Nieczyste gierki producentów antywirusów, czyli co za uszami ma Kaspersky
Niezdrowa konkurencja i podkładanie sobie nóg na każdym kroku nie są niczym nowym w dowolnym biznesie. Jeśli jednak dzieje się to kosztem bezpieczeństwa użytkowników w tak istotnym sektorze jak bezpieczeństwo cyfrowe, to znaczy, że sytuacja wymknęła się spod kontroli.
Dzięki portalowi Reuters światło dzienne ujrzały informacje, jakoby gigant rynku cyfrowych zabezpieczeń - Kaspersky - od blisko dziesięciu lat działał na szkodę konkurencji poprzez sztuczne infekowanie zdrowych plików, a w konsekwencji klasyfikowanie ich jako szkodliwych.
Informacja ta pochodzi od dwóch byłych pracowników korporacji, którzy twierdzą, iż kampania wprowadzania w błąd algorytmów konkurencji skierowana była głównie w stronę Microsoftu, AVG Technologies, Avasta i kilku innych, mniejszych graczy.
Dlaczego problem jest aż tak poważny i istotny z punktu widzenia użytkowników? Ponieważ oznaczając zdrowe pliki jako zainfekowane, konkurencyjne antywirusy usuwały z komputerów użytkowników ważne pliki, mylnie klasyfikując je jako malware.
Co więcej, niektóre z tych działań miał zlecić sam Eugene Kaspersky, współzałożyciel korporacji, jako część walki z konkurencję, która - jego zdaniem - wykorzystywała rozwiązania firmy Kaspersky zamiast tworzyć swoje własne, co założyciel uznał za kradzież. Podobno o operacji wiedziała niewielka grupka ludzi wewnątrz firmy, w tym dwóch pracowników, którzy donieśli o tym Reutersowi.
Ciekawe jest to, iż zarówno Microsoft, jak i AVG oraz Avast w przeszłości informowały Reutersa, iż nieznani sprawcy próbują wprowadzać w błąd ich oprogramowanie takimi właśnie praktykami, lecz przedstawiciele firm jeszcze nie potwierdzili, czy w świetle tych doniesień winowajcą okazał się Kaspersky.
Ataki nadchodziły falami, rozpocząwszy się 10 lat temu, a swoją największą aktywność zyskały w latach 2009-2013. W jaki sposób rozpowszechniano źle klasyfikowane pliki? Najpierw programiści Kasperskiego metodą inżynierii odwrotnej rozgryzali algorytmy konkurencji, aby dowiedzieć się, w jaki sposób je oszukać. Następnie pozyskiwali pliki powszechnie odnajdywane na komputerach PC (na przykład kontrolery drukarek) i infekowali je kodem, który oszukiwał konkurencję. Tak zainfekowane pliki umieszczano następnie w agregatorach pokroju google’owskiego VirusTotal, skąd trafiały do wiadomości konkurencji.
Byli pracownicy Kasperskiego otwarcie nazywają tę taktykę sabotażem i niezdrowym sposobem na zwiększenie swoich rynkowych wpływów, nie bacząc na szkody wyrządzane zwykłym użytkownikom.
Kaspersky dementuje wszystkie informacje
Po opublikowaniu artykułu przez Reuters, Kaspersky Lab rozesłał do mediów - również do Spider's Web - notkę prasową z oficjalnym stanowiskiem odnośnie pomówień o nieuczciwe praktyki. Czytamy w niej:
W przeciwieństwie do oskarżeń opublikowanych w artykule Reutersa, Kaspersky Lab nigdy nie przeprowadzał żadnej tajnej kampanii mającej na celu oszukanie rozwiązań swoich konkurentów, by generowały fałszywe alarmy, co miałoby zaszkodzić reputacji tych firm.
Tego typu działania są nieetyczne, nieszczere oraz nielegalne. Przedstawione przez anonimowych, zawiedzionych byłych pracowników oskarżenia, z których wynika, że firma Kaspersky Lab – lub jej dyrektor generalny – była zaangażowana w takie działania, są pozbawione wartości i fałszywe.
Jako członek społeczności bezpieczeństwa IT, dzielimy się naszymi badaniami z innymi producentami, a także otrzymujemy i analizujemy informacje o zagrożeniach od innych. Mimo że konkurencja na rynku bezpieczeństwa IT jest duża, taka zaufana wymiana danych jest jednym z kluczowych elementów dla całego ekosystemu IT i dokładamy wszelkich starań, by zapewnić niezakłócony przebieg informacji między nami a konkurencją.
Co bardzo ciekawe, w oficjalnym stanowisku znajdziemy tylko wytłumaczenie odnośnie wzmożonego okresu aktywności, a więc okresu między 2009 a 2013 rokiem:
W 2010 r. Kaspersky Lab przeprowadził jednorazowy eksperyment polegający na umieszczeniu 20 próbek nieszkodliwych programów w multiskanerze VirusTotal, co nie powinno wywoływać żadnych fałszywych alarmów, ponieważ pliki te były całkowicie czyste i nieszkodliwe. Po zakończeniu eksperymentu Kaspersky Lab opublikował oficjalną informację na ten temat i udostępnił wszystkie wykorzystane próbki, by każdy mógł je samodzielnie przetestować.
Eksperyment miał na celu zwrócenie uwagi społeczności bezpieczeństwa IT na problem niewystarczającej jakości wykrywania zagrożeń przez multikanery, a dokładniej na fakt uznawania plików za szkodliwe tylko dlatego, że niektórzy producenci oznaczyli je w ten sposób, bez dodatkowych badań zachowania poszczególnych obiektów. Więcej informacji na ten temat znajduje się na stronie securelist.com.
Badania te miały rzekomo przynieść korzyści całej branży „inicjując dyskusję”:
Po zakończeniu eksperymentu Kaspersky Lab zainicjował dyskusję w branży bezpieczeństwa IT, z której wynikało, że wszyscy uczestnicy są zgodni co do postawionych tez. Więcej informacji na ten temat znajduje się na stronie securelist.com.
Jakby stając w kontrapunkcie do wszystkich zarzutów skierowanych ku korporacji ze strony byłych pracowników, Kaspersky zarzeka się, jakoby on też padł ofiarą „nieznanego źródła”, które umieściło spreparowane pliki w serwisie VirusTotal:
W 2012 r. Kaspersky Lab znalazł się w gronie firm dotkniętych umieszczeniem spreparowanych plików przez nieznane źródło w serwisie VirusTotal. Incydent ten wywołał szereg fałszywych alarmów.
W celu rozwiązania problemu na konferencji Virus Bulletin w Berlinie w październiku 2013 r. odbyło się prywatne spotkanie między czołowymi producentami rozwiązań bezpieczeństwa IT. Strony wymieniły informacje o incydentach, zastanowiły się nad motywami kierującymi takimi działaniami i opracowały plan działania. W dalszym ciągu nie udało się ustalić, kto stał za wspomnianymi szkodliwymi działaniami.
Nie wiadomo, czy opisywane przez byłych pracowników praktyki te są nadal kontynuowane, czy ustały w 2013 roku po alarmie podniesionym przez AVT, Microsoft i Symanteca. CSO tego pierwszego, Todd Simpson odmówił komentarza portalowi Reuters, lecz w kwietniu tego roku inny przedstawiciel firmy, CTO, Yuval Ben-Itzhak przekazał portalowi, iż od czasu ataków w 2013 roku firma znacząco usprawniła swoje algorytmy i mechanizmy filtrowania, dzięki czemu tzw. „false-positive’y” są znacznie mniejszym problemem.
Oczywiście może się też okazać, że oskarżenia byłych pracowników i portalu Reuters są kompletnie wyssane z palca. W obronie tego stanowiska ostro wystąpił wczoraj sam Eugene Kaspersky, publikując bardzo krytyczny wpis na swoim blogu.
Myślę, że możemy jednak być pewni, że sprawa będzie miała ciąg dalszy i zostaną podjęte stosowne kroki by do końca wyjaśnić, czy Kaspersky Lab w istocie dopuścił się tak karygodnych praktyk - bo czym innym jest działanie na szkodę konkurencji, szkodząc tylko konkurencji, a czym innym jest zadawanie ciosów uderzających rykoszetem w użytkownika.
* Grafika: Shutterstock
