Пользователь
0,0
рейтинг
4 августа 2015 в 20:56

Kaspersky следит за вами, за ваши деньги




Детективная история приключилась со мной недавно. Обновил windows 10, следом решил обновить internet security от Касперского. В принципе все работало неплохо, если бы не одно но

По роду деятельности мне приходится частенько ковыряться в верстке и js. Открыв как-то исходную страницу сайта заказчика заметил на нем неустановленный скрипт: ff.kis.scr.kaspersky-labs.com/USER_ID/main.js (спрятал свой юзер id, там длинная строка из символов). Исходный код скрипта залил туда: pastebin.com/rkY42pkf

Данный скрипт переопределяет некоторые элементы страницы, постоянно рефрешится в фоне и делает еще кучу неизвестных вещей, как и нету гарантии в добавлении модулей для слежения за пользователем позднее. Зарубежные покупатели первыми заметили проблему, и создали тему на форуме (http://forum.kaspersky.com/index.php?showtopic=328326), затем инъекция кода была замечена пользователями из СНГ: forum.kaspersky.com/index.php?showtopic=328544 и вебмастерами — forum.kaspersky.com/index.php?showtopic=316482&st=40&p=2445346&#entry2445346

Самое интересное в этой истории это то, что данную инъекцию невозможно отключить. Ни через настройки KIS, ни через удаление плагинов. У меня вообще не было установлено плагинов, но скрипт успешно вставляется и в firefox, и в chrome. Техподдержка заявляет об этом непродуманном решении как о фиче и фиксить не собирается «Добрый день, данный скрипт предоставляет функциональность, реализованную ранее в классических плагинах. Данное поведение не должно приводить к нарушению работы веб-сайтов. Если есть какие-то проблемы, то просим описать конкретные неудобства, предоставить скриншоты.»

Вот таким образом касперский получил доступ ко всем моим действиям в интернете за мои же деньги. Данной проблеме подвержены последние версии KIS 2015 и 2016.
@vplka
карма
2,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое

Комментарии (70)

  • +15
    Так он и раньше их получал, через анализ трафика. Или плагины к браузеру. И вообще антивирус видит всё, что вы запускаете, проверяет каждый файл перед запуском или открытием. Ничего нового.

    Видимо указанная система защиты анализирует поведение сайта. Ищет факты проведения на Вас компьютерных атак направленных на подмену кнопок интерфейса и отправку левых запросов.
    • +6
      А вот и нет, раньше с выключенным веб-антивирусом и плагинами каждая страница, открытая в браузере, не отправлялась на сервера kaspersky. Откуда я могу это знать? Часто сижу с включенным сниффером трафика (fiddler2).
      • +6
        У Вас функция связи с Kaspersky Security Network (KSN) активирована? Если да. То он и сведения о ваших файлах в облако засылает. Это отлично видно по разоблачительным статьям специалистов Лаборатории Касперского, когда они описывая громкий вирус 2014 (цифра с потолка) рапортуют о том, что в их облаке сведения о файлах данного вируса были уже в 2010 году. Правда забывают посыпать голову пеплом за то что в 2010 году вредонос провафлили…

        Насколько я понимаю (первый раз встретился, надо гуглить и тестить) fiddler2 — это сниффер прикладного уровня для анализа протокола http. А антивирус может работать по другим протоколам, которые удобнее смотреть с использованием Wireshark.

        Главное относиться к этому спокойнее. Антивирус же во благо (страшный смех за кадром).
        • +6
          Первым делом отключаю KSN, уже которую версию kis-а. Меня больше смущает невозможность отключить добавление этого js в исходный код, чем сам факт его существования, вдруг кто-нибудь взломает их сервера и распространит вирусы? Да и вообще как-то нагло без ведома пользователя встраивать что-либо, даже при использовании https, не находите? И как видно из заявлений техподдержки, они не собираются давать возможность отключения этой инъекции.
          • –3
            Антивирус по сути имеет доступ ко всему что вы открываете/смотрите/запускаете что называется by default. Т.е. сам факт встраивания кода антивирусом не должен приводить к какой либо панике. Установив антивирус вы даете ему полные права на доступ ко всему (иначе смысла в антивирусе нету, то что вне его контроля — не защищено), раньше этот доступ тоже был, он, в конце концов может чуть ли не на уровне драйвера снифать весь трафик. Взломать сервера и распространить вирус можно и без этого, обновления антивирусов включают возможность обновления программных компонент, а не только баз сигнатур.
          • +2
            Почему вдруг? Нужно говорить «когда их в очередной раз взломают».
            Вот недавно взламывали. geektimes.ru/post/251842
          • 0
            NoScript, RefControl?
          • 0
            а KSN для чего отключаете?
        • 0
          Проблема пожалуй не в этом. Вирусы и просто всякие фишеры лезут во все дырки и соответственно средства защиты должны встать поперек всех дырок. Проблема в том, что устанавливая любую программу, которая будет отвечать за нашу безопасность, мы в общем-то доверяем на слово продавцу, что все будет шоколадно. Есть/нет уязвимостей, какова эффективность каждого компонента и не пора ли удалить половину функционала, разработанного в прошлом веке и уже не являющегося столь эффективным как тогда, какова эффективность данного модуля на самом деле, а не на листовке маркетологов… Мы этого не знаем. Понятно почему информация о технологиях защиты и их эффективности скрывается, но вот то, что мы в итоге верим на слово в тех местах, где будем отвечать деньгами…

          И грустно и ничего не изменишь
        • +1
          > Главное относиться к этому спокойнее. Антивирус же во благо (страшный смех за кадром).

          В том и дело. Антивирус должен работать во благо:
          если пользователь хочет, чтобы его действия в браузере отслеживались, то включает галочку;
          если пользователь НЕ хочет, то вЫключает галочку «внедрять JS-стрипт в браузеры».

          Т.е. Каспер должен предоставить пользователю возможность самому решать, какие инструменты безопасности задействовать («АнтиХакер» и «АнтиШпион» же можно выключать). Здесь же служители Каспера явно сказали: «Ничо выключать не будем, терпите, не бухтите». Это уже подозрительно.

          Похоже, сверху прямо дали дерективу: «Внедрить зонд!». А эти не могут ослушаться.
  • 0
    вдруг кто-нибудь взломает их сервера и распространит вирусы

    А вдруг вирусы будут в обновлении антивируса? Есть очень хорошая пословица/поговорка про вдруг и пук.

    Да и вообще как-то нагло без ведома пользователя встраивать что-либо, даже при использовании https, не находите

    Да, некрасиво, но если всем всё рассказывать защита будет не эффективна.

    P.S. Ошибся веткой. Ответ сюда
  • 0
    У меня после перехода на win10 не запускается KIS2016 ( точнее запускается сама оболочка, но файловая защита, защита от сетевых атак и прочее )
  • +18
    Это вы ещё на значёк https не кликали и цепочку сертификатов не смотрели :)
    • 0
      Скрипт есть. Цепочка https сертификатов без вмешательств. Все нормально.
      • 0
        Скорее всего, речь шла о ситуации, когда включена проверка защищённых соединений. В этом случае сертификат подменяется.
        • 0
          М, в этом случае каспер внедряет свои сертификаты, начиная с KIS 2009 версии, если мне не изменяет память. В любом случае в версии 2013 и старше уже 100% есть эта фича при проверке защищенных соединений. Видел лично в каждой из версий.
        • 0
          В моем случае тоже.
          Каспер ничего не спросив прописал свои сертификаты.
    • 0
  • 0
    Firefox, MS Edge, MS IE — есть такое, Яндекс.Браузер, Google Chrome, Opera, Vivaldi — не наблюдается
    • 0
      Отключить получилось отключением плагина Kaspersky Protection, который однако реально отключить только после выгрузки Каспера из памяти, иначе он при каждом перезапуске его снова включает.
  • 0
    Только что проверил, никакого скрипта от каспера не обнаружено.
    Firefox 40.0 плагины каспера не ставились, win 10, kis 15.0.2.361. В edge так же всё чисто.
  • +3
    Тоже вчера это обнаружил и мне это не понравилось.
    Техподдержка мне не ответила.
    Пока отключил касперского совсем.
  • +5
    Стоит Kaspersky KIS 2016 16.0.0.14 (a)

    Ни отключение дополнения Kaspersky Protection к Хрому ни отключение защиты (полностью) KIS 2016 не убирает инъекцию скрипта
    <script type="text/javascript" src="http://gc.kis.scr.kaspersky-labs.com/USER-ID/main.js" charset="UTF-8"></script>

    в код веб страниц
    • 0
      Странно у меня в браузерах основанных на хроме — даже не появилось, но вот например в FF — если не выгрузить каспер из памяти — то он при каждом перезапуске включает расширение — и по факту его отключить невозможно
    • 0
      Это не USER-ID, а идентификатор сборки. Он одинаковый что у Вас, что у меня.
      • 0
        Да я просто по шаблону его заменил как у впереди написавшего до меня
  • +3
    Лишний аргумент к тому, чтобы вместо пользования антивирусами настраивать нормально права доступа и роли.
    • +2
      А что делать с эскалацией прав без ведома пользователя?
      • +5
        А для «настройщиков вместо антивирей» этих проблем не существует.
        Они живут в мире розовых пони и единорогов.
        В котором весь софт идеален и не содержит багов.
        В котором эскалация прав не возможна по определению, а зараза может прийти на компьютер только из почтовой рассылки или скачав из инета и только если ты сам ее запустишь.
        Им бесполезно объяснять даже основы безопасности.
        У них железный аргумент «Антивирус не стоит и все хорошо».
        Они даже не догадываются, что эти два метода можно совмещать…

        P.S. Под антивирусом я понимаю хорошую комплексную защиту. Ибо ни один нормальный вендор уже не делает чистых антивирей.
  • –10
    Не сразу понял, что «pastebin.com» это «paste bin», а не «пастебин». Уж было обрадовался, что какой-то новый сайт со стёбом, но увы…
    А не информации, в КаЛаб не нанимали программистов из мэйл.ру в последнее время?
  • 0
    Я удивлялся, когда видел в результатах поиска google иконку касперского (всё ок, страница безопасна) после того как, кажется, отключил плагины. И действительно не казалось, плагины отключены. После выгрузки касперского диво исчезло. Теперь понятно откуда это.
  • 0
    У меня после установки KIS 2015 появился такой код:
    image
    и причем только в ОгнеЛисе (отключал все расширения, после перезагрузки включаются заново), в Опере не было, два дня просидел, а потом решил отключить Анти-Баннер встроенный в KIS и данный запрос исчез.
    Вообще странная штука, кидается на заведомо неверный урл, да и еще себя же блочит))
    • 0
      В KIS 2016 видимо починили ссылку на свой скрипт :)
  • 0
    Ладно бы просто встраивал, хотя это уже плохо так как теперь другие скрипты могут узнать как минимум название антивируса которым я пользуюсь.
    Но ещё и добавлять USERID то есть скрипт для каждого пользователя может быть свой, вот это совсем некрасиво как то выглядит.
  • –1
    ff.kis.scr.kaspersky-labs.com — не слушает хттп.

    Очевидно инъекция грузится прямо с вашего компьютера без обращений к внешнему серверу.

    Белки-истерички жпг.
    • –1
      ping gc.kis.scr.kaspersky-labs.com на Windows выдает:
      Ответ от 127.245.107.154: число байт=32 время<1мс TTL=128

      ping gc.kis.scr.kaspersky-labs.com на Mac OS выдает тот же IP-адрес, но ping не проходит.
      Вывод? На Mac OS касперского нет :-)

      Кстати, 127.0.0.0 — это локальные соединения, то есть — localhost.
      • +1
        А причем тут пинг?

        На восьмидесятом порту никто не слушает на этом сервере.
        Ну да и ниже уже подтвердили, что с локального компьютера все грузится.
    • 0
      • 0
        1. нет гарантии, что завтра там не окажется адрес отличный от 127.x.x.x
        2. тот кто делает MiTM может направить домен на свой IP
        • 0
          1. Какой в этом смысл? Антивирус и так все видит и обо всем может себе на сервер сообщать.
          Вы либо доверяете антивирусу и его privacy policy, либо не доверяете и не используете.

          2. Если MITM у вас на машине происходит, то тогда антивирус уже не справился со своей работой, и тут уже не до скриптиков:). А если MITM снаружи, то он не может, за пределы машины трафик не выходит.
          • 0
            Резолв ведь происходит за пределами машины? Если да, то атакующий может указать для домена gc.kis.scr.kaspersky-labs.com свой IP и трафик уйдет в сеть
            • 0
              Не, тут дело не в резолве. Они трафик перехватывают на уровне WFP-драйвера и обрабатывают в нем.

              Если сейчас посмотрите, увидите, что gc.kis.scr.kaspersky-labs.com и так указывает не на локалхост, а на удаленный IP. Но, тем не менее, траф туда не идет.
              • 0
                Self fix: указывает на ip из приватного диапазона. Тем не менее, не на локалхост.
                • 0
                  Т.е. запросы к DNS оно тоже перехватывает и обрабатывает на уровне драйвера?
                  А что бывает в случаях, когда на ресурсе включен
                  Content Security Policy в блокирующем режиме?
                  • 0
                    Я на них не работаю, поэтому по большому счету дальше идут мои предположения.
                    Тем не менее, с технологией я знаком и могу какие-то аналогии проводить.

                    1. DNS

                    Да, они могут его перехватывать на уровне драйвера.

                    2. Content Security Policy

                    Я бы на их месте его редактировал, добавляя конкретно их домен в доверенные.
                    Но вообще вопрос хороший. Думаю достаточно посмотреть на то, как они себя ведут на yandex.ru.
                    Там CSP заголовок как раз, запрещающий third-party.

                    Второй вариант, который приходит в голову: когда они видят CSP-заголовок, они могут инжектить скрипт с этого же домена. Тут где-то в комментариях был скриншот, где они для хабра это делали.
                • 0
                  127.245.107.154 — localhost
                  • 0
                    Хм, на винде действительно так, подвело то, что я на маке проверял.
                    • +1
                      По стандарту, весь диапазон 127.0.0.0/8 должен идти на loopback-интерфейс.
                      • 0
                        На маке стандарт не выполняется или какая-то другая причина?

                        ping 127.0.0.1
                        PING 127.0.0.1 (127.0.0.1): 56 data bytes
                        64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.050 ms
                        64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.072 ms

                        ping 127.245.107.154
                        PING 127.245.107.154 (127.245.107.154): 56 data bytes
                        Request timeout for icmp_seq 0
                        Request timeout for icmp_seq 1
  • +3
    Самое главное, это заголовок в стиле желтой прессы )))
    • –2
      Учитывая, что следить — главная задача антивируса, для этого его и покупают за свои деньги)
      • 0
        O R'ly? Главная задача антивируса — защищать пользователей от всевозможных атак.
        • 0
          Простите, а как это сделать, не следя за тем, что запускает пользователь, куда он коннектится, что скачивает и вообще, не залезая в каждую дырку?
  • –1
    Всем привет, этот специальный скрипт взаимодействия продукта с веб-страничками. Он инжектиться на все странички, которые посещает пользователь (HTTP и при наличии плагина — HTTPS).
    Раньше были плагины / расширения, которые пользователи часто отключали. Для того, чтобы побороть данную проблему, придумали такой вот механизм взаимодействия Продукт <-> Браузер. Кстати, соединение, открываемое скриптом, заворачивается локально.

    ЛК не сохраняет никакой пользовательской информации в инфраструктуре, читайте EULA и KSN-соглашение, там вроде все написано. Да и в справке есть упоминание.
    • 0
      Самое главное не написали — как отключить-то?
      • +4
        Сарказм он.
        Зачем отключать :) Тут же все честно написали: решили бороться с пользователями, которые отключали плагины/расширения. Если это отключаемым сделать, опять будут отключать :)
      • 0
        Так написано же, придумано специально чтобы побороть проблему отключения пользователями :-)
      • 0
        Проблему выявили, сейчас решаем, как поправить. Данная технология не должна привносить каких-либо изменений в страницы и не должна вносить изменения в полтики сайта, которые посещает пользователь, поэтому сейчас инжект отключить нельзя.

        Активацию плагинов можно выключить в настройках Веб-антивируса.
        • 0
          Сделать просто труднодоступную опцию для технарей-параноиков. Остальные пусть остаются в неведении)
        • 0
          У вас явно какая-то извращенная логика. Даже проверку файлов в антивирусе отключить можно, а этот вот js — нет. Интересны истинные мотивы ввода в эксплуатацию этой «технологии». И подписка на mail.ru у вашего профиля как бы намекает.
          • –1
            ): Чем Вам моя подписка на Mail.ru не нравится? У них прикольные статьи были про обработку данных.
            Мое личное мнение, что настроек вида «отключать инжект скриптов в веб-странички», «отключить защиту» и т.п. должны быть только для возможности траблшутинга. Т.к. в данном примере мы обсуждаем, что все работает — то зачем отключать-то?

            Вот выше на форум ссылки привели — там да, есть проблемы.
    • 0
      Раньше были плагины / расширения, которые пользователи часто отключали. Для того, чтобы побороть данную проблему, придумали такой вот механизм взаимодействия

      Вот это вброс :)
      Данный механизм взаимодействия был реализован для решения ряда проблем с браузерными плагинами, например, Chrome c версии 45 прекратил поддерживать NPAPI-плагины и запретил их, сильно связав руки разработчикам.
  • +4
    И вообще, это не USERID, опытным путем установлено, что гуид для одной версии у всех одинаковый.
    У меня для Google Chrome такой же гуид, что и у юзера отсюда
    Вы бы лучше проверяли то, что пишете.
  • 0
    Kaspersky Endpoint Security 10

    Не наблюдаю вставок в код
  • 0
    А будто кто-то не знал, кто такой каспер и на кого он работает.
    • 0
      Интересен юридический аспект сего внедрения. Неужели им Mozilla и Google позволили злонамеренно внедрять куски кода в их продукты? Поведение как у троянов, один в один.
      • 0
        А зачем им браузеры? JS это просто текст, который помещается в другой текст еще до того как он оказался в браузере.
        ИМХО все норм, хоть кому то можно верить если уж Windows пользоваться.

        P.S. На билайн похоже, недавно пост был похожий.
  • +1
    После этой новости от греха подальше удалил каспера. Видимо не зря.
  • 0
    Каспер?! На компьютере не обнаружен )
  • 0
    Ну покажите хоть один антивирус, не сливающий данные и имеющий столь же мощную защиту. Почитаю.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.