Kaspersky Lab: «Многие просто не знают, что они уже под контролем»
В последнее время в мире киберпреступлений, связанных со взломом крупных промышленных объектов, наметился тренд: все чаще хакеры, раздобыв учетные данные той или иной системы, не просто выводят ее из строя, а предпочитают сохранить доступ «на будущее». Для обеспечения безопасности критической инфраструктуры «Лаборатория Касперского» создала центр промышленной безопасности, который собирает и анализирует данные крупных предприятий, и предлагает свои решения по кибербезопасности.
Читайте «Хайтек» в
Об открытии центра промышленной безопасности Kaspersky Lab ICS-CERT стало известно во время конференции «Кибербезопасность АСУ ТП 2016: время действовать вместе», которая в эти дни проходит в Иннополисе.
Напомним, ранее в Иннополисе компания открыла центр компетенции, который, по словам самого Евгения Касперского, занимается «консалтингом, помощью в проектировании решений по защите индустриальных систем». Планируется, что в центре компетенции в Иннополисе будет работать до десяти специалистов, но пока их меньше.
Однако центр промышленной безопасности — это нечто другое. Пока центр «физически никуда не привязан», то есть существует лишь в виде сайта, куда могут обратиться компании, у которых возникли проблемы с кибербезопасностью.
Планируется, что ICS-CERT будет координировать действия производителей систем автоматизации, владельцев и операторов промышленных объектов, а также исследователей в области информационной безопасности. Центр также будет собирать данные об уязвимостях, атаках и возможных угрозах, на основе которых будет давать рекомендации по защите индустриальных и критически важных инфраструктурных объектов. Все данные, кроме конфиденциальных, будут доступны публично в обезличенном виде. Информация об уязвимостях в индустриальном ПО и оборудовании будет публиковаться при взаимодействии с производителями согласно политике ответственного разглашения.
Ожидается, что основными клиентами центра станут производители компонентов автоматизированных систем управления технологическим процессом (АСУ ТП), национальные CERT и промышленные предприятия, работающие в энергетике, машиностроении, транспорте, металлургии, нефтегазовом секторе, производстве строительных материалов и т. д.
Несмотря на то, что центр промышленной безопасности пока существует лишь виртуально, у него уже есть несколько крупных клиентов. По словам Касперского, один из них — татарстанское нефтеперерабатывающее предприятие «ТАНЕКО». «Естественно, мы наработали некоторый опыт по защите подобных объектов, который хотим применять дальше», — сказал глава Kaspersky Lab.
Как стало известно «Хайтеку», в число компаний — заказчиков решений по информационной безопасности «Лаборатории Касперского» также входит латвийская компания Vars (терминал перевалки нефтехимических продуктов с железнодорожного транспорта на водный — прим. авт.). Также «Лаборатория Касперского» оказывает услуги по анализу текущей защищенности череповецкого металлургического комбината «Северсталь».
Вот еще пара примеров: о вирусе NetTraveler стало известно в 2013 году, тогда как он был активен с далекого 2004 года, а компьютерный червь Stuxnet, по некоторым предположениям являющийся специализированной разработкой спецслужб Израиля и США, был обнаружен лишь в 2010 году, хотя работал с 2005 года.
Менеджер по развитию решений по безопасности критической инфраструктуры «Лаборатории Касперского» Антон Шипулин рассказал «Хайтеку» о результатах исследований, в рамках которых на заранее смоделированные электроподстанции, как в ловушку, заманивались взломщики — исследования проводились для изучения поведения хакеров.
Правда о «шпионском» баге в решениях «Лаборатории Касперского»
Правда о недавно обнаруженной и уже исправленной ошибке в домашних продуктах «Лаборатории Касперского».
Возможно, до вас доходили слухи, что «Лаборатория Касперского» шпионит за своими клиентами или помогает следить за ними другим. Ранее мы уже комментировали подобные заявления и недавно снова с ними столкнулись: на этот раз «Лаборатория Касперского» якобы подвергает своих пользователей опасности межсайтового отслеживания. Рассказываем, что случилось и как обстоят дела сейчас.
Что произошло?
Рональд Айкенберг (Ronald Eikenberg) из журнала c’t обнаружил, что домашние продукты «Лаборатории Касперского» используют уникальные идентификаторы в скриптах, когда пользователи посещают веб-сайты. По словам журналиста, теоретически с помощью этих идентификаторов можно следить за активностью пользователей в Интернете.
Проблема, получившая номер CVE-2019-8286, затронула Kaspersky Internet Security 2019, Kaspersky Total Security 2019, Kaspersky Anti-Virus 2019, Kaspersky Small Office Security 6 и Kaspersky Free Antivirus 2019, а также более ранние версии этих решений. Айкенберг связался с нами, и мы оперативно устранили баг. Соответствующее исправление для всех затронутых продуктов вышло еще в июне, и огромное количество пользователей уже обновили свое ПО.
В чем суть проблемы?
Практически в каждую страницу, загружаемую пользователем домашних продуктов «Лаборатории Касперского», наше решение встраивало специальный код, который среди прочего содержит 32-символьный идентификатор. До исправления бага все страницы, которые посещал конкретный пользователь, получали один и тот же идентификатор, уникальный для этого пользователя.
В теории это позволяло владельцам сайтов, на которых размещались эти веб-страницы, отслеживать, заходил ли конкретный пользователь «Лаборатории Касперского» на тот или иной сайт и сколько раз — даже если он делал это в режиме инкогнито. Для этого, правда, требовалось, чтобы сайты обменивались информацией друг с другом.
Сейчас все исправлено?
Да, 7 июня 2019 года мы выпустили специальный патч и автоматически отправили его всем пользователям затронутых продуктов. Если с момента выхода патча ваш компьютер подключался к Интернету и вы разрешали ему обновляться, будьте уверены — исправление уже установлено, и вам ничего не нужно делать.
Что изменилось? Теперь обновленные решения «Лаборатории Касперского» присваивают всем пользователям одинаковые идентификаторы, поэтому единственное, что можно из них извлечь, — это сведения об используемом продукте (Kaspersky Anti-Virus, Kaspersky Internet Security и так далее). Идентификаторы больше не уникальны для конкретных пользователей, и, следовательно, по ним нельзя отследить их действия.
Как возникла проблема?
Чтобы обнаруживать потенциально вредоносные скрипты на веб-странице до того, как она будет полностью загружена и отображена в браузере, продукты «Лаборатории Касперского» внедряют в нее специальный JavaScript-код. Этот метод не уникален для решений «Лаборатории Касперского» — по такому принципу работают многие веб-антивирусы. Наш код JavaScript включает идентификатор, который раньше был уникальным для каждого пользователя, а теперь одинаковый для всех пользователей каждого из продуктов.
Почему ничего страшного в произошедшем нет?
Порой СМИ специально раздувают проблему, чтобы привлечь к себе внимание. Именно это и произошло в этот раз. Теоретически использование уникальных идентификаторов могло иметь реальные последствия. Их три.
Первое (об этом мы писали выше): с помощью уникальных идентификаторов маркетологи могли бы собирать информацию о пользователях, посещавших сайты. Но она была бы крайне скудной. Сегодня есть более простой способ получить нужные сведения — специальные рекламные системы вроде тех, что реализованы в Facebook или Google. Они предоставляют куда больше информации, поэтому их использует большинство владельцев сайтов. А в слежке через идентификаторы защитных решений просто нет смысла.
Второе: теоретически злоумышленники могли использовать полученные сведения для создания вредоносной программы, нацеленной на клиентов «Лаборатории Касперского», и попытаться распространить ее среди них. Такой сценарий применим к любой программе, изменяющей код веб-страницы на стороне пользователя. Однако это крайне маловероятно: просто создать вредоносное ПО недостаточно — нужно еще доставить его пользователю и запустить на его устройстве. Для этого его нужно заманить на вредоносный сайт, чему будут активно препятствовать наши антифишинговый модуль и веб-антивирус.
Третье: база с данными посетителей веб-сайтов могла быть использована для фишинга. Пожалуй, это самое вероятное из всех потенциальных последствий. Однако, как и в случае с вредоносным ПО, для злоумышленника это не самый простой путь. Куда проще было бы воспользоваться сведениями, находящимися в открытом доступе по воле пользователя или в результате многочисленных утечек.
Как бы то ни было, никакой вредоносной активности, связанной с идентификаторами, обнаружено не было. Теперь же проблема решена, и преступники ничего не смогут предпринять.
Поэтому заявление о том, что наши решения позволяют шпионить за пользователями, — сильное преувеличение. Да, в продуктах был незначительный баг, и теоретически с его помощью можно было получить очень ограниченное количество информации о пользователях, но, повторимся, мы его устранили.
А что делать мне?
Если ваше защитное решение обновляется автоматически (именно такой способ обновления мы рекомендуем), установка исправления даже не потребует вашего участия.
Kaspersky lab power events provider что это
Категоризация программ позволяет оптимизировать процесс управления запуском программ на устройствах. Вы можете создать категорию программ и настроить компонент Контроль программ политики так, что на устройствах, на которых применена эта политика, будут запускаться только программы из указанной категории. Например, вы создали категорию, которая содержит программы Программа_1 и Программа_2. После добавления этой категории в политику, на устройствах, к которым применена эта политика, будет разрешен запуск только двух программ, Программа_1 и Программа_2. Если пользователь попытается запустить программу, которая не входит в категорию, например, Программу_3, то запуск такой программы будет заблокирован. Пользователю будет отображено сообщение о том, что запуск Программы_3 запрещен в соответствии с правилом Контроля программ. Вы можете создать автоматически пополняемую категорию на основе различных критериев, входящих в указанную папку. В этом случае файлы будут автоматически добавляться в категорию из указанной папки. Исполняемые файлы программ копируются в указанную папку, обрабатываются автоматически, и их метрики заносятся в категорию.
Чтобы настроить управление запуском программ на клиентских устройствах, выполните следующие действия:
Откроется окно свойств политики Kaspersky Endpoint Security 11 для Windows.
Для программ версий Kaspersky Endpoint Security для Windows 10 Service Pack 2 и выше категории, созданные по критерию MD5-хеша исполняемого файла, программы не отображаются.
Не рекомендуется добавлять категорию, созданную по критерию SHA-256 исполняемого файла, для программ версий ниже Kaspersky Endpoint Security для Windows 10 Service Pack 2. Это может привести к сбою программы.
Подробные инструкции по настройке правил контроля приведены в онлайн-справке Kaspersky Endpoint Security для Windows.
Kaspersky следит за вами, за ваши деньги
Детективная история приключилась со мной недавно. Обновил windows 10, следом решил обновить internet security от Касперского. В принципе все работало неплохо, если бы не одно но…
По роду деятельности мне приходится частенько ковыряться в верстке и js. Открыв как-то исходную страницу сайта заказчика заметил на нем неустановленный скрипт: ff.kis.scr.kaspersky-labs.com/USER_ID/main.js (спрятал свой юзер id, там длинная строка из символов). Исходный код скрипта залил туда: pastebin.com/rkY42pkf
Данный скрипт переопределяет некоторые элементы страницы, постоянно рефрешится в фоне и делает еще кучу неизвестных вещей, как и нету гарантии в добавлении модулей для слежения за пользователем позднее. Зарубежные покупатели первыми заметили проблему, и создали тему на форуме (http://forum.kaspersky.com/index.php?showtopic=328326), затем инъекция кода была замечена пользователями из СНГ: forum.kaspersky.com/index.php?showtopic=328544 и вебмастерами — forum.kaspersky.com/index.php?showtopic=316482&st=40&p=2445346&#entry2445346
Самое интересное в этой истории это то, что данную инъекцию невозможно отключить. Ни через настройки KIS, ни через удаление плагинов. У меня вообще не было установлено плагинов, но скрипт успешно вставляется и в firefox, и в chrome. Техподдержка заявляет об этом непродуманном решении как о фиче и фиксить не собирается «Добрый день, данный скрипт предоставляет функциональность, реализованную ранее в классических плагинах. Данное поведение не должно приводить к нарушению работы веб-сайтов. Если есть какие-то проблемы, то просим описать конкретные неудобства, предоставить скриншоты.»
Вот таким образом касперский получил доступ ко всем моим действиям в интернете за мои же деньги. Данной проблеме подвержены последние версии KIS 2015 и 2016.
Kaspersky lab power events provider что это
В этом разделе собрана информация о базовых событиях в работе программы, которые записываются в журнал событий Windows. События, связанные с работой Kaspersky Security, регистрируются в журнале событий Windows источником KSHSecurityService (службой Kaspersky Security). Такие события имеют фиксированный код события. События в таблице отсортированы по возрастанию кода события.
Базовые события в работе программы
Уровень важности события
Событие записывается, если программа зафиксировала ошибки в работе компонента. В записи о событии указывается название компонента и описание ошибки.
Событие записывается, если программа зафиксировала выключение компонента. В записи о событии указывается название компонента.
Событие записывается, если программа зафиксировала включение компонента. В записи о событии указывается название компонента.
Событие записывается, если программа обнаружила зараженный файл во время проверки при обращении.
Событие записывается, если программа обнаружила нежелательный контент во время проверки при обращении.
Событие записывается, если программа обнаружила фишинговую ссылку во время проверки при обращении.
Событие записывается, если задача проверки по требованию была запущена вручную или автоматически по расписанию. В записи о событии указывается имя задачи и тип запуска.
Событие записывается, если задача проверки по требованию была остановлена. В записи о событии указывается имя задачи и причина остановки задачи.
Событие записывается, если пользователь запросил запуск задачи проверки по требованию. В записи о событии указывается учетная запись пользователя.
Событие записывается, если пользователь запросил остановку задачи проверки по требованию. В записи о событии указывается учетная запись пользователя.
Событие записывается, если базы программы не удалось обновить. В записи о событии указывается описание ошибки.
Событие записывается, если ошибка обновления баз программы устранена и базы обновлены успешно. В записи о событии указывается дата выпуска баз.
Событие записывается, если программа обнаруживает, что базы устарели более чем на сутки. В записи о событии указывается дата выпуска баз.
Событие записывается, если базы программы были обновлены до последней версии. В записи о событии указывается дата выпуска баз.
Событие записывается, если компонент программы перешел в режим ограниченной проверки. В записи о событии указывается название компонента и время его перехода в режим ограниченной проверки
Событие записывается, если пользователь удалил файл из резервного хранилища. В записи о событии указывается учетная запись пользователя и подробная информация о файле.
Событие записывается, если пользователь сохранил файл из резервного хранилища на диск. В записи о событии указывается учетная запись пользователя и подробная информация о файле.
Событие записывается, если пользователь восстановил файл из резервного хранилища. В записи о событии указывается учетная запись пользователя и подробная информация о файле.
Событие записывается, если активный ключ не обнаружен.
Событие записывается, если срок действия лицензии истек. В записи о событии указывается ключ и дата окончания срока действия лицензии.
Событие записывается, если Консоль управления была запущена. В записи о событии указывается учетная запись пользователя, запустившего Консоль управления.
Событие записывается, если Консоль управления была закрыта. В записи о событии указывается учетная запись пользователя, закрывшего Консоль управления.
Событие записывается, если в политике или в задаче Поиска настроен параметр Вести запись событий в журнал событий Windows и Kaspersky Security Center и программа обнаружила файл, нарушающий политику безопасности.
Событие записывается, если специалист по информационной безопасности запросил сохранение на диск объекта, приложенного к инциденту.
Событие записывается, если специалист по информационной безопасности выполнил архивирование инцидентов.
Событие записывается, если настроен параметр Уведомлять при добавлении категорий «Лаборатории Касперского» и во время обновления баз программы были обновлены категории «Лаборатории Касперского». В записи о событии указываются названия обновленных категорий и краткие описания категорий.
Событие записывается, если параметры программы были изменены. В записи о событии указывается учетная запись пользователя, изменившего параметры, область изменений (например, Content Filtering), значение измененного параметра.
Событие записывается, если статус ключа, дата окончания срока действия лицензии, количество пользователей или тип лицензии изменились. В записи о событии указывается ключ, тип лицензии, дата окончания срока действия лицензии и количество пользователей лицензии.
Событие записывается, если пользователь выполнил действия с ключом Сервера безопасности или ключом Модуля DLP. В записи о событии указывается учетная запись пользователя.
