Лаборатория Касперского, саботаж

Лабораторию Касперского обвиняют в изощренной афере

Основываясь на показаниях двух экс-сотрудников данной фирмы, агентство Reuters опубликовало историю многолетней подпольной игры российского производителя антивирусных продуктов. Евгений Касперский категорически отрицает факт умышленных махинаций, но сетует на высокий риск «ошибки». 

Предпосылки для зарождения аферы

Kaspersky_Antivirus_6Взрывное увеличение количества пользователей Интернета дюжину лет назад, в своей массе несведущих в IT-науках, сформировало перед вирусописателями заманчивую цель. Количество зловредов, в том числе, созданных для прямого обхода существующих систем безопасности «домашнего» ранга, возросло многократно. И создатели антивирусов элементарно перестали успевать выполнять важнейшую часть своей работы – на выявление и анализ новых модификаций вирусов не хватало ни времени, ни человеческих ресурсов. Будучи людьми неглупыми, руководители конкурирующих фирм просчитали риски и пошли на отраслевое соглашение.

Теперь компании могли получать лицензии и встраивать в свои антивирусы инструменты, разработанные коллегами. Вся информация о новых троянах и бекдорах, обнаруженная отдельными членами данного конгломерата, стекалась в агрегаторы, вроде VirusTotal от Google. Важный момент – детальной перепроверки этих данных не проводилось, по причине трудоемкости процесса, создатели антивирусов верили друг другу на слово. К делу присоединились рядовые энтузиасты и мелкие студии, процесс выявления нового вредоносного ПО ускорился, но система стала терять целостность и в ней возникла логическая уязвимость.

Эксперименты, официальные и тайные

Лаборатория Касперского, саботажВ январе 2010-го Лаборатория Касперского одной из первых предприняла попытку забить тревогу. Достаточно оригинальным образом – специалисты создали 10 безвредных файлов, распространив их в Сети и параллельно внеся сигнатуры в списки новых вирусов VirusTotal. Менее чем через неделю вся десятка была безоговорочно признана опасной и внесена в базы данных зловредов 14 антивирусов. Из доклада Магнуса Кальхула (Magnus Kalkuhl), старшего аналитика Лаборатории Касперского, на московской медиа-презентации в том же месяце следует – никто из уважаемых в отрасли компаний не усомнился в подлинности сведений. И, что хуже, выводов по итогам экспериментов сделано не было.

Крупных игроков можно понять – сколь бы совершенным не был антивирус, риск непреднамеренной ошибки при распознавании угрозы существует всегда. Политика ведущих компаний такова, что лишь при массовых инцидентах проводится купирование проблемы, единичные случаи неправомерной реакции сканеров списывают на статистическую погрешность. Как иллюстрацию, можно привести реакцию Денниса Батчелдера, руководителя отдела исследований вредоносного ПО в Microsoft, чья команда в марте 2013-го столкнулась с масштабной атакой. Пользователи стали жаловаться на агрессию антивируса по отношению к драйверам для принтера – оказалось, что сотни системных файлов были модифицированы так, чтобы считаться «опасными». Батчелдер просто дал команду пофиксить ошибки, не тратя сил на поиски врага – слишком хлопотно и бесполезно.

Лаборатория Касперского, саботажАналогично поступали все создатели антивирусов, сосредоточившись на исправлении своих продуктов и не пытаясь учинить расследование, раскачав тем самым всю систему. Случаев намеренной подделки баз сигнатур становилось все больше и иногда признаки мелкой злой шутки выглядели столь явственно, что все сходу списывалось на проделки сетевых хулиганов. Но были инциденты очень серьезные – Ондрей Влчек (Ondrej Vlcek), высокопоставленный представитель Avast, рассказывал о системной подделке сетевых драйверов, причем в локализациях для всего европейского и южноамериканского регионов. Его подчиненные собрали доказательства работы хорошо подготовленных, просвещенных вирусописателей, но прямого указания на Лабораторию Касперского не последовало.

К слову, прославленной борьбой со Stuxnet, российский проект и сам оказался жертвой подобных махинаций. В ответ на статью Reuters Евгений Касперский припомнил события ноября 2012-го года, когда из-за аналогичной ошибки его антивирус стал блокировать работу игровой платформы Steam, порталов Tencent, Mail.ru и др. Признаки умышленного саботажа были налицо, но сделать вывод о причастности конкурентов или же некоей третьей стороны так и не удалось.

В чем обвиняют Лабораторию Касперского

Лаборатория Касперского, саботажСо слов бывших сотрудников организации, несколько лет назад в ее структуре была сформирована малочисленная, глубоко законспирированная команда, возглавляемая самим Евгением Касперским. Цель – ведение планомерного саботажа деятельности конкурентов путем целенаправленной подделки передаваемых им сигнатур вирусов. Специалисты компании, не ведая истинных мотивов, изучали алгоритмы работы чужих антивирусов, вычисляя ситуации с высокой вероятностью ложных срабатываний. Информация использовалась для подготовки фальшивых сигнатур, которые рассылались тем, на кого указывал властный перст коварного директора.

Мотивация Евгения Касперского носила двойной характер. Во-первых, искренне и не без причин недовольный копированием его наработок мелкими фирмами, он стремился выгнать их с рынка вообще. Никто не захочет иметь дело с новым антивирусом, который вдруг без причины удаляет папку с документами за целый год – не продав и сотни копий, новоявленный стартап быстро разорится. Но это неактуально для крупных игроков, поэтому второй причиной недоброго умысла отечественного IT-гиганта было желание потеснить конкурентов в конкретных сферах – почтовое ПО, игровые антивирусы, защита баз данных и т.д. Не стремясь выдавить другие фирмы, махинациями с ложными срабатываниями Лаборатория Касперского корректировала статистику в свою пользу, сохраняя высокий рейтинг среди антивирусов.

Лаборатория Касперского, саботажReuters заявляет, что данная схема применялась на протяжении десятка лет, а в период 2009-2013 гг была проведена серия мощных атак. После этого давшие интервью люди покинули ряды компании и потому о современном положении дел ничего поведать не могут. Примечательно, что Юваль Бен-Ицхак (Yuval Ben-Itzhak), бывший технический директор AVG, подтверждает – да, несколько лет назад наблюдалось в среднем по 4 атаки в год, от чего каждый раз приходилось существенно модернизировать антивирус. Речь идет именно о потоке фальшивых сигнатур и тот, кто стоял за этим, неплохо разбирался в своем ремесле.

Контраргументация

Евгений Касперский открыто заявил о том, что его компания никогда не реализовывала подобных схем, потому что «Это неэтично, аморально и за гранью законности». Его позиция проста – если кто-либо из создателей антивирусов затеет нечто аналогичное, то скомпрометированной окажется вся отрасль, чего никто из ведущих игроков не желает. Каков бы ни был соблазн урвать кусок побольше, нельзя ставить под угрозу целостность системы безопасности IT-сферы в целом. А на голословные обвинения со стороны Reuters Евгений не поленился создать серию твиттов, высмеяв тягу журналистов к теориям заговора и нелепым байкам.

Лаборатория Касперского, саботажИ вот такой небезынтересный факт – все упомянутые в данной статье производители антивирусов, включая саму Лабораторию Касперского, за прошедшее после начала массовых атак время усовершенствовали свои системы. Просто-напросто смонтировав специальные фильтры и научившись отсеивать проблемные сигнатуры, чем пренебрегали ранее. При этом общая концепция обмена данными о зловредах функционирует и поныне, однако заинтересованные компании стали использовать базы данных более осторожно. Не этого ли и пытался, в той или иной степени, добиться Касперский, проводя эксперименты пять лет назад? Что, если саботаж действительно имел место, но носил воспитательный характер? И, наверное, не случайно некоторые текущие руководители вышеозначенных структур подчеркнуто воздерживаются от комментариев публикации Reuters.

Смотрите также: