Фото: ТАСС/Сергей Савостьянов
Компания «Лаборатория Касперского» заявила о готовности предоставить независимым экспертам исходный код своего программного обеспечения. Это делается для проведения анализа, благодаря чему, как надеется компания, власти США снимут подозрения в шпионаже. «Лаборатория», раскрыв исходный код, надеется «подтвердить прозрачность своей деятельности, которая прежде всего направлена на защиту пользователей от любых киберугроз, независимо от их происхождения или цели». Анализ программного обеспечения начнется до конца первого квартала 2018 года.
Стоит отметить, что указанные действия компании станут частью ее обширной инициативы по информационной открытости (Global Transparency Initiative). Эта инициатива призвана «вовлечь экспертное сообщество в области кибербезопасности в проверку целостности и надежности продуктов, внутренних процессов и бизнес-операций компании».
Открытие исходного кода — это не все, в рамках объявленной инициативы «Лаборатория» планирует разработать дополнительные механизмы контроля за процессом обработки данных. Также будут открыты три «центра прозрачности» в разных странах. По мнению руководства компании, такие центры помогут решать практически любые вопросы в сфере безопасности, включая клиентов, партнеров и государственные органы. Первый «центр прозрачности» будет открыт в 2018 году. А к 2020 они начнут работу в Азии, Европе и США.
Для того, чтобы ликвидировать в своем ПО возможные уязвимости, «Лаборатория Касперского» увеличит вознаграждение по программе bug bounty. Максимальный размер выплат планируется увеличить с текущих $5 тысяч до $100 тысяч.
«Интернет был задуман для объединения людей и обмена знаниями. Кибербезопасность не знает границ, и любые попытки поделить киберпространство, исходя из географических территорий, контрпродуктивны. Им надо положить конец. Мы должны восстановить доверие в отношениях между компаниями, правительствами и гражданами», — комментирует ситуацию гендиректор «Лаборатории Касперского» Евгений Касперский.
Компания решилась пойти на открытие исходного кода ПО после того, как в середине июля правительство США приняло решение исключить «Лабораторию» из списка поставщиков программного обеспечения, одобренного для работы в госструктурах США. К 13 декабря этого года все государственные учреждения этой страны обязаны прекратить использование продукции «Лаборатории Касперского», заменив ее на программы других компаний.
Дело дошло до того, что сенатор от Демократической партии Джин Шахин заявила, что российской компании «нельзя доверить защиту критических узлов инфраструктуры, в особенности компьютерных систем, жизненно важных для обеспечения национальной безопасности». Собственно, проблема случилась не вдруг. С определенного момента в американской прессе стала появляться информация о неких «закладках» в программном обеспечении «Лаборатории». Эти закладки якобы используются для предоставления данных российским спецслужбам.
Глава «Лаборатории Касперского» заявлял о возможности предоставления властям США исходные коды продуктов компании еще в июне. Правда, представители этой страны так ничего и не ответили. Один раз Касперскому предложили приехать в США для участия в одном из заседаний Комитета палаты представителей по науке, космосу и технологиям конгресса США. Касперский согласился, но заседание комитета было отложено.
Понятно, что после громких заявлений американского правительства активизировались конкуренты компании. В некоторых случаях такая стратегия сработала, и клиенты «Лаборатории Касперского» переходили к конкурентам. США — достаточно крупный рынок сбыта для «Лаборатории». На Северную Америку до начала разбирательств приходилось около $24,3% от суммарного объема доходов компании. По итогам года доход «Лаборатории Касперского» составил $644 млн.
По мнению некоторых экспертов, предложенная компанией мера рациональна. Правда, со стороны США доверие будет восстановить очень сложно, если вообще возможно. Да и проверить исходный код современных продуктов «Лаборатории» — та еще задача. «Аудит исходного кода программы, тем более такого объемного, как антивирусное решение, — очень трудоемкая задача. Так, например, анализ проекта TrueCrypt, обладающего заметно меньшей сложностью и количеством кода, занял у целой группы исследователей безопасности почти два года», — сообщил старший менеджер группы по управлению информационными рисками KPMG в России и СНГ Илья Шаленков.
В целом, если власти США согласятся на предложение Евгения Касперского, то частично этот рынок снова может открыться «Лаборатории». Тем не менее, доверие уже потеряно, хотя, возможно, и безосновательно. И доказать что-то будет очень сложно.
Комментарии (56)
mwambanatanga
25.10.2017 05:15«Предоставить независимым экспертам исходный код» не означает «открыть исходный код».
Dmitri-D
25.10.2017 06:21Один из компонентов этого антивируса отправляет «подозрительный» контент на сервера касперыча. И кто решает какой контент подозрителен в этот раз? — это эвристика, которую получает касперыч через обновления.
Т.е. по сути — антивирус это автомат, который управляется из-вне. Значит и «шпионские» функции его могут образоваться там где надо и когда надо _без_ изменения кодов программы. Данные решают всё. А код уже готов.
Интересно что скажут эксперты.
Whisky667
25.10.2017 12:09Вся секретная информация попадает к ним исключительно случайно, разумеется.
MTyrz
25.10.2017 22:57Читается, как пародия на шпионский детектив.
«Лаборатория Касперского» скопировала секретные документы с компьютера сотрудника АНБ. Об этом, как утверждается, узнала израильская разведка...
hurtavy
25.10.2017 08:06То есть настолько упала прибыль, что решили не только открыть код, но и делают заявления, противоречащие политике РФ? Я про «любые попытки поделить киберпространство, исходя из географических территорий, контрпродуктивны. Им надо положить конец.»
tzlom
25.10.2017 09:52Ну, на сколько я замечал, это бывшая жена облизывает политику РФ, а она никакого отношения к антивирусу уже давно не имеет.
Сам Касперский скорее не за тотальный контроль а за тотальную безопасность, которая с его точки зрения базируется на идентифицированности и единых правилах для всех. В принципе достаточно резонно с точки зрения безопасника, но весьма наивно с точки зрения чекиста (грубо говоря при общем желании ввести сетевой паспорт с точки зрения Касперского сетевой паспорт нужен при работе с банком, но не нужен для ведения блога, ну а другое мнение мы и так хорошо знаем)
potan
25.10.2017 19:10Да, в России то денег нет, антивирусы покупать. Большая часть продаж зарубежем.
Temmokan
25.10.2017 08:21+1На Северную Америку до начала разбирательств приходилось около $24,3% от суммарного объема доходов компании.
Что-то явно следует убрать — или "$", или "%".
Idot
25.10.2017 14:39Будете «весело», если в исходниках найдут брешь в защите, которой воспользуются авторы криптолокеров.
Germanets
25.10.2017 18:05Дыры уже находили, правда об использовании злоумышленником речи таки не шло… В этом плане антивирус просто идеальный вариант для атак — выполнение с привилегиями системы, наличие самозащиты, доверие со стороны пользователей и т.д.
k12th
25.10.2017 16:45+1После работы в KL понял, что их деятельность нацелена прежде всего на получение прибыли с пользователя. А антивирусы, защита от киберугроз — это такой побочный, приятный для юзера, эффект.
Это говорят про все компании, но обычно внутри всё-таки слышно, что людям интересно сделать удобно, производительно, снизить процент возвратов и отказов. А в KL — «как мы это продадим» и «как это поможет нам продать KIS/KAV».
Germanets
25.10.2017 18:07А что вы собственно ожидали увидеть в коммерческой компании?
0serg
25.10.2017 18:31+1Это говорят про все компании, но обычно внутри всё-таки слышно, что людям интересно сделать удобно, производительно, снизить процент возвратов и отказов
Подтверждаю, в компании где я работаю есть и ценится внимание к нуждам и забота о пользователях, а не только лобовое «как мы это продадим». Косяки и проблемы в уже проданных продуктах которые репортируют пользователи практически всегда имеют приоритет #1, хотя денег за их исправление мы (по крайней мере напрямую) не получим. Не знаю что там в KL, но поскольку личный опыт общения с ребятами из KL был крайне негативным то что как-то вот охотно верю что там народ гораздо циничнее.
potan
25.10.2017 19:02Вполне нормальное желание. Хотя когда я работал в KL от общения с Евгением у меня сложилось впечатление, что он действительно боиться глобальной эпидении компьютерных вирусов и рвется с ними бороться.
k12th
25.10.2017 20:46С Евгением я лично не общался, ничего не могу сказать. Но было приятно, когда он поставил в фойе скульптуру Дали.
Sly_tom_cat
25.10.2017 17:04Я по заголовку подумал, что они свои исходники на уже github выложить решили :)
mxms
25.10.2017 20:56Вся это история стала ещё одним подтверждением популярного в среде экспертов по компьютерной безопасности тезиса о том, что в современных компьютерах главную угрозу безопасности составляют сами антивирусы.
lostpassword
26.10.2017 10:06Можно узнать, что за эксперты соглашаются с этим тезисом?
mxms
26.10.2017 11:29+1Гуглите сами, ленивый вы наш.
lostpassword
26.10.2017 14:54Вот ведь даже потратил пару минут, но что-то не нашёл толп экспертов с такими высказываниями.
На мой взгляд, вы просто пытаетесь выдать непонятный бред за «популярный в среде экспертов по компьютерной безопасности тезис».
Соответственно хотелось бы как-то обозначить, что данный тезис популярным *не* является. А то вдруг ещё поведётся кто.mxms
26.10.2017 15:03Сходу не могу сейчас вам дать ссылку на соответствующую дискуссию, но в качестве для информации к размышлению
http://blog.ptsecurity.com/2016/06/antivirus-as-threat.html
Ну и возвращаясь к Касперскому и иже с ним. Рассматривать столь сложный софт, как современные антивирусы, которые могу самостоятельно скачивать и устанавливать любой бинарный код, отправляя, при этом, на свои серверы любую информацию по своему усмотрению не как серьёзную угрозу безопасности невозможно.lostpassword
26.10.2017 15:20Спасибо.
Я ни в коем случае не хочу сказать, что антивирус — это панацея, что антивирусы совершенны, от всего защитят и всё такое. Безусловно, они бессильны против новых угроз, против APT и так далее. Конечно, в них могут быть и какие-то уязвимости. Да, установка на ПК антивируса приносит определённые дополнительные риски.
Но всё же называть антивирус главной угрозой безопасности — это уж ни в какие ворота.
Ну и по вашей ссылке — тот же вывод:
Despite all of the above outlined vulnerabilities, we cannot completely abandon the use of antivirus software.
Что же на самом деле является главными угрозами для обрабатываемой на ПК информации — я сходу сказать не могу, это нужно обращаться к аналитике. По моим представлениям, на первых позициях будут вредоносный код, ошибки (или умышленные действия) пользователей и администраторов, аппаратные / программные сбои и так далее.
Антивирус тоже можно включить в этот список, но он будет находиться где-то в конце, на уровне стихийных бедствий, народных восстаний и метеоритов.mxms
26.10.2017 20:17В том то и дело, что антивирусы можно рассматривать как (потенциально) вредоносный код, причём тотально распространённый.
lostpassword
26.10.2017 20:31+1Можно, при достаточном уровне паранойи.
Но у меня претензии к тому, что вы назвали антивирус главной угрозой, да ещё и заявили, что это — распространённая среди экспертов точка зрения.
Что, на мой взгляд, совершенно не соответствует действительности.
Если ещё эксперты есть у вас — пожалуйста, покажите. В предыдущей ссылке они сами говорят, что риски есть, но отказываться от антивируса — не вариант.
institor
И что они этим докажут, интересно… Не говоря уже о том, что ключевой компонент антивируса — система обновлений, через которую может прийти все, что угодно.
myldy
Можно проверить, например, способна ли программа через обновления принимать ТОЛЬКО сигнатуры, или что-то еще? И насколько это что-то еще может влиять на исходный функционал программы?
Я говорю о принципиальной возможности, в реальности это сделать будет, пожалуй, затруднительно.
DanilinS
Обновляются не только сигнатуры, но и программные модули антивируса.
askv
Вот-вот. Никто не будет потом мониторить обновления. Так что бесперспективно все это...
teecat
Базы это не только сигнатуры, но и туча кода. Для примера — в базах находятся все разархиваторы. То есть даже отключив обновления самого антивируса ничего не добьешься
Короче пиар для тех, кто не понимает, что есть антивирус
potan
Код из баз можно запускать в изолированной песочнице.
Kobalt_x
Вы бы посмотрели что там из баз распаковывается procmonом например некоторые файлы и их расширения и расположения тонко намекают что работают без всяких песочниц
potan
Это должно выясниться при открытии кода. Если так — не пройдут экспертизу.
Kobalt_x
В базах много компонентов которые не могут работать в песочнице(разумеется это не сигнатуры и не распаковщики), и вряд ли смогут просто посмотрите на названия содержимого в bases.cab и сами все поймете
teecat
Фантастика.
— код в базах может быть самый разный. Но грубо говоря это вызываемые функции (ага — запуск кода из области данных). Сами по себе функции не запустишь. Надо строить окружения под каждый случай и надо всю логику обращений между записями баз знать, распаковать их все и тестировать. Я не думаю, что это делает даже вендор. И это не говоря об облаке — что происходит там, какие процессы, какая команда в итоге придет оттуда — никому не ведомо.
— обновления в среднем каждые полчаса. Никто всю логику для тестов вам документировать не будет. Насколько часто вы можете вручную обновлять тестовые среды под новые записи. Добавим, что образцов вредоносного ПО вам не дадут
— код в базах кросплатформенный. Грубо говоря видимая часть антивируса это прослойка между базами и ОС, транслирующая вызовы баз в вызовы конкретной системы. Все это восстановить для тестирлования…
RedSnowman
Вопрос скорее как они докажут, что это релизный билд, а не собранный специально для эксперта?
Dmitry_7
Как они докажут непредвзятость экспертов, начнем с этого
askv
Для начала доказали бы их компетентность :)
0serg
Для функционирования антивируса в роли шпионского софта достаточно принимать только сигнатуры при условии что антивирусу разрешено подавать «наружу» сигналы об их обнаружении а еще лучше «найденные образцы вредоносного кода». Одного этого уже хватит чтобы получился отличный инструмент для поиска документов и уязвимостей на компьютерах «жертвы».
potan
Такую функциональность в исходном коде сразу заметят.
wych-elm
Открою вам маленький секрет, основной алгоритм работы всех антивирусов без исключений, это шарится по диску в поисках сигнатур, от пользовательских до системных папок (имея полный доступ на уровне системы). Соединив это с, теперь уже повсеместным, обновлением через сеть и популярным «облачным анализом вредоносного кода», сам антивирус уже фактически стал неотличим от шпионского ПО.
askv
Так вот и нужно, чтобы антивирус работал без соединения вовне. Раньше точно можно было скачать обновления в виде файлов, скормить их антивирусу. Если сетка организации физически изолирована от интернета а файлики обновлений таскаются туда на флешке, то и опасности утечек нет.
Kobalt_x
Ну так и работает. Можно качать обновления с аналога wsus для касперского. + для бизнес версий перед включением ksn показывается соглашение. Если не согласен выключай или покупай kpsn. Я оч. сомневаюсь что у работника веб стоял kis/kav скорее всего стоял kes/wsee и он ссзб
potan
Они могли бы запускаться в песочнице. Хотя в базах сохранилось много древнего кода на ассемблере, его можно выполнять на интерпретаторе, а исходники интерпретатора проверить на безопасность.