Nieczyste gierki producentów antywirusów, czyli co za uszami ma Kaspersky

Dzięki portalowi Reuters światło dzienne ujrzały informacje, jakoby gigant rynku cyfrowych zabezpieczeń - Kaspersky - od blisko dziesięciu lat działał na szkodę konkurencji poprzez sztuczne infekowanie zdrowych plików, a w konsekwencji klasyfikowanie ich jako szkodliwych.

Informacja ta pochodzi od dwóch byłych pracowników korporacji, którzy twierdzą, iż kampania wprowadzania w błąd algorytmów konkurencji skierowana była głównie w stronę Microsoftu, AVG Technologies, Avasta i kilku innych, mniejszych graczy.

Dlaczego problem jest aż tak poważny i istotny z punktu widzenia użytkowników? Ponieważ oznaczając zdrowe pliki jako zainfekowane, konkurencyjne antywirusy usuwały z komputerów użytkowników ważne pliki, mylnie klasyfikując je jako malware.

Co więcej, niektóre z tych działań miał zlecić sam Eugene Kaspersky, współzałożyciel korporacji, jako część walki z konkurencję, która - jego zdaniem - wykorzystywała rozwiązania firmy Kaspersky zamiast tworzyć swoje własne, co założyciel uznał za kradzież. Podobno o operacji wiedziała niewielka grupka ludzi wewnątrz firmy, w tym dwóch pracowników, którzy donieśli o tym Reutersowi.

Ciekawe jest to, iż zarówno Microsoft, jak i AVG oraz Avast w przeszłości informowały Reutersa, iż nieznani sprawcy próbują wprowadzać w błąd ich oprogramowanie takimi właśnie praktykami, lecz przedstawiciele firm jeszcze nie potwierdzili, czy w świetle tych doniesień winowajcą okazał się Kaspersky.

Ataki nadchodziły falami, rozpocząwszy się 10 lat temu, a swoją największą aktywność zyskały w latach 2009-2013. W jaki sposób rozpowszechniano źle klasyfikowane pliki? Najpierw programiści Kasperskiego metodą inżynierii odwrotnej rozgryzali algorytmy konkurencji, aby dowiedzieć się, w jaki sposób je oszukać. Następnie pozyskiwali pliki powszechnie odnajdywane na komputerach PC (na przykład kontrolery drukarek) i infekowali je kodem, który oszukiwał konkurencję. Tak zainfekowane pliki umieszczano następnie w agregatorach pokroju google’owskiego VirusTotal, skąd trafiały do wiadomości konkurencji.

Byli pracownicy Kasperskiego otwarcie nazywają tę taktykę sabotażem i niezdrowym sposobem na zwiększenie swoich rynkowych wpływów, nie bacząc na szkody wyrządzane zwykłym użytkownikom.

Po opublikowaniu artykułu przez Reuters, Kaspersky Lab rozesłał do mediów - również do Spider's Web - notkę prasową z oficjalnym stanowiskiem odnośnie pomówień o nieuczciwe praktyki. Czytamy w niej:

Co bardzo ciekawe, w oficjalnym stanowisku znajdziemy tylko wytłumaczenie odnośnie wzmożonego okresu aktywności, a więc okresu między 2009 a 2013 rokiem:

Badania te miały rzekomo przynieść korzyści całej branży „inicjując dyskusję”:

Jakby stając w kontrapunkcie do wszystkich zarzutów skierowanych ku korporacji ze strony byłych pracowników, Kaspersky zarzeka się, jakoby on też padł ofiarą „nieznanego źródła”, które umieściło spreparowane pliki w serwisie VirusTotal:

Nie wiadomo, czy opisywane przez byłych pracowników praktyki te są nadal kontynuowane, czy ustały w 2013 roku po alarmie podniesionym przez AVT, Microsoft i Symanteca. CSO tego pierwszego, Todd Simpson odmówił komentarza portalowi Reuters, lecz w kwietniu tego roku inny przedstawiciel firmy, CTO, Yuval Ben-Itzhak przekazał portalowi, iż od czasu ataków w 2013 roku firma znacząco usprawniła swoje algorytmy i mechanizmy filtrowania, dzięki czemu tzw. „false-positive’y” są znacznie mniejszym problemem.

Oczywiście może się też okazać, że oskarżenia byłych pracowników i portalu Reuters są kompletnie wyssane z palca. W obronie tego stanowiska ostro wystąpił wczoraj sam Eugene Kaspersky, publikując bardzo krytyczny wpis na swoim blogu.

Myślę, że możemy jednak być pewni, że sprawa będzie miała ciąg dalszy i zostaną podjęte stosowne kroki by do końca wyjaśnić, czy Kaspersky Lab w istocie dopuścił się tak karygodnych praktyk - bo czym innym jest działanie na szkodę konkurencji, szkodząc tylko konkurencji, a czym innym jest zadawanie ciosów uderzających rykoszetem w użytkownika.

* Grafika: Shutterstock