Спецпроекты

Безопасность Пользователю Маркет

«Касперского» обвинили в «порче» файлов ОС ради сбоев в работе антивирусов-конкурентов

«Лаборатория Касперского» заставляла антивирусы конкурентов принимать за вредоносный код безопасные файлы ОС, тем самым нарушая работу компьютеров. По словам бывших сотрудников компании, это было местью Евгения Касперского, которому не нравилось, что конкуренты копируют их технологии вместо того, чтобы создавать собственные.

Обман сторонних антивирусов

«Лаборатория Касперского» (ЛК) вводила в заблуждение антивирусные программы конкурентов, заставляя их считать вирусами безопасные файлы на компьютерах и тем самым нарушать их работу. Об этом агентству Reuters рассказали на условиях анонимности два бывших сотрудника российской компании, находящихся в курсе этой практики.

По их словам, эта деятельность ЛК была нацелена на продукты Microsoft, AVG Technologies, Avast Software и других конкурентов, имела место более 10 лет назад и длилась неделями и месяцами.

Операция возмездия

Заказчиком некоторых из атак был лично один из основателей компании Евгений Касперский, утверждают источники. По их словам, Касперский был недоволен тем, что небольшие разработчики копируют технологии, применяемые ЛК в своих продуктах, вместо того чтобы создавать нечто собственное. Поэтому обман конкурирующих программ он называл возмездием.

Обратный инжиниринг

Перед проведением атаки на конкретное приложение, специалисты «Лаборатории Касперского» выясняли, как работает программа и как ее можно обмануть, с помощью обратного инжиниринга — процесса, за использование которого независимых экспертов недавно раскритиковала глава Oracle по безопасности Мэри Энн Девидсон (Mary Ann Davidson).

По словам одного из бывших сотрудников ЛК, которые приводит Reuters, аналитики компании внедряли в файлы операционной системы дополнительный код таким образом, чтобы антивирусы конкурентов считали, что этот файл заражен. Затем образцы анонимно отправлялисо в онлайн-агрегатор VirusTotal. Какие именно файлы подвергались внедрению дополнительного кода, источники Reuters не сообщают.


«Лаборатория Касперского» обманывала антивирусы конкурентов, утверждают ее бывшие сотрудники

Широкие возможности

Сервис VirusTotal служит для обмена экземплярами вредоносных файлов между производителями антивирусов. В 2010 г. «Лаборатория Касперского» провела эксперимент, в рамках которого создала 10 файлов и отправила из в VirusTotal, сообщив, что считает их вредоносными. Примерно через полторы недели все 10 файлов расценивались вредоносными 14 независимыми антивирусными компаниями.

Комментарии игроков рынка

Представители Microsoft, AVG и Avast ранее сообщали Reuters, что в последние годы заметили попытки неизвестной стороны увеличить количество ложных срабатываний. Однако на просьбу прокомментировать новый материал, они ответили, что не имеют подозрений и претензий конкретно к «Лаборатории Касперского».

Один из примеров ложного срабатывания агентству Reuters привел вирусный аналитик Microsoft Денниса Бачелдера (Dennis Batchelder). Он рассказал, что в марте 2013 г. к ним обратилась масса клиентов с жалобой на то, что антивирусы Microsoft посчитали вирусом и поместили в карантин драйвер принтера.

Комментарий «Лаборатории Касперского»

В ответ на просьбу Reuters прокомментировать информацию в «Лаборатории Касперского» опровергли обвинения. «Наша компания никогда не проводила подобных секретных операций и не вводила в заблуждение продукты конкурентов с целью снижения их рыночной доли, — заявил Reuters Евгений Касперский. — Я считаю подобные действия неэтичными, нечестными и вызывающими вопросы в своей законности».

Кроме того, в ноябре 2012 г. ЛК сама столкнулась с атакой такого рода на себя, добавил Касперский. По его словам, «неизвестная третья сторона» заставила антивирусы компании считать вредоносными безопасные файлы Tencent, Mail.ru и Steam (игровой облачный сервис Valve).

Эксперимент 2010 г.

Комментируя обвинения Reuters, представители «Касперского» рассказали CNews, что в 2010 г. действительно воспроизводила эксперимент, впервые проведенный немецким компьютерным журналом годом ранее. В ходе эксперимента было создано 20 чистых, невредоносных файлов, и для 10 из них было добавлено детектирование.

«В течение нескольких следующих дней мы загрузили все 20 файлов в службу VirusTotal. Через 10 дней все наши задетектированные (но не вредоносные!) файлы были распознаны 14 другими вендорами: отчасти это было обусловлено методом агрессивного эвристического анализа, отчасти – поведением мультисканера», - сообщила «Лаборатория Касперского» CNews.

Представители компании подчеркнули, что этот эксперимент был проведен публично, все экспериментальные образцы были переданы журналистам, «чтобы они самостоятельно могли их протестировать». «Лаборатория Касперского» заверяет, что файлы, загруженные в VirusTotal, не могли привести к ложным срабатываниям.

Эксперимент проводился для привлечения внимания сообщества по ИТ-безопасности к проблеме недостоверности и ненадежности детектирования, основанного лишь на показаниях мультисканера - без изучения поведения самого файла. По окончании эксперимента ЛК обсудила проблему с представителями индустрии и пришли к соглашению по большинству вопросов, - говорят представители компании.

Ложные срабатывания

В 2007 г. неправильная работа антивирусов ЛК привела к серьезным проблемам на компьютерах с операционной системой Microsoft Windows — после очередного обновления сигнатур у пользователей пропали «Рабочий стол», меню «Пуск» и «Панели задач». В компании тогда объяснили это допущенными ошибками технического плана и принесли извинения перед клиентами.

Сергей Попсулин

Короткая ссылка