Оригинал.
13.12.2017

Шпионит ли «Касперский»? И почему антивирусы отжили своё

Минувшая осень была отмечена мрачным скандалом. «Лабораторию Касперского» — гордость российского ай-ти, одну из немногих отечественных компаний, ухитряющуюся идти наравне с лидерами и даже вести рынок — обвинили в шпионаже в пользу России. Последствия продолжают наступать поныне — и хоть ЛК среагировала в общем правильно, последствия для компании негативные.

Однако сегодня хотелось бы поговорить не столько о результатах для конкретной компании, сколько о новой точке зрения на антивирусы в целом, которую эта история обозначила. Это, суть, третья позиция: не государства, не разработчиков, а рядовых пользователей антивирусного софта — частных лиц и бизнеса.

Мне повезло взглянуть на происходящее под этим третьим углом благодаря случаю. Конечно, как и все, я наблюдал за истерией в западных СМИ. Но после того — и не раз, а целых два — мне же предлагали написать статьи, развенчивающие (цитирую) «русофобию» и «шпиономанию», свирепствующие вокруг продуктов ЛК. Причём один раз для широкой аудитории, а другой в специальном журнале, ориентированном на сотрудников самой «Лаборатории» (впрочем, людьми, в ней непосредственно не работающими).

Я отказался оба раза, даже не вступая в переговоры о цене, но можете представить, какой привкус остался после этих предложений... И решил, что своими соображениями обязательно поделюсь. Что и делаю сегодня, надеясь, что изложенное ниже окажется полезным всем, на чьих компьютерах работают антивирусы.

И софт «Лаборатории Касперского», требующий для работы слишком широких полномочий, и даже сам её основатель, в прошлом сотрудник сами знаете какой организации — очень удобные цели для тех, кто раздувает сегодня русофобские настроения. Но, к сожалению, в последнем «шпионском» скандале только этим всего не объяснишь...

Прежде всего, что случилось? Сильно сокращая, в октябре уважаемые СМИ в США обнародовали сведения, добытые израильской разведкой: что через антивирусное ПО Касперского, работающее на домашнем компьютере некоего сотрудника АНБ, «русская разведка» похитила секретный архив с рабочими материалами американской разведки. ЛК, и ранее отрицавшая, что сотрудничает с госорганами и вообще любым образом злоупотребляет своим положением, провела внутреннее расследование и опубликовала пространный ответ. Смысл: архив действительно был утянут, но не спецслужбами, а в результате автоматической и штатной работы антивирусного софта. Кроме того, после анализа полученных материалов, всё лишнее с серверов ЛК было удалено, оставлены только обнаруженные в архиве вредоносные программы. И вот на этом нужно остановиться подробней.

Оказывается, антивирусы обладают способностью отправлять обратно, то есть своим разработчикам, копии подозрительных программ, обнаруженные на компьютерах пользователей. Евгений Касперский назвал это «обычным делом» в антивирусной индустрии, подразумевая, что похожей функцией оснащены большинство, если не все антивирусы. Именно так и утёк архив с компьютера сотрудника АНБ: ЛК в тот период искала разновидности малвари Equation, в архиве обнаружилось нечто, совпадающее с заданной сигнатурой, и документы были автоматически переданы в «Лабораторию».

Но канал передачи надёжно зашифрован, а на месте сотрудники «Касперского» архив разобрали и всё, не относящееся к делу, удалили. Поэтому, мол, клиенту, будь то сотрудник АНБ или простой домашний пользователь, волноваться не стоит в любом случае: даже если вместе с вирусом на серверы «Касперского» было передано что-то лишнее, в чужие руки оно не попадёт и вообще будет удалено быстро.

Само собой следует, что не было тут и пресловутой «русской разведки». Всего лишь сработал стандартный автоматический механизм, помогающий разработчику защитного софта бороться с новыми вредоносными программами. Ну, а если кто и виноват в последовавшей за этим шумихе, то сам безалаберный сотрудник АНБ — принёсший секретные материалы домой (в данном случае, судя по всему, это был набор инструментов для разработки той самой малвари Equation, а пользователь, соответственно, был из числа её разработчиков). Поэтому не стоит вестись на панические публикации американских СМИ: они подали историю предвзято, однобоко, исказив факты в угоду политическому интересу.

Что ж, всё так, однако, ответ ЛК высветил пару деталей — о которых раньше мы догадывались, а теперь, получается, знаем наверняка. Деталь первая: автоматически пересылаются с пользовательских компьютеров к владельцу антивируса не только исполняемые файлы, а любые документы, в которых встречается та или иная сигнатура (в данном случае это были вариации слова «equation»). Деталь вторая: количество ложно-положительных срабатываний очень велико. Вот как характеризуют его сами сотрудники «Лаборатории Касперского» в упомянутой выше статье (перевод с английского мой, но выделение сохранено): «несколько сигнатур генерируют ОГРОМНОЕ количество ложно-положительных результатов».

Иначе говоря, в процессе автоматической охоты за образцами новых вирусов, с компьютеров пользователей к антивирусному вендору перетекают гигантские объёмы случайной информации. Нужно полагать, там и исполняемые файлы, и исходники программ, и офисные документы, и медиа-файлы, в которых случайно встретилось, например, искомое слово. Даже архивы целиком.

Позвольте переформулировать ещё раз. Работа антивируса сопровождается утечкой с компьютера значительных объёмов данных. И ни предсказать, ни проконтролировать, какие именно данные утекут, ни предотвратить утечку, среднему пользователю не по силам. Семейные фото, личные дневники, ключи к кошелькам с криптовалютой... Вам страшно? Объясните почему, если нет. Мне — страшно! Собственно я всегда знал, что антивирусы уносят какие-то данные, но не предполагал, что речь идёт о таких объёмах!

Пусть канал защищён, так что соглядатаю со стороны его не взломать. Пусть в пункте накопления данных их анализом занимаются самые ответственные специалисты, а хранение организовано по всем правилам. Пусть. Но если история ИТ нас чему-то и учит, так это тому, что именно люди всегда — самое слабое звено.

У меня нет оснований доверять сотрудникам какой-либо компании так же, как самому себе. И причин для того — масса! Факты злоупотребления служебным положением со стороны людей, имеющих доступ к чужим приватным данным, всплывают периодически: грубо говоря, человек, поставленный бдить за нацбезопасностью, порой не прочь использовать служебные базы, чтобы «пробить» телефончик бойфренда дочери (это я не выдумал, просто привёл последний случай из многих).

О том, что антивирусы стали бесполезными, говорят уже несколько лет. Слабых мест слишком много, заражения не избежать. А значит, следует признать неизбежное и подготовиться к нему: в первую очередь минимизировать вред от утечки данных.

Поэтому первое и главное правило пользования компьютером, на котором хранятся сведения, составляющие реальную ценность: исключить любую возможность их утечки! И тут не имеет значения, насколько я сомневаюсь в чистоплотности сотрудников «Касперского» или любой другой антивирусной конторы: правильным поведением с моей стороны будет не подвергать их такой проверке, такому соблазну, вовсе!

В этом свете реакция госмашины США — которая в кратчайшие сроки, за считанные месяцы, проскрипев бюрократическими шестернями запретила использование российского антивирусного софта на своих компьютерах — вовсе не паника, не русофобия, не шпиономания, как многим у нас хотелось бы представлять. Судя по всему, американские чиновники просто не понимали до конца (как не понимают до сих пор большинство простых юзеров!), как работают современные антивирусы.

И пусть «русская разведка» на самом деле здесь непричастна. Пусть «Касперский» открывает теперь по всему миру «центры прозрачности», где все желающие, при помощи сотрудников самой компании, смогут изучить исходники её софта и убедиться в отсутствии закладок. Всё это не имеет значения. Сам принцип функционирования современных антивирусов (плюс смена концепции защиты с реактивной на проактивную, если помните: заражение неизбежно, значит, правильным будет минимизировать вред) требует ограничения их применения! Лучшим решением будет полный от них отказ. Или, если невозможно, по крайней мере переход на отечественные аналоги.

К нам, россиянам, это относится в равной степени. Поверьте, жить и работать без антивирусов можно. Просто перейдите на свободное программное обеспечение. Охранной системой в таком случае станет софт из категории систем обнаружения вторжений (intrusion detection system). Лучшие образчики которого, кстати, развиваются тоже под свободными лицензиями.

P.S. Читайте также: «Вижу тебя насквозь! Как пробили защиту памяти в процессорах» и «Шпион в каждом процессоре: зачем Intel и AMD встроили «бэкдоры» в свои ЦПУ?».


антивирус,malware,open_source,Евгений_Касперский,Equation_Group,красная_жара,шпионаж




Евгений Золотов, 1999-2018. Личный архив. Некоторые права защищены