Статья — как бальзам на душу, скорей бы уж. Страшно достали «некоторые сетевые операторы и вендоры» из-за которых приходиться тратить море времени на нахождения решений для проблем созданных всякими statefull файерволами, WAFами и прочими appliance'ами…
Посмотрите скриншоты например здесь (ссылка от vikarti). В том что показано пользователю вы видите ключевую информацию о том что Каспекский может утягивать интересующие его файлы целиком? Я не вижу, а знание о такой возможности является критичным для принятия осознанного решения…
Мне наличной информации хватало, но я поискал и вот формальное подтверждение для вас:
the option “I agree to participate in Kaspersky Security Network” (KSN) is enabled by default
;-) Да у меня айфон, но у меня проблемы нет и никогда не было: всегда слежу за свежестью аккумулятора и меняю его раз в 2-4 года. Случай Apple просто подвернулся по руку за счет своей свежести и своей «духовной» близостью с случаем Касперского: Apple тоже за спиной у пользователя решила как пользователю будет лучше…
галочка, которую любой пользователь с головой может снять
Случай с АНБ лишь подтверждает что в этот капкан может попасть даже специалист.
/// sarcasm mode on
Вы просто осознайте ненормальность ситуации: условно говоря вы сходили в булочною за хлебом, а в конце месяца обнаружили что на вас записан абонемент в консерваторию отказаться от которого очень легко — в углу булочной громадный плакат с рекламой консерватории и тетрадка в которой можно «отказаться» от такой выгодного и полезного для пищеварения предложения…
Отсюда простой вывод: нравится технология — пользуйтесь, не нравится — отключайте, благо все необходимые галочки в настройках есть.
У Касперского был выбор: заменить checkbox на два radio button с Yes и No (ни одной из них не выбранной) и дать пользователю нажать на них только после промотки agreement до конца — то что многие (а может быть и KAV) делают показывая License Agreement. И вероятно ни этой истории ни этой стати ни наших с вами комментариев не было-бы, а он сделал то что сделал — выбрал за пользователя и спрятал критичную для понимания последствий выбора информацию. Случай Касперского не единичен — сейчас Apple огребает за игры с частотой мобильного процессора, DJI огреб за телеметрию дронов, Lenovo за встроенный рекламный софт и всем им поделом — пользователя надо уважать.
На мой взгляд, это нереально по определению: установка любого крупного продукта всегда создаёт дополнительные риски безопасности, хотя бы за счёт возможных багов в этом продукте.
Вы правы, мне стоит уточнить мою мысль в конкретном контексте: фирма Касперского — профессионалы в области безопасности, они не могу не знать или не понимать что пользователь покупающий антивирус хочет именно антивирус и ничего более.
Передача телеметрии, статистики, фоновый забор файлов — пользователю не нужны (дополнительная нагрузка на компьютер, канал связи, да и просто не все люди эксгибиционисты), а для предприятий и недопустимо (утечка информации). Вся эта активность с KSN нужна в первую очередь Касперскому и он мог легко ее получить: отдельная версия KAV со скидкой в которой KSN обязателен — есть море пользователей, мелких компаний для кого это и нормально и приемлемо. Так, по-моему, делает DrWEB со своим CureIT. Наверное есть и другие примеры…
По моим ощущениям, эффективные менеджеры у Касперского решили схалявить и поплатились. Один плюс: надеюсь эта история отрезвит и других производителей…
Вопрос конечно замечают, но как вы сами можете помнить или видеть на скриншотах из support.kaspersky.com/6494 — о том что это подключение в том числе означает «Kaspersky Lab ZAO получит доступ к любым вашим файлам» написано где-то в средине-конце агримента да и не понятно как написано (на скриншотах этого не видно).
IMHO Любой продукт должен иметь такие настройки по умолчанию что-бы установка продукта не увеличивала риски для безопасности или не заменяля одни риски другими.
1. «agreement» начинается со вполне ключевой для пользователя фразы в духе «Эй, чувак, с этим тебе будет несколько безопаснее».
Я всегда напрягаюсь после такого вступления. У Symantec есть похожие заморочки и они меня тоже сильно напрягают. Проблема в том что многие не вчитываются, не вдумываются, не замечают и галочка остается включенной. Для Касперского — профит, для клиента — серьезные риски утечек на фоне туманных перспектив кого-то когда-то от чего-то может быть спасти.
2. Есть у вас примеры лицензионных соглашений крупных (ай, да хоть каких-то) компаний, которые начинаются с "%companyName% получит доступ к любым вашим файлам" или аналогичных чудесных вещей?
К сожалению нет… Маркетологи видимо хорошо усвоили байку про «Не, брат, с таким настроением ты слона не продашь». Хотя у нас тут во франции есть ряд законов согласно которыми прием с заранее отмеченной галочкой считается незаконным. Я правда не разбирался попадает ли конкретный случай под их действие или вопрос решили как-то иначе (французское издание KAV другое или данные не берут)
3. По поводу второго абзаца:
'de jure' Касперский чист перед законом
Вот после этой фразы ставим точку и думаем, как жить-то хотим — по закону или «по совести», «по понятиям», «как бог на душу положит» и так далее? Мне думается, что лучше первое. Если вам «понятия» ближе — ну, значит, разные у нас с вами точки зрения. Бывает)
Я думаю вы не верно восприняли «тональность» моего комментария: Касперский скорее случайная жертва пострадавшая за вещи практикуемые в той или иной форме многими производителями…
А что касается конкретной ситуации описанной в статье: я понимаю американскую администрацию — уже обожглись/осознали масштаб утечек; я понимаю Касперского — теряют рынок/репутацию. Я думаю у них есть реальная возможность оспорить решение. Посмотрим чем все закончится.
Вы в статье упомянули AoE. Пользуетесь или просто для списка добавили? Если пользуетесь, напишите пару слов о ваших впечатлениях (никогда не сталкивался с такой дикой экзотикой)
Спасибо за вторую ссылку — сам Касперским не пользуюсь, а быстрый поиск в гугле не помог. В статье не указано отмечена ли галочка по умолчанию но подозреваю что отмечена. То что «agreement» не начинается с ключевой для пользователя фразы в духе «Kaspersky Lab ZAO получит доступ к любым вашим файлам» только усугубляет ситуацию.
Как я и боялся, возможно 'de jure' Касперский чист перед законом но 'de facto' они воруют информацию пользователя пользуясь его невнимательностью. Я даже не говорю о том что совершенно не ясно насколько хорошо обеспечена защита передачи на канальном уровне и в самой лаборатории…
А нельзя-ли дополнить публикацию (или в комментариях) информацией о том как файлы с компьютера пользователя попадают в лабораторию Каперского:
— пользователь сам шлет файлы
— антивирус берет файлы спрашивая каждый раз разрешения у пользователя
— антивирус сосет все что ему нравиться (пользователь должен знать где убрать секретную галочку)
По моему наличие адекватной поддержки прокси в продуктах постепенно становиться экзотикой (виноват IPv6?): у вас прокси стоит по «историческим» причинам или нечто другое?
Мне вероятно керамика не попадалась вообще: пластина либо пластичная (дюраль?) либо распадается на несколько крупных кусков и море блестящей пыли (каленое стекло?)…
2.5-дюймовых дисков я смотрел довольно много, хотя конкретно внешних(мобильных?) или выкрученных из ноутбуков было всего несколько. Большинство моих жертв выдернуты из серверов — стандартные SAS или SATA на 10к/15к RPM.
Я специально не отслеживал но мне кажется что стеклянные пластины я встречал только у IBMовских дисков. Последний раз это была пара 3.5-дюймовых IBMов на ~150Gb/15k RPM.
IMHO Сильно подозреваю что фишка со стеклом не столько связана с форм-фактором сколько с производителем…
the option “I agree to participate in Kaspersky Security Network” (KSN) is enabled by default
— пользователь вынужден подумать на что нажать
— производитель вынужден внятно объяснить что он хочет
Нет, пока проверить не могу. Я не пользуюсь KAV но комментарии, скриншоты и статья с их сайта говорит что вероятно таки да, отмечен.
Случай с АНБ лишь подтверждает что в этот капкан может попасть даже специалист.
/// sarcasm mode on
Вы просто осознайте ненормальность ситуации: условно говоря вы сходили в булочною за хлебом, а в конце месяца обнаружили что на вас записан абонемент в консерваторию отказаться от которого очень легко — в углу булочной громадный плакат с рекламой консерватории и тетрадка в которой можно «отказаться» от такой выгодного и полезного для пищеварения предложения…
Передача телеметрии, статистики, фоновый забор файлов — пользователю не нужны (дополнительная нагрузка на компьютер, канал связи, да и просто не все люди эксгибиционисты), а для предприятий и недопустимо (утечка информации). Вся эта активность с KSN нужна в первую очередь Касперскому и он мог легко ее получить: отдельная версия KAV со скидкой в которой KSN обязателен — есть море пользователей, мелких компаний для кого это и нормально и приемлемо. Так, по-моему, делает DrWEB со своим CureIT. Наверное есть и другие примеры…
По моим ощущениям, эффективные менеджеры у Касперского решили схалявить и поплатились. Один плюс: надеюсь эта история отрезвит и других производителей…
Я всегда напрягаюсь после такого вступления. У Symantec есть похожие заморочки и они меня тоже сильно напрягают. Проблема в том что многие не вчитываются, не вдумываются, не замечают и галочка остается включенной. Для Касперского — профит, для клиента — серьезные риски утечек на фоне туманных перспектив кого-то когда-то от чего-то может быть спасти.
К сожалению нет… Маркетологи видимо хорошо усвоили байку про «Не, брат, с таким настроением ты слона не продашь». Хотя у нас тут во франции есть ряд законов согласно которыми прием с заранее отмеченной галочкой считается незаконным. Я правда не разбирался попадает ли конкретный случай под их действие или вопрос решили как-то иначе (французское издание KAV другое или данные не берут)
Я думаю вы не верно восприняли «тональность» моего комментария: Касперский скорее случайная жертва пострадавшая за вещи практикуемые в той или иной форме многими производителями…
А что касается конкретной ситуации описанной в статье: я понимаю американскую администрацию — уже обожглись/осознали масштаб утечек; я понимаю Касперского — теряют рынок/репутацию. Я думаю у них есть реальная возможность оспорить решение. Посмотрим чем все закончится.
Как я и боялся, возможно 'de jure' Касперский чист перед законом но 'de facto' они воруют информацию пользователя пользуясь его невнимательностью. Я даже не говорю о том что совершенно не ясно насколько хорошо обеспечена защита передачи на канальном уровне и в самой лаборатории…
— пользователь сам шлет файлы
— антивирус берет файлы спрашивая каждый раз разрешения у пользователя
— антивирус сосет все что ему нравиться (пользователь должен знать где убрать секретную галочку)
Я специально не отслеживал но мне кажется что стеклянные пластины я встречал только у IBMовских дисков. Последний раз это была пара 3.5-дюймовых IBMов на ~150Gb/15k RPM.
IMHO Сильно подозреваю что фишка со стеклом не столько связана с форм-фактором сколько с производителем…
ПС Почему разбираю — с целью гарантированного уничтожения носителей. Почему так — меня это развлекает/занимает руки пока доки читаю…