Що ваш пакет безпеки знає про вас?

Ви встановили цей пакет безпеки для захисту свого комп'ютера та конфіденційності, але лише про що він повідомляє свого виробника? Чи може сам ваш пакет ризику для безпеки? Пара німецьких комп'ютерних журналів замовила AV-Comparatives, щоб з’ясувати це. Їх результати тепер є загальнодоступними, а звіт робить цікавим читання.

Джерела даних

Для початку дослідники завантажили 21 тестування безпеки на тестові ПК та проаналізували їх мережевий трафік, вивчивши, які саме дані надсилаються. У звіті зазначається, що "в деяких випадках" дані були зашифровані, тому вони не могли їх прочитати. Так і має бути, але це означає, що в інших випадках дані не були зашифровані. На жаль, у звіті не визначено, що це було.

Вони також ознайомилися з Ліцензійною угодою для кінцевих користувачів (EULA) та політикою конфіденційності, що постачаються з кожним продуктом. Ці документи повинні чітко визначати, які дані програма може надсилати назад своєму виробнику.

На завершення вони надіслали детальний опитувальник кожному продавцю, хоча вони надали іншим двом джерелам даних більше ваги, ніж результати анкети. У звіті зазначається, що в деяких випадках продавці з різних причин не відповідали на конкретні запитання. "Ми розуміємо, що занадто велика прозорість може бути корисною для злочинців", - зазначається у звіті. "Таким чином, ми приймаємо, що постачальники не можуть надати нам будь-яку інформацію, яка може загрожувати безпеці".

Що вони поділяють

Існує досить багато варіацій у кількості та типі інформації, що ділиться різними постачальниками. Всі вони обов'язково мають спільну версію продукту, щоб бути в курсі останніх, і це цілком розумно. Майже всі вони присвоюють кожній установці унікальний ідентифікатор, тому вони можуть агрегувати інформацію з певної машини, не обов'язково ідентифікуючи користувача.

І все ж, системна інформація, якою поділяються багато продуктів, цілком може ідентифікувати користувача. Майже половина продуктів має ім’я користувача Windows, яке у багатьох випадках є повним ім'ям користувача. Більше половини передають ім'я комп’ютера. Гм, можливо, я не повинен був би називати шахту «комп’ютером Ніла».

Багато функцій захисту повинні надсилати додаткову інформацію про використання комп'ютера. Продукт, до функцій якого входить перевірка вразливості, обов’язково надсилатиме номери версій встановлених сторонніх програм, наприклад. Компоненти захисту від фішингу та батьківського контролю можуть передавати кожну Вашу URL-адресу. І будь-який антивірус, що включає хмарний компонент виявлення, повинен буде надсилати хеші файлів, або в деяких випадках цілі файли, які підозрюються.

Актуальні запитання

Цілком можливо, що державні установи можуть вимагати від постачальника безпеки передати дані, які вони зібрали для певного користувача. У різних юрисдикціях є різні закони в цій галузі, тому знання місця зберігання даних може бути дуже важливим. Дев'ять перевірених постачальників зберігають свої дані в Європейському Союзі, сім - у Сполучених Штатах. ЄС має більш жорсткі закони про конфіденційність, тому це важливо. Був також один у Росії (Касперський) та один у Південній Кореї (AhnLab). Три постачальники відмовилися зазначити, де зберігаються їхні дані.

Ось що я не думав. Можливо, за рішенням суду постачальник може бути змушений доставити "спеціальне" оновлення для конкретних ідентифікаторів користувачів, можливо, для моніторингу підозрюваних у терорі. 13 продавців сказали "ні", вони ніколи цього не роблять. Решта відмовилася відповісти, що трохи не нервує.

По правді кажучи, вашому пакету безпеки абсолютно необхідно відправити трохи інформації на свою домашню базу, щоб виконати свою роботу. Звіт пропонує повну інформацію про збір даних кожного постачальника. Моє найбільше рішення полягає в тому, що ви насправді повинні прочитати EULA та політику конфіденційності для вашого пакета безпеки та відмовитися від будь-якого збору даних, який не потрібен для безпеки. Для того, щоб зробити перевірку EULAs простою, звіт завершується посиланнями EULA для постачальників, які роблять їх доступними в Інтернеті.