в тумане.
История вторая. Неуловимая адварь.
Самая важная особенность предыдущей истории в том, что она не имеет никакого отношения к тому, как собственно работает наша утилита. Вообще. Подавшим иск не было никакого интереса хоть как-то аргументированно обсуждать, насколько программа эффективна, решает ли она поставленную задачу и нужна ли она вообще. Они хотели easy money, а когда мы принесли как минимум 112 доводов в нашу защиту, моментально слились. Дискуссии — не их сфера компетенции.
А что на самом деле делает Kaspersky Security Scan? Программа ищет а) вредоносное ПО б) уязвимости в) некорректные настройки системы вроде авторана. Ее задача а) просканировать систему, на которой антивируса не было никогда (таких, увы много) или б) просканировать систему, на которой стоит другой антивирус (и есть подозрения, что он «не торт»). Последний пункт накладывает на утилиту серьезные ограничения: конфликтовать с другим АВ нельзя, поэтому возможностей у нее по определению меньше, чем у полноценного решения. И как оно, работает? Приведу пример.
Качаем программу Privoxy, которая, по иронии судьбы, предназначена, в том числе, для блокировки рекламы. Как это часто бывает, качаем не с сайта производителя, а откуда попало. Как следствие: при установке получаем и программу, и еще какой-то непонятный процесс по имени Close_Ad.exe.
Наблюдаем в браузере пачку непрошеной рекламы:
Нам это не очень нравится, поэтому скачиваем Kaspersky Security Scan и сканируем:
Kaspersky Security Scan детектирует адварь и далее предлагает скачать пробную версию нашего коммерческого продукта (или сразу купить), который, в свою очередь, может компьютер вылечить.
Kaspersky Security Scan использует базу от 7 декабря, но поймать более свежую адварь (тестировали в конце января) ему это не помешало – эвристика!
А теперь попробуем просканировать компьютер бесплатным антивирусом, он же нас может вылечить, и деньги платить не надо. Но не судьба.
Но это было в январе, а на дворе апрель (хотя и не похоже), посмотрим что изменилось за два месяца на VirusTotal. Адварь детектируют не все, но хотя бы Avast реабилитировался (в январе вообще детектировали только пять продуктов).
Но пользователю, который уже словил адварь, и хочет от нее избавиться, это не поможет. Так как скрипт, подставляющий рекламу, не детектируется вообще никем, кроме одного российского продукта. Да, бесплатный Kaspersky Security Scan тоже детектирует скрипт.
История третья. Жирный тролль.
Конечно пример выше – это только один пример, хотя и впечатляющий. Уверен, можно запросто привести обратный пример, когда Kaspersky Security Scan что-то не ловит. Как я уже говорил выше, эта программа в принципе не может задетектировать все, например руткиты этой утилите не под силу. Но и сделана она для тех, кто, скажем, видит в браузере кучу рекламы, и не может понять – то ли интернет такой замусоренный, то ли с компьютером что-то не так.
Можно на наш пример полезности Kaspersky Security Scan привести свой пример, когда он что-то не видит. Можно потестировать продукт по определенной базе вредоносных программ и сравнить его производительность с аналогичными утилитами. В любом случае, это будет некая дискуссия с аргументами сторон, где каждый сможет для себя оценить силу приведенных доказательств.
А еще можно написать пост, в котором без всяких доказательств поставить Kaspersky Security Scan в один ряд с фейковыми AV, да еще назвать эту утилиту «антивирусом». Рассказать там, что он не ловит какие-то трояны (но не рассказать – какие). Особое внимание уделить дате обновления баз, не пытаясь даже разобраться, почему она такая и влияет ли она на что-то. Ну и, наконец, переврать лицензионное соглашение и «право делать выводы оставить за читателем».
Ссылку на пост приводить не буду, хотя он тут
— Я сейчас задам тебе простой вопрос, и ты сама в этом убедишься. Вот, слушай! Ты перестала пить коньяк по утрам, отвечай — да или нет?
— Да, да, конечно, — убежденно заверил Малыш, которому так хотелось помочь фрекен Бок. Но тут она совсем озверела.
— Нет! — закричала она, совсем потеряв голову. Малыш покраснел и подхватил, чтобы ее поддержать: — Нет, нет, не перестала!
— Жаль, жаль, — сказал Карлсон. — Пьянство к добру не приводит.
Астрид Линдгрен. Малыш и Карлсон
Естественно, на какие-либо комментарии автор такого поста не отвечает, ведь там, еще чего не хватало, могут приводиться какие-то факты и доказательства его неправоты. Потому что задача автора поста (как и пострадавшей пользователя) – совсем не заключается в поиске истины. Ему вообще ничего никому не надо доказывать, достаточно распространить по максимально возможной площади заранее заготовленную дурно пахнущую субстанцию.
История четвертая. Баня и трудности перевода.
Возьмем метод из предыдущей истории и добавим масштаба (ну и качество оторвем от плинтуса). Когда речь идет не о адвари и каких-то унылых троянах, а о крайне сложных и таргетированных инструментах кибершпионажа (а то и кибервойны), возникает такая весьма серьезная проблема – когда публиковать о них информацию. Проблема по большей части техническая и организационная: нужно собрать максимальное количество информации о конкретной кибератаке, проанализировать ее, не спугнуть раньше времени ее авторов, посоветоваться со специалистами других компаний (иногда даже с конкурентами). На все это нужно время, иногда очень много. Подробнее мы об этом писали тут и тут.
Важно, что проблема заключается именно в том, когда публиковать. А не в том, «публиковать или нет». И нет проблемы «защищать наших клиентов или повременить» (защищать сразу конечно). Если мы просто добавим какой-то хитрый вредонос в базу и успокоимся на этом, мы можем пропустить нечто более сложное и опасное. А не хотелось бы.
Одно уважаемое бизнес-издание решило исследовать эту проблему, провело большую работу, опросило много разных людей. И опубликовало результаты, которые, как вы уже наверное слышали, сводятся к тому, что Евгений Касперский регулярно ходит в баню. Какое отношение этот примечательный факт имеет к вопросу раскрытия данных о кибероружии, разработанном, предположительно, по заказу госструктур? Вот и мы не знаем.
И да, мы привели свои аргументы. Причем и после публикации статьи на Bloomberg, и до. Они не были услышаны в обоих случаях, опять же, потому что задача у авторов статьи заключалась не в этом. Подробнее тут.
История последняя. Не мешайте программисту.
Не могу не привести этот замечательный комикс (первоисточник):
К чему это я? Я начал пост с того, что программы пишут люди. Они отвечают за то, насколько хорошо (или не очень) эти программы работают. И да, процесс коммуникации человека с компьютером несколько отличается от того, как люди общаются друг с другом. В нашей компании работает 3000 человек, из них как минимум 1500 так или иначе связаны с разработкой ПО. Все остальные заняты тем, что им помогают, или, как минимум, стараются не мешать.
ОК, это довольно упрощенное представление компании, но оно сейчас важно. Есть вещи, которые помогают делать наши программы лучше, и есть те, которые мешают. К первым относится любая аргументированная дискуссия, основанная на фактах. Даже если это критика – наших продуктов, нашей компании или еще чего-то. Ко вторым относятся судебные разбирательства, реагирование на жирных троллей и статьи про баню. Не надо думать, что эти события никак не влияют на разработку. На суды тратятся деньги, на реагирование на дурацкие посты тратится время. Причем не только время юристов, пиарщиков и маркетологов, но и разработчиков и исследователей. Потому что отвечать мы хотим фактами, а фактами владеют технари.
Разумная критика делает нас лучше. На аргументированные претензии мы стараемся отвечать – и здесь, на Хабре, и вообще. Троллей кормить не хотим. Но реагировать на откровенную ложь – будем.
Какой-то нешуточный первоапрельский пост получился. Ну, ничего, шуточный тоже будет.
Комментарии (87)
necrofess
01.04.2015 12:46+9А про смену стартовой страницы, и про установку довесков при инсталяции конечно ни слова.
Kaspersky_Lab Автор
01.04.2015 12:54-25«Вы так говорите, как будто это что-то плохое» (с)
Яндекс — вполне нормальный такой довесок к бесплатной софтине, нет?necrofess
01.04.2015 12:55+17Яндекс может быть нормальным довеском разве что к б/у адскому котлу, который покупаешь через Джона, друга Сатаны.
Error1024
01.04.2015 12:59+6Да, я люблю Яндекс, однако на добровольной основе, как только мне пытаются что-либо навязать, я впадаю в бешенство.
f15
01.04.2015 13:31-2ОК, я сейчас попробую сформулировать, а вы скажите, если вдруг что не так.
Я допускаю, что на Хабре не вы один не любите «довески». На Хабре вообще довольно специфическая аудитория. Но эта же аудитория старается использовать профессиональные инструменты. Kaspersky Security Scan таковым не является. Таковым является или наш коммерческий продукт, или Kaspersky Virus Removal Tool, в котором вообще кроме голой функциональности «отсканировать-удалить» ничего нет.
Ogra
01.04.2015 13:39+4Все еще хуже — если хабраюзерам поставить что-то левое, то мы удалим. А что делать «общей» аудитории после таких «подарочков»? Правильно, дергать знакомых хабраюзеров, чтобы убрали/починили/переделали.
f15
01.04.2015 13:50ОК. Мне, лично, самому не очень нравится такая практика, но она весьма распространена. Как минимум, в инсталляторе KSS все прозрачно: никаких скрытых окошек, мелких кнопок итд. И заметьте, опять в комментариях обсуждается все, что угодно, только не сама программа :)
ionicman
01.04.2015 13:55+11Как подано — так и обсуждается.
Да, она распространена, но Вы не находите странным такую практику в АНТИВИРУСЕ??? " это простительно многим программам — но программа, которая должна заниматься защитой компьютера, попутно устанавливающая кучу всего и меняющая стартовую страницу — звучит как то не очень, согласитесь?
reff
01.04.2015 15:20Например, редиска, меняет url в яндекс.браузере с мапс.яндекс.ру на бета.мапс.яндекс.ру.
DjOnline
07.04.2015 15:06Ух ты, спасибо за ссылку.
Отвратительно выглядит. Несколько минут искал привычный переключатель слоёв. После закрытия окна справа так и не смог никак его открыть снова. Спутниковый слой тормозит безумно при захвате мышкой (Chrome).
Ogra
01.04.2015 13:08+8О бане, троллях и бесплатных продуктах «Лаборатории» — будете троллить Лабораторию, попадете в баню.
ionicman
01.04.2015 13:39+4Так то очень толсто!
Для начала потрудитесь ответить на мой вопрос, на который Вы так и не ответили habrahabr.ru/company/kaspersky/blog/253155/#comment_8335611
который появился после Вашего заявления про то, что "Разница между бесплатным и коммерческим продуктом — это разница между «я поставил антивирус» и «я защитил свои данные»"
А то политика у Вас очень простая — Вы отвечаете только на то, что Вам удобно и так, как Вам удобно.
Как сказал в той теме человек, который, как он сказал, отработал 6 лет в АВ компании «все, что происходит в мире АВ-продуктов, это подтасовки, пиар и бабло» походу четкая правда.Kaspersky_Lab Автор
01.04.2015 13:55-9Извините, но в отношении вас наша политика еще проще: мы вам не отвечаем.
Все необходимые аргументы были приведены в прошлом треде, на который вы сослались.
У нас есть методика сравнения. У вас нет. То, что вы предлагаете, методикой не является. Или является неправильной методикой, это кому как удобнее.ionicman
01.04.2015 14:00+10О как — т.е. «мы считаем что Вы не правы — у нас все правильно, а у Вас — нет» — на детский сад похоже, нет?
Вы зачем здесь блог-то ведете?
Показать, что Вы — компания «не очень» (Вы уже показали), или попытаться расположить к себе аудиторию и популяризовать свой продукт еще?
У Вас есть методика, которая показывает лишь только то, что Выгодно Вам — это раз. Почему — там было описано. Если Вы построете график, который я Вас просил — все это будет хорошо видно.
Если нет — снизойдите до нормального объяснения, а иначе Вы просто антипиарщик какой-то :) А перед технарями и админами плохо вот так вот «снисходить» до ответов.
Кто, Вы думаете, советует или ставит антивирус простым смертным? ;)
На данный момент я свои выводы из сказанного Вами-же сделал. Думаю не один я ;)
Удачи на поприще бабла и пиара!
ionicman
01.04.2015 13:50+13И вопрос к многоуважаемому НЛО — можно поинтересоваться, за что получил бан господин Ludoedushka?
А то очень интересно и занимательно выходит…
StrangerInRed
01.04.2015 14:04+1Поддерживаю вопрос. Статья была довольно таки аргументированной и из IT темы. Никакой нецензурщины и полит текстов небыло.
Error1024
01.04.2015 15:43+5Класс, теперь удаляют комментарии об удалении комментариев %)
senia
01.04.2015 15:52+1Открыли статью, пользователя Ludoedushka оставили в read-only и при этом его первая статья, при помощи которой он прошел песочницу, все еще скрыта.
Error1024
01.04.2015 15:52+9Если после той статьи, я все еще мог поставить себе антивирус Касперского, и порекомендовать его знакомым,
То после того что травиться здесь, я не буду даже смотреть в вашу сторону. Отличная антиреклама.
Sterhel
01.04.2015 15:58+9Считаем важным внести ясность в происходящее.
Господа, всё не так страшно, как кажется, да и первое апреля для теорий заговора, мягко говоря, не самое удачное время.
Что случилось — пользователь, на публикацию которого ссылаются в комментариях (и которая, собственно, породила данный ответ в корпблоге) был заблокирован модераторами по причине довольно подозрительного поведения, единственная его активность на ресурсе — это исключительно набросы на конкретную компанию (не имеет значения, на какую, более того — не имеет значения, есть ли такая компания на Хабре, за жалобы всегда выдавали RO).
Пользователь не пишет комментариев и не отвечает на них, не голосует за что-либо или кого-либо; у него было всего две сессии авторизации — для размещения первого и второго постов. Такое иногда случается, кто-то пытается использовать Хабр в качестве большого вентилятора для провокаций или дискредитации кого-либо. В соответствии с тематикой публикаций и подобным поведением модераторы приняли решение перевести пользователя в «карантин» за «жалобную книгу», вместе с чем скрылись и его публикации.
Однако сейчас мы понимаем, что ситуация получается неравная – она не позволяет получить читателям полной картины произошедшего, поэтому мы приняли решение на время дискуссии вернуть публичный доступ к публикациям пользователя.
Лично я (лично я, да) не совсем понимаю, зачем стоило в принципе отвечать на данный наброс, но это уже не мое дело.senia
01.04.2015 16:17Спасибо за разъяснение.
Несколько удивляет, что открыли не оба поста, а только последний, наиболее «набрасывающий». Первый же, прошедший песочницу, остался под замком. Полагаю, что для открытия всех постов у заблокированного пользователя нет простого способа и открыли «зацензуренную» статью в ручном режиме.Error1024
01.04.2015 16:23То что открыт только «набрасывающий» пост, а первый и аргументированный пост закрыт, подчеркивает, «набрасываемость» второго.
Sterhel
01.04.2015 16:29+1Вообще, это подчеркивает то, что на поиск заблокированного поста от 11-го марта ручками потребовалось кое-какое время, но ваша теория также имеет право на существование.
Sterhel
01.04.2015 16:27+2Да, у заблокированного пользователя нет возможности переопубликовывать собственные скрытые публикации.
Первый пост — habrahabr.ru/post/252755/
Meklon
01.04.2015 17:31+13Спасибо, что разъяснили. Правда. Вы нечасто объясняете свои решения, но в данной ситуации это очень кстати.
Анекдот вспомнился) Не принимайте на свой счет))
37 год. Идет лекция на тему «Как хорошо в стане Советов». Закругляясь,
лектор обращается к залу:
— У кого нибудь есть вопросы?
Руку тянет Рабинович
— Скажите, а куда делось масло?
— На этот вопрос я отвечу на следующей лекции.
На другой день лектор опять читает лекцию и опять спрашивает у
присутствующих:
— У кого нибудь есть вопросы?
Руку тянет пожелой еврей.
Лектор:
— Вы наверно хотите спросить куда делось масло?
— Нет я хочу спросить куда таки делся Рабинович.
Ivan_83
01.04.2015 17:53+2Мда.
Теперь тролли рунета знают где их вкусно и сытно покормят.
К тому посту которого нет — лично я отнёсся как к шутке, ничего нового там не написали. Старая дата баз — да хз, автор пошутил.
Vilgelm
01.04.2015 23:05+2Странно, что вы ответили на какой-то странный наброс (который, в общем-то, кроме как в виде шутки принять нельзя, т.к. нет никаких подтверждающих данных, а только пару скринов, которые можно нафотошопить за 5 минут и доверия той информации ровно ноль), но я не видел статьи с техническим разбором материалов расследования Bloomberg. Про бани и прочее действительно было написано в блоге Евгения Касперского, но
вот это воти предоставляют техническую поддержку ФСБ и другим российским госструктурам. Эта группа имеет доступ к данным из всех систем компании, поясняет Bloomberg.… Управляющий директор североамериканского отделения «Лаборатории Касперского» в Бостоне Крис Доггетт утверждает, что вся информация анонимна. Два человека, знакомые с этой технологией, рассказали Bloomberg, что из этих данных можно получить информацию по идентификации отдельных компьютеров и этот метод использовался для помощи ФСБ при расследованиях.Ivan_83
01.04.2015 23:53Это всё не актуально в свете последних событий.
МС ативно подсаживает всех на свои сетевые учётки, там и one drive чтобы юзеры сами всё сливали, и единый акк для слежения по всему инету и прочие прелести.
Так что ждите, скоро идентификация каждого юзера, с выездом пативэна ФБР/ЦРУ/хз кто там ещё примажется. А пока они едут, акк заблочат а юзера выкинут из системы, чтобы он ничего удалить не успел.
Кстати, WindowsUpdate вроде тоже генерит какой то там идент и засылает его каждый раз.
Секурити эсеншал, а теперь он же встроенный дефендер — тоже навязчиво так предлагает участие во всяких программах.
Так что выхода нет: нужно сносить винду вместе со всеми антивирусами :)Vilgelm
02.04.2015 00:23Пока я живу в России меня ФБР как-то мало волнует :)
Но в целом я согласен, мне очень не нравится весь этот тренд с «переездом в облака», и, очевидно, в ближайшее время придется окончательно перейти под Linux. К сожалению, под Linux нет нужного мне специфического софта (Zebroid, ContentDownloader, KeyCollector, Advego, да даже того же Photoshop), очевидно придется наращивать оперативную память в ноутбуке до 16 GB и заморачиваться с виртуализацией. Но, боюсь, иного выхода нам не оставляют.
Но в случае с Windows я (пока) могу отказаться от использования сетевой учетки (будут они при этом что-то сливать или нет — вопрос доверия), а здесь нет ясного ответа. Мне бы просто хотелось знать, хотя бы в частном порядке (я никогда не опубликую эти данные, если они приватны) сливается ли что-то там или нет, можно это отключить (тоже вопрос доверия) или нет. А вот такая неопределенность мне несколько не нравится.
navion
02.04.2015 12:47+1ФСБ они тоже могут сливать данные, но вряд ли там такие же панибратские отношения как с ЛК.
f15
02.04.2015 12:57Если отбросить всю заведомо политизированную тему с ФСБ, остается только вопрос анонимности KSN. По ней есть более-менее подробная дока в открытом доступе. А еще есть независимое исследование по EULA — что там прописано и что отправляется. Прописано у всех довольно подробно (по причинам юридического плана), и сравнительная таблица, по-моему, дает больше понимания, чем техдетали работы облачной системы: www.av-comparatives.org/wp-content/uploads/2014/04/avc_datasending_2014_en.pdf
Vilgelm
02.04.2015 17:48+1Are visited URLs (malicious and non-malicious URLs) transmitted? YES
Is the windows username transmitted? YES
Are hashes of files (or hashes of parts of files) transmitted? YES
Is the name and path of files transmitted? YES
Is a unique idenfication number transmitted? YES
Хрена себе, простите за выражение.
Хорошо, что я этот KSN никогда не включал. Буду надеяться что больше там ничего не передается (хотя хотелось бы знать, конечно). И готовиться к переходу на Linux, потому что слишком много YES и у других продуктов. Слишком, я даже не знаю зачем антивирусу знать ВСЕ URL, которые я посещаю (нет, ну правда), имена и пути ВСЕХ файлов (я могу понять, зачем нужна такая информация для инфицированных и подозрительных файлов, но зачем всех то), и все это вкупе с уникальным идентификационным номером и IP, по всей видимости.
Спасибо огромное за ссылку, это разрушило мое ложное представление об относительной конфиденциальности.f15
02.04.2015 18:13У многих других продуктов еще больше YES, чем у ЛК. Обязательство компании хранить анонимность пользователей предполагает какие-то технические методы за пределами таблицы AV-Comparatives. Например выкидывание персональных идентификаторов из URL. Или, скажем, передачу хешей не всех файлов, а только подозрительных.
А что к облакам все подозрительно относятся, это да, тенденция, и не в ЛК это придумали. Именно поэтому KSN сделана отключаемой (и да, ничего не передается). На эффективность работы отключение может повлиять.Vilgelm
02.04.2015 18:34Да, я и говорю что слишком много YES у всех, на мой взгляд это ненормально. Я понимаю сбор анонимной статистики, либо «условно-анонимной» (грубо говоря есть идентификатор привязанный к конкретному пользователю, но нет возможности выяснить личность этого пользователя (хотя это утопия)).
Как я уже и говорил, мне продукты ЛК очень нравятся и я правда надеюсь, что при отключенном KSN информация не передается, включенным я его, по-моему, никогда не держал, а уровень защиты весьма достоен и при выключенном KSN (как я уже и говорил, за время использования продуктов ЛК ни разу никакая гадость не проникала, радует также низкий процент ложных срабатываний (многие продукты конкурентов любят ругаться на всякие патчи и так далее)).
Но мне не нравится сама тенденция такого массового неанонимного сбора данных. Сейчас это делают почти все крупные компании. Поэтому я и задумываюсь о переходе на OpenSource и сокращении использования облачных сервисов. Допустим, я прекрасно понимаю, что Google сканирует всю мою почту, но у них хороший антиспам, поэтому для всяких регистраций и подобного я использую Gmail. Для личной переписки я предпочитаю использовать то, что могу контролировать.
Да, как я понял Вы — сотрудник ЛК. Можете пояснить (можно в ЛС, если в виде комментария нежелательно) зачем в принципе антивирусу собирать информацию о всех посещенных URL (даже с выкидыванием персональных идентификаторов)? Просто какой в этом смысл? У вас же своей рекламной сети нет. А как это может помочь в защите я не совсем понимаю.f15
02.04.2015 22:32Нигде не сказано (и я не говорил), что пересылаются ВСЕ посещенные URL. Скорее всего пересылаются не все. Какие именно пересылаются и когда — я не знаю, так как работаю в ЛК, но не разрабатываю KSN. Я в свое время работал с довольно детальной выборкой данных оттуда. Персональных данных не видел :)
OpenSource — возможное решение, но не для всех. Я вот например в Linux умею, но не пользуюсь. Облачными сервисами пользуюсь вовсю и в общем-то не парюсь, хотя тема privacy лично для меня важна. Просто стараюсь не хранить на компьютере те данные, которые считаю совсем приватными, ну или шифровать. В общем-то таких данных немного. Но это моя позиция, не хочу ее кому-то навязывать.
Кстати, я как-то писал про TrueCrypt. Самый что ни на есть опен сорс, важная тема шифрования, популярная софтина. И тут происходит что-то, к технологиям отношения не имеющее, что подрывает доверие к программе и ее разработчикам. Программа настолько популярная, что начинают проводить аудит кода. Сегодня, кстати, закончили: threatpost.com/audit-concludes-no-backdoors-in-truecrypt/111994
Бэкдоров (вроде бы) не нашли. Почти два года искали! Проверили только одну версию, и ничего не могут сказать о других сборках. Полгода только выясняли, соответствует ли код билду или не совсем. Для себя я делаю вывод, что невозможно не доверять всем, надо доверять кому-то. Используя для этого весь спектр средств — от изучения технологий до личного восприятия вендора или конкретного разработчика.Vilgelm
02.04.2015 23:42Ну из предложения «Are visited URLs (malicious and non-malicious URLs) transmitted» можно понять, что все (а если не все, то интересно по какому принципу). То есть, если бы передавались только зараженные URL, это имело бы логику (найдена какая-нибудь зараза, URL сразу добавляется в базу).
Тут дело в том, что не понятно что относить к персональным данным. Допустим история посещений + некий идентификатор является персональными данными или нет? По закону вроде бы нет, но по факту эти данные можно связать с человеком (идентификатор+лицензия или идентификатор+IP являются достаточными для вычисления личности в большинстве случаев (пиратский ключик (хотя для продуктов ЛК их давно и нет) или весь трафик через double-VPN (просто VPN можно будет отследить по СОРМ) в расчет не беру).
Тут ведь дело не в доверии. Допустим, есть компания, я ей доверяю, у нее хранятся некоторые мои ПД. Потом приходят плохие дяди, компанию отжимают (или просто наезжают на нее) и получают доступ к этим данным. Делают из них некоторую выборку, связывают с пользователями и начинают травлю. Это ведь не какая-то фантастика, так уже было (достаточно вспомнить истории с перечислением средств через ЯД ФБК и последующей утечке (а во втором и третьем случае в последующих допросах перечислявших)).
Единственное что тут можно сказать: если данные хранятся в юрисдикции другой страны, которая никак не связана с той страной, в которой ты проживаешь, то травли, скорее всего, не получится. Но все равно ничего хорошего в этом нет.
По поводу хранилищ: в основном использую их в качестве файлообменников. Хотя храню в одном из таких хранилищ бэкапы, но они зашифрованы. Давно надо бы перелезть на какой-нибудь OwnCloud, но все как-то лень.
Впрочем, тут меня смутило вот еще что:
Are hashes of files (or hashes of parts of files) transmitted? YES
Is the name and path of files transmitted? YES
То есть храню я себе копию запрещенного Каспаров.ру (ну допустим, такая вот гипотетическая ситуация), чтение которой карается уголовно (пока нет, но все может быть). Храню, естественно, в TrueCrypt контейнере. Потом решаю почитать, монтирую ее, а некая программа отсылает куда-то себе данные примерно в таком виде:
List of recent used files
Time Path Hash
04/03/14 00:01:07 k:\verysecretinfo\movie.avi 13db7403f35ba46ba3ccaeec0bc493c2
04/03/14 00:02:09 r:\Каспаров.RU — Главная.mht 0f96272a7dfa57cc1b04339f7a2d9b4d
Эта информация попадает каким-нибудь нехорошим дядям, и все, готово дело. Путь к контейнеру известен, его хэш известен, его содержимое тоже. Конечно, контейнер можно хранить на флэшке, это немного затруднит задачу, но не более.
От перехода на Linux останавливает ровно то, что очень многих нужных мне программ под него просто нет и придется как-то морочиться с виртуализацией (причем просто запуск в виртуалке мне как-то не нравится, хотелось бы единую рабочую среду). Это все решаемо, но потребует траты значительного количества времени. Но, если так продолжится и все больше компаний будут знать куда я хожу, что у меня хранится и так далее, то это придется сделать.
Ну и, конечно же, OpenSource не дает вообще никакой гарантии, что данные не будут сливаться. Просто потому, что сидеть и проверять код каждой используемой программы просто нереально. Но OpenSource дает гарантию, что кто-то ее может проверить и сообщить об бэкдорах, утечках и прочем. Хотя бы как с TrueCrypt (правда этот аудит шел черт знает сколько и, по всей видимости, угробил проект).
Да и вообще мне не нравится тенденция последних лет, когда каждая вторая компания\правительство начинают совать свой нос в личные дела граждан. Куда они ходят, чем интересуются, что хранят и так далее. Так мало того, граждане сами рады еще больше информации рассказать о себе, лезут во всякие соц. сети (я там, каюсь, тоже есть, но достаточно номинально (тут недавно один сервис с меня потребовал ссылки на соц. сети, что бы доказать, что я реальный человек, при том, что была пройдена идентификация через банк (sic!), вот для такого приходится держать профили) и так далее. На мой взгляд это очень опасная тенденция, которая может привести к чему-нибудь похуже общества из 1984. И, пожалуй, приведет.f15
03.04.2015 00:05Но OpenSource дает гарантию, что кто-то ее может проверить и сообщить об бэкдорах, утечках и прочем.
В bash тот самый эпичный баг жил десятилетиями. Впрочем, дело не в этом. Если я правильно понял, вы в целом придерживаетесь довольно пессимистичного сценария развития. Поводы, в общем-то, есть. Я скорее оптимист, и в условный «1984» не верю. 40 лет назад, чтобы протащить через границу запрещенную литературу, делали микрофильмы — вообще довольно сложное техническое мероприятие. Сейчас я могу поставить Tor, зашифровать жесткий диск, анонимно платить биткоины — ну, если захочу, через пару часов у меня все это будет работать. Уверен, придумают контрмеры и против этого, ну так появится еще какая-то технология. Может не я прав, а вы, и еще придется микрофильмы осваивать. Посмотрим. Вы ваш гипотетический «каспаров» тоже ведь можете зашифровать или в виртуалку засунуть пустую, или еще как-то. Способы есть.
По поводу таблички AV-Comparatives. Я почитал, как они ее делали. Они сначала читали EULA, потом рассылали всем вендорам запросы вроде «передаете ли вы URL, да или нет». Подозреваю, что от всех вендоров на каждый вопрос они получили развернутый ответ типа «Да, передаем, но с такими-то исключениями, такими-то условиями, ограничениями, обстоятельствами, анонимность обеспечиваем так-то». А в таблицу все равно попало просто «да», потому что это таблица. Скорее всего именно поэтому часть вендоров предпочли на некоторые вопросы не отвечать вовсе (в таблице это отмечено). Что выглядит подозрительнее — просто «да» без подробностей или «no comments» — ну это каждый решает сам :) У любого метода сравнения, короче, есть свои издержки.Vilgelm
03.04.2015 00:18Ну этот баг в итоге был обнаружен, я про это. А гарантий оно не дает, как я и писал выше.
Просто наблюдая за последними тенденциями как в моей стране, так и в других, я вижу, что правительство и компании хотят контролировать все и вся. Первые для репрессий, вторые для прибыли. Если во втором случае это все не так страшно, то в первом в чистом виде «1984». А если вторые начинают сотрудничать с первыми, то «1984^2».
В случае с Tor, BTC и так далее: ключевое слово тут «пока». BTC у нас уже запретили, Tor в скором времени запретят, о чем уже говорили. Когда они поймут, что технически это сделать сложновато, введут ответственность за использование. Вот тут и придется задумываться какая программа чего и куда сливает (сам трафик можно замаскировать под обычный SSL, надеюсь до его запрета не дойдет).
Вообще массового контроля и репрессий все еще нет потому, что для этого потребуются огромные вычислительные мощности, которые дороги и не всегда доступны. Но ведь все это вопрос времени, причем не столь далекого. Думаете правительства откажутся от возможности контролировать все и вся, если она будет доступна? Судя по тому, что происходит сейчас — нет, при первой же возможности начнут использовать. Конечно, все это имхо.
По поводу таблички: я всего-то навсего хочу знать с какими исключениями, условиями, ограничениями и обстоятельствами передаются данные, как обеспечивается анонимность. Раз уж эти данные были сообщены (то есть они не секретны) AV-Comparatives, а они их не опубликовали (абсолютно зря), может быть вендорам их опубликовать? С просьбы об этом я и начал эту дискуссию и все еще надеюсь, что меня услышат и напишут об этом где-нибудь :) Например, в виде поста на Хабре.
В конце концов это и компании в плюс, и сомневающимся пользователям вроде меня тоже.f15
03.04.2015 00:33+1Вас услышали, это я гарантирую :) Возможно и напишут. В пределах того что я знаю: пока и ЛК, и другие вендоры раскрывают подобную инфу максимум в формате доки, которую я в начале привел. Более детальной технической инфы в открытом доступе нет, и не обязательно потому, что кто-то что-то намеренно скрывает. Просто ее раскрытие натыкается на массу объективных рогаток вроде юридических тонкостей, патентов, конкуренции и прочего legal stuff. Не исключено, что со временем все эти траблы будут преодолены. Обещать не буду, не совсем моя сфера.
Vilgelm
03.04.2015 00:38Буду надеяться, что это случится скоро :) Хотя бы в сжатом виде (просто что именно пересылается, в каких именно случаях, в каком виде хранится).
Meklon
02.04.2015 22:33Насколько я понимаю, смысл в том что можно отслеживать зараженные сервисы в сети, отслеживать эпидемии заражения того же WordPress или ещё что-то.
Vilgelm
02.04.2015 23:43По-моему для этого достаточно отсылать только зараженные\подозрительные URL.
Если так, то это нормально, просто в табличке написано «malicious and non-malicious».IRainman
05.04.2015 11:27+1Вот, кстати, тут я могу ошибаться ибо к ЛК не имею вообще никакого отношения. Но если бы я делал подобную систему, то отсылал бы ещё на сервера урл с IP вместо доменного имени, а так же ссылки в доменах третьего уровня бесплатных регистраторов ибо в них очень часто и размещаются контрольные центры различной заразы.
Т.е. помимо явно обнаруженной проблемы, коллекционировал бы ещё и ссылки, которые могут потенциально эксплуатироваться для целей распространения заразы, а на стороне сервиса, имея статистику мог бы уже эвристически предположить наличие эпидемии и внимательно что-то более подробно просканить на предмет заразы.
В общем тут всё примерно так же как с антиспамом в gmail, много очень взаимосвязей надо учесть, что бы эвристику получить адекватную.
Ivan_83
03.04.2015 07:25Знаете, со стороны это выглядит как психическое заболевание, подобное тому как у людей которые постоянно всё моют и дезинфицируют, потому что боятся микробов :)
Вот вам немного практики: мелкий офис, 5 компов (семёрка). Народ сидит под юзерами, но знает пароль админа и иногда что то себе сам ставит. Секурити эсеншал.
CureIT не нашёл ничего активного, только барахло в /temp которое явно не активно было.
Я уж не знаю что именно в вирусах вас пугает, но есть административные методы противодействия.
Боитесь шифровальщиков — делайте бэкапы на съёмный диск, лучше несколько.
Боитесь потерять учётки/утечки данных — заведите отдельный компьютер для работы с такими данными, или хотя бы отдельный жёсткий диск и физический переключатель между ними.Vilgelm
04.04.2015 01:31+1Пару раз цеплял винлокеры просто зайдя на страницу (секунд 5 и система отправлялась в ребут, после него уже винлокер). UAC был включен, учетка не админская. Антивирус был (не KES, один из конкурентов). Если бы это был не безобидный винлокер, а шифровальщик, было бы очень печально (важные данные, конечно же, дублируются в бэкапы, но коллекцию фильмов тоже потерять обидно (делать бэкапы таких данных дорого)).
Покупать еще один ноутбук как бы дороже, нежели антивирус. Тем более антивирус мне достается бонусом по работе. Проще тогда перейти на Linux.
Если подцепить какую-нибудь гадость, которая упрет пароль от QIWI или Яндекс.Денег будет тоже неприятно. Я уж не говорю про данные карт. От Webmoney или Gmail могут забирать наздоровье, там есть двухфакторная авторизация через приложение, а вот у банков, QIWI, ЯД и многих других только через SMS. Имея пароль от аккаунта перевыпустить SIM и забрать денежку как бы совсем не проблема.
Да и вообще шариться по интернету под Windows без антивируса — это как заниматься сексом с проститутками без презерватива. Учитывая, что мне иногда приходится изучать выдачу Google по запросам вида "%somename% скачать", то это и вовсе как заниматься сексом с проститутками без презерватива в ЮАР, совсем ненужный никому экстрим.
Да, еще Advego Plagiatus, ContentDownloader и прочие парсеры могут принести какую-нибудь гадость.Ivan_83
04.04.2015 02:37+1Я сталкивался с похожим случаем, юзер был тоже без прав. Вычистил эту хрень минут за 10, сам, руками. Антивируса там не было — эсеншал тогда не появился.
Можно замутить загрузочную флешку или отдельный диск, восьмёрка вроде научилась грузится с юзби устройств.
«Храните деньги в сберегательной кассе!» :)
Не вижу тут ничего особенного.
Скачал — заслал на вирус тотал, нефик сразу запускать.
Жил так много лет.Vilgelm
04.04.2015 03:01+1Запускать всякую гадость я и не планирую, просто действительно зачастую достаточно просто зайти на страничку. И там может быть не локер, а криптер или стилер. А от этого VirusTotal не спасет.
И хранение денег в банке тоже не спасет, можно так же украсть логин\пароль от интернет банкинга, перевыпустить SIM (посмотрите как это просто, хотя можно еще проще) и забрать все оттуда. Даже еще хуже, в случае с МПС можно хотя бы на chargeback надеяться.
Пока все более менее серьезные сервисы не будут использовать двухфакторную авторизацию через приложение (без возможности легкого восстановления доступа через SMS) надеяться на авось нельзя.
Просто даже если упрут 20к (больше редко храню) все равно будет очень обидно.
Жить так без антивируса можно на каком-нибудь ноутбуке, который только для почитать новости, пошариться по соц. сетям, не более. Имхо, конечно.
ApeCoder
05.04.2015 08:48+1Жить так без антивируса можно на каком-нибудь ноутбуке, который только для почитать новости, пошариться по соц. сетям, не более. Имхо, конечно.
Я вот тут периодически задаю вопросы о причинах заражения. Пока еще не видел ответа не сводящемуся либо к использовании уже закрытой вендором уязвимости. Либо к добвровольному запуску малвари пользователем. Сам ни разу не видел никаких винлокеров. Один раз домашний пользователь запустил что-то что поставило во все браузеры рекламу. После чего запретил запуск неадминам программ из профиля с тех пор никакой малвари не вижу.Vilgelm
05.04.2015 11:24+1Попробуйте пошариться с месяцок по всяким варезникам и подобным «злачным местам», может чего и подцепите. Просто не стоит забывать, что, к сожалению, не все программы умеют в автообновление.
Например: QuickTime Player (встраивает свой плагин во все браузеры, которые находит, сам не обновляется), Silverlight (должен обновляться вместе с Windows, но почему-то не хочет, хотя специально я не запрещал), DivX VOD Helper Plug-in (ставится с K-Lite), RealPlayer (также). Это просто из стандартного набора, а может стоять еще что-то специализированное, типа ??? ???? (это для работы с китайскими IP регистраторами и камерами), которое по умолчанию дырявое и имеет только одну версию.
Конечно, все это решаемо, но я хочу просто заниматься своими делами, а не следить за выходом обновления K-Lite и прочего, раз оно само не умеет.ApeCoder
05.04.2015 12:23+1Для «следить за обновлениями того, что само не умеет» есть secunia psi. Если вы перейдёте на линукс там ??? ???? начнет обновляться?
tundrawolf_kiba
05.04.2015 21:18+1>а не следить за выходом обновления K-Lite и прочего, раз оно само не умеет.
Кстати, следить и предупреждать оно уже само умеет, а вот само обновляться, к сожалению еще пока нет...(я про K-lite)Vilgelm
05.04.2015 21:33+1А с какой версии? Ни разу не видел никаких уведомлений от K-Lite.
tundrawolf_kiba
05.04.2015 22:05+1Ох… точно не скажу, но я заметил после 10-й, выскакивает окошко раз в неделю от утилиты Codec Tweak Tool, если есть новая версия, со ссылкой(или ссылками) на последнюю, покопайтесь в последнем — это в настройках твик тула есть, и еще при установке тоже.
ApeCoder
06.04.2015 09:48+1Еще можно не пускать всякую хренотню в браузер. IE спрашивает активировать ли плагин, Opera может не активировать плагины без клика. (С соответственно для сайтов типа ivi можно в сайтовых настройках отключить это)
ApeCoder
05.04.2015 08:43+1Пару раз цеплял винлокеры просто зайдя на страницу (секунд 5 и система отправлялась в ребут, после него уже винлокер).
Автообновление всего было включено? Какой score показывала Secunia PSI? Не расследовали через какую уязвимость было заражение?Vilgelm
05.04.2015 11:08+1Да. Не знаю. Не расследовал. Просто удалил и забил.
Вообще ПО было такое: Windows 7 (автообновление включено), Opera 12 (не помню подверсию, это было когда она еще была актуальна), ESS в одном случае, AVG в другом, базы актуальные.
Заражение, скорее всего, было через flash, который, впрочем, тоже вполне себе умеет автообновляться.
Да, было это примерно с перерывом в месяц, на разных компьютерах (с практически аналогичным ПО).
IRainman
05.04.2015 11:29+1Пару раз цеплял винлокеры просто зайдя на страницу (секунд 5 и система отправлялась в ребут, после него уже винлокер). UAC был включен, учетка не админская
SRP включите и запретите запуск из папок куда можно писать без админ прав ;) Большую часть случаев явного и скачивания и установки это отрежет, останутся только уязвимости в софте, но лишь очень специфические ибо дырявый софт тоже не будет иметь админ прав, если конечно не будет уязвимости в самой системе… В общем включите SRP, это полезно.ApeCoder
05.04.2015 12:29+1Srp есть не на всех редакциях винды исполнение можно отключить локальными политиками
Vilgelm
01.04.2015 23:09речь идет о KES
читать как «речь идет о KSN», не успел исправить комментарий, к сожалению.
StrangerInRed
Это ответ на пост habrahabr.ru/post/254565/? Как-то очень толсто.
Error1024
Интересно «К» причастен к переводу поста в черновики, а пользователя в Read Only?
AmdY
Видимо, автор той статьи был и не таким уж параноиком в своих p.s., статьи нынче нет, а автор read only
WraithOW
Сохабр все помнит.
toxicdream
Ну на месте KL я бы не на шутку обиделся, и еще не так ответил бы, наверно.
sasha237
А чего на троллей обижаться.