О бане, троллях и бесплатных продуктах «Лаборатории»

    В «Космической одиссее 2001 года» Фрэнк Боумэн отключает, один за другим, модули памяти компьютера HAL 9000, а HAL 9000 поет песню про Дейзи. Чуть раньше HAL пытался убить самого Боумэна, а заодно и всех остальных людей на борту «Дискавери-1», и у него почти получилось. Зачем он это сделал? Трактовать можно по-разному. Например, что получив две вводные: «Я знаю больше, чем экипаж, и должен хранить этот секрет» и «Они планируют меня отключить», HAL абсолютно логично посчитал, что он важнее, чем экипаж. Фрэнку тем не менее очень хотелось жить, и, зная, что имеет дело с компьютером, он не стал просить компьютер одуматься, а просто разнес чертову железку на микросхемы.

    С компьютерами на самом деле очень просто: они всегда (всегда!) делают то, на что запрограммированы. С людьми сложнее: понять мотивацию и причины для высказываний и поступков подчас вовсе невозможно. Люди (пока что только они) программируют компьютеры, и собственно все компьютерные проблемы – от глюков системы до вирусов – от людей. В сегодняшнем первоапрельском посте – пять историй про людей, а также немножко про программы. И совсем чуть-чуть про троллей и баню. И самую малость – про то, как люди мешают программистам работать.

    История первая. Пострадавшая пользователь.
    Пострадавшая пользователь скачала нашу бесплатную утилиту Kaspersky Security Scan, запустила, просканировала, увидела, что с ее компьютером не все хорошо (ну то есть не то, чтобы совсем ужасно, но и не идеально), ужаснулась и приобрела наше полнофункциональное защитное решение. Ну вроде бы как все нормально, только потом пользователь поняла (или ей подсказали), что таким образом мы ее как бы заставили потратить деньги.



    В США на нас был подан соответствующий иск, в процессе слушаний мы представили массу доказательств, что отмеченные утилитой настройки системы и уязвимости действительно влияют на безопасность. Возможно настоящая пострадавшая пользователь пожелала бы выслушать вердикт судьи по ее и нашим аргументам, но реальная цель иска заключалась не в этом, а в получении от нас солидной компенсации. Поняв, что просто так они ничего не получат, горе-юристы моментально растворились в тумане.

    История вторая. Неуловимая адварь.
    Самая важная особенность предыдущей истории в том, что она не имеет никакого отношения к тому, как собственно работает наша утилита. Вообще. Подавшим иск не было никакого интереса хоть как-то аргументированно обсуждать, насколько программа эффективна, решает ли она поставленную задачу и нужна ли она вообще. Они хотели easy money, а когда мы принесли как минимум 112 доводов в нашу защиту, моментально слились. Дискуссии — не их сфера компетенции.

    А что на самом деле делает Kaspersky Security Scan? Программа ищет а) вредоносное ПО б) уязвимости в) некорректные настройки системы вроде авторана. Ее задача а) просканировать систему, на которой антивируса не было никогда (таких, увы много) или б) просканировать систему, на которой стоит другой антивирус (и есть подозрения, что он «не торт»). Последний пункт накладывает на утилиту серьезные ограничения: конфликтовать с другим АВ нельзя, поэтому возможностей у нее по определению меньше, чем у полноценного решения. И как оно, работает? Приведу пример.

    Качаем программу Privoxy, которая, по иронии судьбы, предназначена, в том числе, для блокировки рекламы. Как это часто бывает, качаем не с сайта производителя, а откуда попало. Как следствие: при установке получаем и программу, и еще какой-то непонятный процесс по имени Close_Ad.exe.




    Наблюдаем в браузере пачку непрошеной рекламы:



    Нам это не очень нравится, поэтому скачиваем Kaspersky Security Scan и сканируем:



    Kaspersky Security Scan детектирует адварь и далее предлагает скачать пробную версию нашего коммерческого продукта (или сразу купить), который, в свою очередь, может компьютер вылечить.



    Kaspersky Security Scan использует базу от 7 декабря, но поймать более свежую адварь (тестировали в конце января) ему это не помешало – эвристика!



    А теперь попробуем просканировать компьютер бесплатным антивирусом, он же нас может вылечить, и деньги платить не надо. Но не судьба.



    Но это было в январе, а на дворе апрель (хотя и не похоже), посмотрим что изменилось за два месяца на VirusTotal. Адварь детектируют не все, но хотя бы Avast реабилитировался (в январе вообще детектировали только пять продуктов).



    Но пользователю, который уже словил адварь, и хочет от нее избавиться, это не поможет. Так как скрипт, подставляющий рекламу, не детектируется вообще никем, кроме одного российского продукта. Да, бесплатный Kaspersky Security Scan тоже детектирует скрипт.

    История третья. Жирный тролль.
    Конечно пример выше – это только один пример, хотя и впечатляющий. Уверен, можно запросто привести обратный пример, когда Kaspersky Security Scan что-то не ловит. Как я уже говорил выше, эта программа в принципе не может задетектировать все, например руткиты этой утилите не под силу. Но и сделана она для тех, кто, скажем, видит в браузере кучу рекламы, и не может понять – то ли интернет такой замусоренный, то ли с компьютером что-то не так.

    Можно на наш пример полезности Kaspersky Security Scan привести свой пример, когда он что-то не видит. Можно потестировать продукт по определенной базе вредоносных программ и сравнить его производительность с аналогичными утилитами. В любом случае, это будет некая дискуссия с аргументами сторон, где каждый сможет для себя оценить силу приведенных доказательств.

    А еще можно написать пост, в котором без всяких доказательств поставить Kaspersky Security Scan в один ряд с фейковыми AV, да еще назвать эту утилиту «антивирусом». Рассказать там, что он не ловит какие-то трояны (но не рассказать – какие). Особое внимание уделить дате обновления баз, не пытаясь даже разобраться, почему она такая и влияет ли она на что-то. Ну и, наконец, переврать лицензионное соглашение и «право делать выводы оставить за читателем».

    Ссылку на пост приводить не буду, хотя он тут лежит лежал неподалеку на Хабре. Я лучше одну хорошую книжку процитирую:

    — Я сейчас задам тебе простой вопрос, и ты сама в этом убедишься. Вот, слушай! Ты перестала пить коньяк по утрам, отвечай — да или нет?
    — Да, да, конечно, — убежденно заверил Малыш, которому так хотелось помочь фрекен Бок. Но тут она совсем озверела.
    — Нет! — закричала она, совсем потеряв голову. Малыш покраснел и подхватил, чтобы ее поддержать: — Нет, нет, не перестала!
    — Жаль, жаль, — сказал Карлсон. — Пьянство к добру не приводит.
    Астрид Линдгрен. Малыш и Карлсон


    Естественно, на какие-либо комментарии автор такого поста не отвечает, ведь там, еще чего не хватало, могут приводиться какие-то факты и доказательства его неправоты. Потому что задача автора поста (как и пострадавшей пользователя) – совсем не заключается в поиске истины. Ему вообще ничего никому не надо доказывать, достаточно распространить по максимально возможной площади заранее заготовленную дурно пахнущую субстанцию.

    История четвертая. Баня и трудности перевода.
    Возьмем метод из предыдущей истории и добавим масштаба (ну и качество оторвем от плинтуса). Когда речь идет не о адвари и каких-то унылых троянах, а о крайне сложных и таргетированных инструментах кибершпионажа (а то и кибервойны), возникает такая весьма серьезная проблема – когда публиковать о них информацию. Проблема по большей части техническая и организационная: нужно собрать максимальное количество информации о конкретной кибератаке, проанализировать ее, не спугнуть раньше времени ее авторов, посоветоваться со специалистами других компаний (иногда даже с конкурентами). На все это нужно время, иногда очень много. Подробнее мы об этом писали тут и тут.

    Важно, что проблема заключается именно в том, когда публиковать. А не в том, «публиковать или нет». И нет проблемы «защищать наших клиентов или повременить» (защищать сразу конечно). Если мы просто добавим какой-то хитрый вредонос в базу и успокоимся на этом, мы можем пропустить нечто более сложное и опасное. А не хотелось бы.

    Одно уважаемое бизнес-издание решило исследовать эту проблему, провело большую работу, опросило много разных людей. И опубликовало результаты, которые, как вы уже наверное слышали, сводятся к тому, что Евгений Касперский регулярно ходит в баню. Какое отношение этот примечательный факт имеет к вопросу раскрытия данных о кибероружии, разработанном, предположительно, по заказу госструктур? Вот и мы не знаем.

    И да, мы привели свои аргументы. Причем и после публикации статьи на Bloomberg, и до. Они не были услышаны в обоих случаях, опять же, потому что задача у авторов статьи заключалась не в этом. Подробнее тут.

    История последняя. Не мешайте программисту.
    Не могу не привести этот замечательный комикс (первоисточник):



    К чему это я? Я начал пост с того, что программы пишут люди. Они отвечают за то, насколько хорошо (или не очень) эти программы работают. И да, процесс коммуникации человека с компьютером несколько отличается от того, как люди общаются друг с другом. В нашей компании работает 3000 человек, из них как минимум 1500 так или иначе связаны с разработкой ПО. Все остальные заняты тем, что им помогают, или, как минимум, стараются не мешать.

    ОК, это довольно упрощенное представление компании, но оно сейчас важно. Есть вещи, которые помогают делать наши программы лучше, и есть те, которые мешают. К первым относится любая аргументированная дискуссия, основанная на фактах. Даже если это критика – наших продуктов, нашей компании или еще чего-то. Ко вторым относятся судебные разбирательства, реагирование на жирных троллей и статьи про баню. Не надо думать, что эти события никак не влияют на разработку. На суды тратятся деньги, на реагирование на дурацкие посты тратится время. Причем не только время юристов, пиарщиков и маркетологов, но и разработчиков и исследователей. Потому что отвечать мы хотим фактами, а фактами владеют технари.

    Разумная критика делает нас лучше. На аргументированные претензии мы стараемся отвечать – и здесь, на Хабре, и вообще. Троллей кормить не хотим. Но реагировать на откровенную ложь – будем.

    Какой-то нешуточный первоапрельский пост получился. Ну, ничего, шуточный тоже будет.
    «Лаборатория Касперского»
    Ловим вирусы, исследуем угрозы, спасаем мир

    Comments 87

    • UFO just landed and posted this here
        +3
        Интересно «К» причастен к переводу поста в черновики, а пользователя в Read Only?
          +7
          Видимо, автор той статьи был и не таким уж параноиком в своих p.s., статьи нынче нет, а автор read only
            0
            Сохабр все помнит.
            +1
            Ну на месте KL я бы не на шутку обиделся, и еще не так ответил бы, наверно.
              +3
              А чего на троллей обижаться.
            +9
            А про смену стартовой страницы, и про установку довесков при инсталяции конечно ни слова.
              –25
              «Вы так говорите, как будто это что-то плохое» (с)
              Яндекс — вполне нормальный такой довесок к бесплатной софтине, нет?
                +17
                Яндекс может быть нормальным довеском разве что к б/у адскому котлу, который покупаешь через Джона, друга Сатаны.
                +6
                Да, я люблю Яндекс, однако на добровольной основе, как только мне пытаются что-либо навязать, я впадаю в бешенство.
                  –2
                  ОК, я сейчас попробую сформулировать, а вы скажите, если вдруг что не так.
                  Я допускаю, что на Хабре не вы один не любите «довески». На Хабре вообще довольно специфическая аудитория. Но эта же аудитория старается использовать профессиональные инструменты. Kaspersky Security Scan таковым не является. Таковым является или наш коммерческий продукт, или Kaspersky Virus Removal Tool, в котором вообще кроме голой функциональности «отсканировать-удалить» ничего нет.
                    +7
                    А «тупым домохозяйкам» довески вручать можно?
                      +4
                      Все еще хуже — если хабраюзерам поставить что-то левое, то мы удалим. А что делать «общей» аудитории после таких «подарочков»? Правильно, дергать знакомых хабраюзеров, чтобы убрали/починили/переделали.
                        0
                        ОК. Мне, лично, самому не очень нравится такая практика, но она весьма распространена. Как минимум, в инсталляторе KSS все прозрачно: никаких скрытых окошек, мелких кнопок итд. И заметьте, опять в комментариях обсуждается все, что угодно, только не сама программа :)
                          +11
                          Как подано — так и обсуждается.

                          Да, она распространена, но Вы не находите странным такую практику в АНТИВИРУСЕ??? " это простительно многим программам — но программа, которая должна заниматься защитой компьютера, попутно устанавливающая кучу всего и меняющая стартовую страницу — звучит как то не очень, согласитесь?
                        +3
                        Kaspersky (Virus Removal Tool) или (Kaspersky Virus) removal tool? :)
                        0
                        Например, редиска, меняет url в яндекс.браузере с мапс.яндекс.ру на бета.мапс.яндекс.ру.
                          0
                          Ух ты, спасибо за ссылку.
                          Отвратительно выглядит. Несколько минут искал привычный переключатель слоёв. После закрытия окна справа так и не смог никак его открыть снова. Спутниковый слой тормозит безумно при захвате мышкой (Chrome).
                    +8
                    О бане, троллях и бесплатных продуктах «Лаборатории» — будете троллить Лабораторию, попадете в баню.
                      +4
                      Так то очень толсто!

                      Для начала потрудитесь ответить на мой вопрос, на который Вы так и не ответили habrahabr.ru/company/kaspersky/blog/253155/#comment_8335611

                      который появился после Вашего заявления про то, что "Разница между бесплатным и коммерческим продуктом — это разница между «я поставил антивирус» и «я защитил свои данные»"

                      А то политика у Вас очень простая — Вы отвечаете только на то, что Вам удобно и так, как Вам удобно.

                      Как сказал в той теме человек, который, как он сказал, отработал 6 лет в АВ компании «все, что происходит в мире АВ-продуктов, это подтасовки, пиар и бабло» походу четкая правда.
                        –9
                        Извините, но в отношении вас наша политика еще проще: мы вам не отвечаем.
                        Все необходимые аргументы были приведены в прошлом треде, на который вы сослались.

                        У нас есть методика сравнения. У вас нет. То, что вы предлагаете, методикой не является. Или является неправильной методикой, это кому как удобнее.
                          +10
                          О как — т.е. «мы считаем что Вы не правы — у нас все правильно, а у Вас — нет» — на детский сад похоже, нет?

                          Вы зачем здесь блог-то ведете?
                          Показать, что Вы — компания «не очень» (Вы уже показали), или попытаться расположить к себе аудиторию и популяризовать свой продукт еще?

                          У Вас есть методика, которая показывает лишь только то, что Выгодно Вам — это раз. Почему — там было описано. Если Вы построете график, который я Вас просил — все это будет хорошо видно.

                          Если нет — снизойдите до нормального объяснения, а иначе Вы просто антипиарщик какой-то :) А перед технарями и админами плохо вот так вот «снисходить» до ответов.
                          Кто, Вы думаете, советует или ставит антивирус простым смертным? ;)

                          На данный момент я свои выводы из сказанного Вами-же сделал. Думаю не один я ;)

                          Удачи на поприще бабла и пиара!
                        +13
                        И вопрос к многоуважаемому НЛО — можно поинтересоваться, за что получил бан господин Ludoedushka?

                        А то очень интересно и занимательно выходит…
                        • UFO just landed and posted this here
                          +17
                          Забавно, этот пост даже сильнее позорит ЛК, чем предыдущий.
                          +10
                          Вот это пригорело :)
                            +5
                            Класс, теперь удаляют комментарии об удалении комментариев %)
                              +1
                              Открыли статью, пользователя Ludoedushka оставили в read-only и при этом его первая статья, при помощи которой он прошел песочницу, все еще скрыта.
                              +9
                              Если после той статьи, я все еще мог поставить себе антивирус Касперского, и порекомендовать его знакомым,
                              То после того что травиться здесь, я не буду даже смотреть в вашу сторону. Отличная антиреклама.
                                +9
                                Считаем важным внести ясность в происходящее.

                                Господа, всё не так страшно, как кажется, да и первое апреля для теорий заговора, мягко говоря, не самое удачное время.

                                Что случилось — пользователь, на публикацию которого ссылаются в комментариях (и которая, собственно, породила данный ответ в корпблоге) был заблокирован модераторами по причине довольно подозрительного поведения, единственная его активность на ресурсе — это исключительно набросы на конкретную компанию (не имеет значения, на какую, более того — не имеет значения, есть ли такая компания на Хабре, за жалобы всегда выдавали RO).

                                Пользователь не пишет комментариев и не отвечает на них, не голосует за что-либо или кого-либо; у него было всего две сессии авторизации — для размещения первого и второго постов. Такое иногда случается, кто-то пытается использовать Хабр в качестве большого вентилятора для провокаций или дискредитации кого-либо. В соответствии с тематикой публикаций и подобным поведением модераторы приняли решение перевести пользователя в «карантин» за «жалобную книгу», вместе с чем скрылись и его публикации. 

                                Однако сейчас мы понимаем, что ситуация получается неравная – она не позволяет получить читателям полной картины произошедшего, поэтому мы приняли решение на время дискуссии вернуть публичный доступ к публикациям пользователя.

                                Лично я (лично я, да) не совсем понимаю, зачем стоило в принципе отвечать на данный наброс, но это уже не мое дело.
                                  0
                                  Спасибо за разъяснение.

                                  Несколько удивляет, что открыли не оба поста, а только последний, наиболее «набрасывающий». Первый же, прошедший песочницу, остался под замком. Полагаю, что для открытия всех постов у заблокированного пользователя нет простого способа и открыли «зацензуренную» статью в ручном режиме.
                                    0
                                    То что открыт только «набрасывающий» пост, а первый и аргументированный пост закрыт, подчеркивает, «набрасываемость» второго.
                                      +1
                                      Вообще, это подчеркивает то, что на поиск заблокированного поста от 11-го марта ручками потребовалось кое-какое время, но ваша теория также имеет право на существование.
                                      +2
                                      Да, у заблокированного пользователя нет возможности переопубликовывать собственные скрытые публикации.

                                      Первый пост — habrahabr.ru/post/252755/
                                      +7
                                      Хабр настолько же саморегулирующееся сообщество, насколько Россия — демократическое и правовое государство. (с)
                                        +13
                                        Спасибо, что разъяснили. Правда. Вы нечасто объясняете свои решения, но в данной ситуации это очень кстати.
                                        Анекдот вспомнился) Не принимайте на свой счет))

                                        37 год. Идет лекция на тему «Как хорошо в стане Советов». Закругляясь,
                                        лектор обращается к залу:
                                        — У кого нибудь есть вопросы?
                                        Руку тянет Рабинович
                                        — Скажите, а куда делось масло?
                                        — На этот вопрос я отвечу на следующей лекции.
                                        На другой день лектор опять читает лекцию и опять спрашивает у
                                        присутствующих:
                                        — У кого нибудь есть вопросы?
                                        Руку тянет пожелой еврей.
                                        Лектор:
                                        — Вы наверно хотите спросить куда делось масло?
                                        — Нет я хочу спросить куда таки делся Рабинович.
                                      • UFO just landed and posted this here
                                          +2
                                          Странно, что вы ответили на какой-то странный наброс (который, в общем-то, кроме как в виде шутки принять нельзя, т.к. нет никаких подтверждающих данных, а только пару скринов, которые можно нафотошопить за 5 минут и доверия той информации ровно ноль), но я не видел статьи с техническим разбором материалов расследования Bloomberg. Про бани и прочее действительно было написано в блоге Евгения Касперского, но

                                          вот это вот
                                          и предоставляют техническую поддержку ФСБ и другим российским госструктурам. Эта группа имеет доступ к данным из всех систем компании, поясняет Bloomberg.… Управляющий директор североамериканского отделения «Лаборатории Касперского» в Бостоне Крис Доггетт утверждает, что вся информация анонимна. Два человека, знакомые с этой технологией, рассказали Bloomberg, что из этих данных можно получить информацию по идентификации отдельных компьютеров и этот метод использовался для помощи ФСБ при расследованиях.

                                          куда важнее и может быть опровергнуто технически.

                                          Я сам давний и преданный пользователь ваших продуктов, но вот эта информация и отсутствие ее технического опровержения меня несколько смущает. Учитывая все остальное (связи, политические взгляды) я с сожалением допускаю, что она может быть правдивой, и тогда мне с большим сожалением (по-моему личному опыту продукты Kaspersky обладают наилучшей степенью защиты, так я пару раз ловил винлокеры с продуктами конкурентов, в том числе платными, но с KES такого не случалось) придется сменить защиту и рекомендовать клиентам поступить также.

                                          Может быть все таки опубликуете здесь такой же длинный разоблачающий пост, где будет написано «да, мы собираем некоторую информацию (вот такую и такую), но она анонимна (вот можете сами посмотреть логи\код или проверить так-то и так-то), а отключить ее сбор можно вот тут (насколько я понимаю, речь идет о KES, который отключаем, но вдруг нет». Думаю многие пользователи были бы заинтересованы в таком опровержении. Это будет куда полезнее чем взаимный троллинг по абсолютно странному предлогу.
                                          • UFO just landed and posted this here
                                              0
                                              Пока я живу в России меня ФБР как-то мало волнует :)
                                              Но в целом я согласен, мне очень не нравится весь этот тренд с «переездом в облака», и, очевидно, в ближайшее время придется окончательно перейти под Linux. К сожалению, под Linux нет нужного мне специфического софта (Zebroid, ContentDownloader, KeyCollector, Advego, да даже того же Photoshop), очевидно придется наращивать оперативную память в ноутбуке до 16 GB и заморачиваться с виртуализацией. Но, боюсь, иного выхода нам не оставляют.
                                              Но в случае с Windows я (пока) могу отказаться от использования сетевой учетки (будут они при этом что-то сливать или нет — вопрос доверия), а здесь нет ясного ответа. Мне бы просто хотелось знать, хотя бы в частном порядке (я никогда не опубликую эти данные, если они приватны) сливается ли что-то там или нет, можно это отключить (тоже вопрос доверия) или нет. А вот такая неопределенность мне несколько не нравится.
                                                +1
                                                ФСБ они тоже могут сливать данные, но вряд ли там такие же панибратские отношения как с ЛК.
                                              0
                                              Если отбросить всю заведомо политизированную тему с ФСБ, остается только вопрос анонимности KSN. По ней есть более-менее подробная дока в открытом доступе. А еще есть независимое исследование по EULA — что там прописано и что отправляется. Прописано у всех довольно подробно (по причинам юридического плана), и сравнительная таблица, по-моему, дает больше понимания, чем техдетали работы облачной системы: www.av-comparatives.org/wp-content/uploads/2014/04/avc_datasending_2014_en.pdf
                                                +1
                                                Are visited URLs (malicious and non-malicious URLs) transmitted? YES
                                                Is the windows username transmitted? YES
                                                Are hashes of files (or hashes of parts of files) transmitted? YES
                                                Is the name and path of files transmitted? YES
                                                Is a unique idenfication number transmitted? YES


                                                Хрена себе, простите за выражение.
                                                Хорошо, что я этот KSN никогда не включал. Буду надеяться что больше там ничего не передается (хотя хотелось бы знать, конечно). И готовиться к переходу на Linux, потому что слишком много YES и у других продуктов. Слишком, я даже не знаю зачем антивирусу знать ВСЕ URL, которые я посещаю (нет, ну правда), имена и пути ВСЕХ файлов (я могу понять, зачем нужна такая информация для инфицированных и подозрительных файлов, но зачем всех то), и все это вкупе с уникальным идентификационным номером и IP, по всей видимости.

                                                Спасибо огромное за ссылку, это разрушило мое ложное представление об относительной конфиденциальности.
                                                  0
                                                  У многих других продуктов еще больше YES, чем у ЛК. Обязательство компании хранить анонимность пользователей предполагает какие-то технические методы за пределами таблицы AV-Comparatives. Например выкидывание персональных идентификаторов из URL. Или, скажем, передачу хешей не всех файлов, а только подозрительных.

                                                  А что к облакам все подозрительно относятся, это да, тенденция, и не в ЛК это придумали. Именно поэтому KSN сделана отключаемой (и да, ничего не передается). На эффективность работы отключение может повлиять.
                                                    0
                                                    Да, я и говорю что слишком много YES у всех, на мой взгляд это ненормально. Я понимаю сбор анонимной статистики, либо «условно-анонимной» (грубо говоря есть идентификатор привязанный к конкретному пользователю, но нет возможности выяснить личность этого пользователя (хотя это утопия)).

                                                    Как я уже и говорил, мне продукты ЛК очень нравятся и я правда надеюсь, что при отключенном KSN информация не передается, включенным я его, по-моему, никогда не держал, а уровень защиты весьма достоен и при выключенном KSN (как я уже и говорил, за время использования продуктов ЛК ни разу никакая гадость не проникала, радует также низкий процент ложных срабатываний (многие продукты конкурентов любят ругаться на всякие патчи и так далее)).

                                                    Но мне не нравится сама тенденция такого массового неанонимного сбора данных. Сейчас это делают почти все крупные компании. Поэтому я и задумываюсь о переходе на OpenSource и сокращении использования облачных сервисов. Допустим, я прекрасно понимаю, что Google сканирует всю мою почту, но у них хороший антиспам, поэтому для всяких регистраций и подобного я использую Gmail. Для личной переписки я предпочитаю использовать то, что могу контролировать.

                                                    Да, как я понял Вы — сотрудник ЛК. Можете пояснить (можно в ЛС, если в виде комментария нежелательно) зачем в принципе антивирусу собирать информацию о всех посещенных URL (даже с выкидыванием персональных идентификаторов)? Просто какой в этом смысл? У вас же своей рекламной сети нет. А как это может помочь в защите я не совсем понимаю.
                                                      0
                                                      Нигде не сказано (и я не говорил), что пересылаются ВСЕ посещенные URL. Скорее всего пересылаются не все. Какие именно пересылаются и когда — я не знаю, так как работаю в ЛК, но не разрабатываю KSN. Я в свое время работал с довольно детальной выборкой данных оттуда. Персональных данных не видел :)

                                                      OpenSource — возможное решение, но не для всех. Я вот например в Linux умею, но не пользуюсь. Облачными сервисами пользуюсь вовсю и в общем-то не парюсь, хотя тема privacy лично для меня важна. Просто стараюсь не хранить на компьютере те данные, которые считаю совсем приватными, ну или шифровать. В общем-то таких данных немного. Но это моя позиция, не хочу ее кому-то навязывать.

                                                      Кстати, я как-то писал про TrueCrypt. Самый что ни на есть опен сорс, важная тема шифрования, популярная софтина. И тут происходит что-то, к технологиям отношения не имеющее, что подрывает доверие к программе и ее разработчикам. Программа настолько популярная, что начинают проводить аудит кода. Сегодня, кстати, закончили: threatpost.com/audit-concludes-no-backdoors-in-truecrypt/111994

                                                      Бэкдоров (вроде бы) не нашли. Почти два года искали! Проверили только одну версию, и ничего не могут сказать о других сборках. Полгода только выясняли, соответствует ли код билду или не совсем. Для себя я делаю вывод, что невозможно не доверять всем, надо доверять кому-то. Используя для этого весь спектр средств — от изучения технологий до личного восприятия вендора или конкретного разработчика.
                                                        0
                                                        Ну из предложения «Are visited URLs (malicious and non-malicious URLs) transmitted» можно понять, что все (а если не все, то интересно по какому принципу). То есть, если бы передавались только зараженные URL, это имело бы логику (найдена какая-нибудь зараза, URL сразу добавляется в базу).

                                                        Тут дело в том, что не понятно что относить к персональным данным. Допустим история посещений + некий идентификатор является персональными данными или нет? По закону вроде бы нет, но по факту эти данные можно связать с человеком (идентификатор+лицензия или идентификатор+IP являются достаточными для вычисления личности в большинстве случаев (пиратский ключик (хотя для продуктов ЛК их давно и нет) или весь трафик через double-VPN (просто VPN можно будет отследить по СОРМ) в расчет не беру).

                                                        Тут ведь дело не в доверии. Допустим, есть компания, я ей доверяю, у нее хранятся некоторые мои ПД. Потом приходят плохие дяди, компанию отжимают (или просто наезжают на нее) и получают доступ к этим данным. Делают из них некоторую выборку, связывают с пользователями и начинают травлю. Это ведь не какая-то фантастика, так уже было (достаточно вспомнить истории с перечислением средств через ЯД ФБК и последующей утечке (а во втором и третьем случае в последующих допросах перечислявших)).
                                                        Единственное что тут можно сказать: если данные хранятся в юрисдикции другой страны, которая никак не связана с той страной, в которой ты проживаешь, то травли, скорее всего, не получится. Но все равно ничего хорошего в этом нет.

                                                        По поводу хранилищ: в основном использую их в качестве файлообменников. Хотя храню в одном из таких хранилищ бэкапы, но они зашифрованы. Давно надо бы перелезть на какой-нибудь OwnCloud, но все как-то лень.
                                                        Впрочем, тут меня смутило вот еще что:
                                                        Are hashes of files (or hashes of parts of files) transmitted? YES
                                                        Is the name and path of files transmitted? YES
                                                        То есть храню я себе копию запрещенного Каспаров.ру (ну допустим, такая вот гипотетическая ситуация), чтение которой карается уголовно (пока нет, но все может быть). Храню, естественно, в TrueCrypt контейнере. Потом решаю почитать, монтирую ее, а некая программа отсылает куда-то себе данные примерно в таком виде:
                                                        List of recent used files
                                                        Time Path Hash
                                                        04/03/14 00:01:07 k:\verysecretinfo\movie.avi 13db7403f35ba46ba3ccaeec0bc493c2
                                                        04/03/14 00:02:09 r:\Каспаров.RU — Главная.mht 0f96272a7dfa57cc1b04339f7a2d9b4d
                                                        Эта информация попадает каким-нибудь нехорошим дядям, и все, готово дело. Путь к контейнеру известен, его хэш известен, его содержимое тоже. Конечно, контейнер можно хранить на флэшке, это немного затруднит задачу, но не более.

                                                        От перехода на Linux останавливает ровно то, что очень многих нужных мне программ под него просто нет и придется как-то морочиться с виртуализацией (причем просто запуск в виртуалке мне как-то не нравится, хотелось бы единую рабочую среду). Это все решаемо, но потребует траты значительного количества времени. Но, если так продолжится и все больше компаний будут знать куда я хожу, что у меня хранится и так далее, то это придется сделать.

                                                        Ну и, конечно же, OpenSource не дает вообще никакой гарантии, что данные не будут сливаться. Просто потому, что сидеть и проверять код каждой используемой программы просто нереально. Но OpenSource дает гарантию, что кто-то ее может проверить и сообщить об бэкдорах, утечках и прочем. Хотя бы как с TrueCrypt (правда этот аудит шел черт знает сколько и, по всей видимости, угробил проект).

                                                        Да и вообще мне не нравится тенденция последних лет, когда каждая вторая компания\правительство начинают совать свой нос в личные дела граждан. Куда они ходят, чем интересуются, что хранят и так далее. Так мало того, граждане сами рады еще больше информации рассказать о себе, лезут во всякие соц. сети (я там, каюсь, тоже есть, но достаточно номинально (тут недавно один сервис с меня потребовал ссылки на соц. сети, что бы доказать, что я реальный человек, при том, что была пройдена идентификация через банк (sic!), вот для такого приходится держать профили) и так далее. На мой взгляд это очень опасная тенденция, которая может привести к чему-нибудь похуже общества из 1984. И, пожалуй, приведет.
                                                          0
                                                          Но OpenSource дает гарантию, что кто-то ее может проверить и сообщить об бэкдорах, утечках и прочем.
                                                          В bash тот самый эпичный баг жил десятилетиями. Впрочем, дело не в этом. Если я правильно понял, вы в целом придерживаетесь довольно пессимистичного сценария развития. Поводы, в общем-то, есть. Я скорее оптимист, и в условный «1984» не верю. 40 лет назад, чтобы протащить через границу запрещенную литературу, делали микрофильмы — вообще довольно сложное техническое мероприятие. Сейчас я могу поставить Tor, зашифровать жесткий диск, анонимно платить биткоины — ну, если захочу, через пару часов у меня все это будет работать. Уверен, придумают контрмеры и против этого, ну так появится еще какая-то технология. Может не я прав, а вы, и еще придется микрофильмы осваивать. Посмотрим. Вы ваш гипотетический «каспаров» тоже ведь можете зашифровать или в виртуалку засунуть пустую, или еще как-то. Способы есть.

                                                          По поводу таблички AV-Comparatives. Я почитал, как они ее делали. Они сначала читали EULA, потом рассылали всем вендорам запросы вроде «передаете ли вы URL, да или нет». Подозреваю, что от всех вендоров на каждый вопрос они получили развернутый ответ типа «Да, передаем, но с такими-то исключениями, такими-то условиями, ограничениями, обстоятельствами, анонимность обеспечиваем так-то». А в таблицу все равно попало просто «да», потому что это таблица. Скорее всего именно поэтому часть вендоров предпочли на некоторые вопросы не отвечать вовсе (в таблице это отмечено). Что выглядит подозрительнее — просто «да» без подробностей или «no comments» — ну это каждый решает сам :) У любого метода сравнения, короче, есть свои издержки.
                                                            0
                                                            Ну этот баг в итоге был обнаружен, я про это. А гарантий оно не дает, как я и писал выше.

                                                            Просто наблюдая за последними тенденциями как в моей стране, так и в других, я вижу, что правительство и компании хотят контролировать все и вся. Первые для репрессий, вторые для прибыли. Если во втором случае это все не так страшно, то в первом в чистом виде «1984». А если вторые начинают сотрудничать с первыми, то «1984^2».

                                                            В случае с Tor, BTC и так далее: ключевое слово тут «пока». BTC у нас уже запретили, Tor в скором времени запретят, о чем уже говорили. Когда они поймут, что технически это сделать сложновато, введут ответственность за использование. Вот тут и придется задумываться какая программа чего и куда сливает (сам трафик можно замаскировать под обычный SSL, надеюсь до его запрета не дойдет).

                                                            Вообще массового контроля и репрессий все еще нет потому, что для этого потребуются огромные вычислительные мощности, которые дороги и не всегда доступны. Но ведь все это вопрос времени, причем не столь далекого. Думаете правительства откажутся от возможности контролировать все и вся, если она будет доступна? Судя по тому, что происходит сейчас — нет, при первой же возможности начнут использовать. Конечно, все это имхо.

                                                            По поводу таблички: я всего-то навсего хочу знать с какими исключениями, условиями, ограничениями и обстоятельствами передаются данные, как обеспечивается анонимность. Раз уж эти данные были сообщены (то есть они не секретны) AV-Comparatives, а они их не опубликовали (абсолютно зря), может быть вендорам их опубликовать? С просьбы об этом я и начал эту дискуссию и все еще надеюсь, что меня услышат и напишут об этом где-нибудь :) Например, в виде поста на Хабре.
                                                            В конце концов это и компании в плюс, и сомневающимся пользователям вроде меня тоже.
                                                              +1
                                                              Вас услышали, это я гарантирую :) Возможно и напишут. В пределах того что я знаю: пока и ЛК, и другие вендоры раскрывают подобную инфу максимум в формате доки, которую я в начале привел. Более детальной технической инфы в открытом доступе нет, и не обязательно потому, что кто-то что-то намеренно скрывает. Просто ее раскрытие натыкается на массу объективных рогаток вроде юридических тонкостей, патентов, конкуренции и прочего legal stuff. Не исключено, что со временем все эти траблы будут преодолены. Обещать не буду, не совсем моя сфера.
                                                                0
                                                                Буду надеяться, что это случится скоро :) Хотя бы в сжатом виде (просто что именно пересылается, в каких именно случаях, в каком виде хранится).
                                                        0
                                                        Насколько я понимаю, смысл в том что можно отслеживать зараженные сервисы в сети, отслеживать эпидемии заражения того же WordPress или ещё что-то.
                                                          0
                                                          По-моему для этого достаточно отсылать только зараженные\подозрительные URL.
                                                          Если так, то это нормально, просто в табличке написано «malicious and non-malicious».
                                                            0
                                                            Юристы часто с запасом пишут права, чтобы два раза не вставать) к сожалению.
                                                              +1
                                                              Вот, кстати, тут я могу ошибаться ибо к ЛК не имею вообще никакого отношения. Но если бы я делал подобную систему, то отсылал бы ещё на сервера урл с IP вместо доменного имени, а так же ссылки в доменах третьего уровня бесплатных регистраторов ибо в них очень часто и размещаются контрольные центры различной заразы.

                                                              Т.е. помимо явно обнаруженной проблемы, коллекционировал бы ещё и ссылки, которые могут потенциально эксплуатироваться для целей распространения заразы, а на стороне сервиса, имея статистику мог бы уже эвристически предположить наличие эпидемии и внимательно что-то более подробно просканить на предмет заразы.

                                                              В общем тут всё примерно так же как с антиспамом в gmail, много очень взаимосвязей надо учесть, что бы эвристику получить адекватную.
                                                          • UFO just landed and posted this here
                                                              +1
                                                              Пару раз цеплял винлокеры просто зайдя на страницу (секунд 5 и система отправлялась в ребут, после него уже винлокер). UAC был включен, учетка не админская. Антивирус был (не KES, один из конкурентов). Если бы это был не безобидный винлокер, а шифровальщик, было бы очень печально (важные данные, конечно же, дублируются в бэкапы, но коллекцию фильмов тоже потерять обидно (делать бэкапы таких данных дорого)).

                                                              Покупать еще один ноутбук как бы дороже, нежели антивирус. Тем более антивирус мне достается бонусом по работе. Проще тогда перейти на Linux.

                                                              Если подцепить какую-нибудь гадость, которая упрет пароль от QIWI или Яндекс.Денег будет тоже неприятно. Я уж не говорю про данные карт. От Webmoney или Gmail могут забирать наздоровье, там есть двухфакторная авторизация через приложение, а вот у банков, QIWI, ЯД и многих других только через SMS. Имея пароль от аккаунта перевыпустить SIM и забрать денежку как бы совсем не проблема.

                                                              Да и вообще шариться по интернету под Windows без антивируса — это как заниматься сексом с проститутками без презерватива. Учитывая, что мне иногда приходится изучать выдачу Google по запросам вида "%somename% скачать", то это и вовсе как заниматься сексом с проститутками без презерватива в ЮАР, совсем ненужный никому экстрим.
                                                              Да, еще Advego Plagiatus, ContentDownloader и прочие парсеры могут принести какую-нибудь гадость.
                                                              • UFO just landed and posted this here
                                                                  +1
                                                                  Запускать всякую гадость я и не планирую, просто действительно зачастую достаточно просто зайти на страничку. И там может быть не локер, а криптер или стилер. А от этого VirusTotal не спасет.

                                                                  И хранение денег в банке тоже не спасет, можно так же украсть логин\пароль от интернет банкинга, перевыпустить SIM (посмотрите как это просто, хотя можно еще проще) и забрать все оттуда. Даже еще хуже, в случае с МПС можно хотя бы на chargeback надеяться.

                                                                  Пока все более менее серьезные сервисы не будут использовать двухфакторную авторизацию через приложение (без возможности легкого восстановления доступа через SMS) надеяться на авось нельзя.
                                                                  Просто даже если упрут 20к (больше редко храню) все равно будет очень обидно.

                                                                  Жить так без антивируса можно на каком-нибудь ноутбуке, который только для почитать новости, пошариться по соц. сетям, не более. Имхо, конечно.
                                                                    +1
                                                                    Жить так без антивируса можно на каком-нибудь ноутбуке, который только для почитать новости, пошариться по соц. сетям, не более. Имхо, конечно.


                                                                    Я вот тут периодически задаю вопросы о причинах заражения. Пока еще не видел ответа не сводящемуся либо к использовании уже закрытой вендором уязвимости. Либо к добвровольному запуску малвари пользователем. Сам ни разу не видел никаких винлокеров. Один раз домашний пользователь запустил что-то что поставило во все браузеры рекламу. После чего запретил запуск неадминам программ из профиля с тех пор никакой малвари не вижу.
                                                                      +1
                                                                      Попробуйте пошариться с месяцок по всяким варезникам и подобным «злачным местам», может чего и подцепите. Просто не стоит забывать, что, к сожалению, не все программы умеют в автообновление.
                                                                      Например: QuickTime Player (встраивает свой плагин во все браузеры, которые находит, сам не обновляется), Silverlight (должен обновляться вместе с Windows, но почему-то не хочет, хотя специально я не запрещал), DivX VOD Helper Plug-in (ставится с K-Lite), RealPlayer (также). Это просто из стандартного набора, а может стоять еще что-то специализированное, типа 多媒体 视频插件 (это для работы с китайскими IP регистраторами и камерами), которое по умолчанию дырявое и имеет только одну версию.

                                                                      Конечно, все это решаемо, но я хочу просто заниматься своими делами, а не следить за выходом обновления K-Lite и прочего, раз оно само не умеет.
                                                                        +1
                                                                        Для «следить за обновлениями того, что само не умеет» есть secunia psi. Если вы перейдёте на линукс там 多媒体 视频插件 начнет обновляться?
                                                                          +1
                                                                          Там 多媒体 视频插件 скорее всего не встанет :) Но если и встанет, то под linux куда меньше всякой заразы.
                                                                            +1
                                                                            Получается просто работать и не париться безопасностью под другим тоже не очень получится
                                                                          +1
                                                                          >а не следить за выходом обновления K-Lite и прочего, раз оно само не умеет.
                                                                          Кстати, следить и предупреждать оно уже само умеет, а вот само обновляться, к сожалению еще пока нет...(я про K-lite)
                                                                            +1
                                                                            А с какой версии? Ни разу не видел никаких уведомлений от K-Lite.
                                                                              +1
                                                                              Ох… точно не скажу, но я заметил после 10-й, выскакивает окошко раз в неделю от утилиты Codec Tweak Tool, если есть новая версия, со ссылкой(или ссылками) на последнюю, покопайтесь в последнем — это в настройках твик тула есть, и еще при установке тоже.
                                                                                +1
                                                                                Еще можно не пускать всякую хренотню в браузер. IE спрашивает активировать ли плагин, Opera может не активировать плагины без клика. (С соответственно для сайтов типа ivi можно в сайтовых настройках отключить это)
                                                                                  +1
                                                                                  Эм… вы точно на мой коммент отвечали?
                                                                                    +1
                                                                                    Я его дополнил
                                                                    +1
                                                                    Пару раз цеплял винлокеры просто зайдя на страницу (секунд 5 и система отправлялась в ребут, после него уже винлокер).


                                                                    Автообновление всего было включено? Какой score показывала Secunia PSI? Не расследовали через какую уязвимость было заражение?
                                                                      +1
                                                                      Да. Не знаю. Не расследовал. Просто удалил и забил.
                                                                      Вообще ПО было такое: Windows 7 (автообновление включено), Opera 12 (не помню подверсию, это было когда она еще была актуальна), ESS в одном случае, AVG в другом, базы актуальные.
                                                                      Заражение, скорее всего, было через flash, который, впрочем, тоже вполне себе умеет автообновляться.
                                                                      Да, было это примерно с перерывом в месяц, на разных компьютерах (с практически аналогичным ПО).
                                                                        +1
                                                                        Flash как-то слишком явно явтообновляется. Если не считать тот что встроен в is и хром.
                                                                          +1
                                                                          Ну это было тогда, когда он еще не умел самообновляться, кстати. Автообновление в него совсем недавно добавили ведь. Ну и в Opera Presto он не был встроен.
                                                                      +1
                                                                      Пару раз цеплял винлокеры просто зайдя на страницу (секунд 5 и система отправлялась в ребут, после него уже винлокер). UAC был включен, учетка не админская


                                                                      SRP включите и запретите запуск из папок куда можно писать без админ прав ;) Большую часть случаев явного и скачивания и установки это отрежет, останутся только уязвимости в софте, но лишь очень специфические ибо дырявый софт тоже не будет иметь админ прав, если конечно не будет уязвимости в самой системе… В общем включите SRP, это полезно.
                                                                        +1
                                                                        Srp есть не на всех редакциях винды исполнение можно отключить локальными политиками
                                                                          +1
                                                                          На моей редакции SRP нет, но спасибо за совет.
                                                            0
                                                            речь идет о KES

                                                            читать как «речь идет о KSN», не успел исправить комментарий, к сожалению.

                                                            Only users with full accounts can post comments. Log in, please.