«Лаборатория Касперского» официально опровергла обвинения, прозвучавшие в статье информационного агентства Reuters 14 августа 2015 года. В пятницу, Reuters, опираясь на слова двух анонимных источников, сообщило, что «Лаборатория Касперского» более 10 лет занимается созданием фальшивых вирусов, с целью вызвать ложно-положительные срабатывания у антивирусного ПО конкурентов. Официальный комментарий «Лаборатории» и мнение Евгения Касперского ниже.
Представители «Лаборатории Касперского» дали ][ развернутый официальный комментарий относительно публикации Reuters:
Мы делимся данными о киберугрозах и сложных кибератаках с другими вендорами индустрии информационной безопасности и, в свою очередь, получаем и анализируем подобную информацию от других игроков. И хотя рынок защитного ПО является высоко конкурентным, процесс обмена такого рода данными критически важен для безопасности всей IT-экосистемы, и мы боремся за то, чтобы этот обмен не был скомпрометирован.
В 2010 году мы однократно провели эксперимент с целью привлечь внимание сообщества IT-безопасности к проблеме недостоверности и ненадежности детектирования, основанного лишь на показаниях мультисканера, без изучения поведения файлов (https://securelist.com/blog/opinions/30611/on-the-way-to-better-testing/). В рамках этого эксперимента мы загрузили 20 невредоносных, «чистых» файлов в мультисканер VirusTotal, что не могло привести к ложным срабатываниям, поскольку файлы были абсолютно безобидными.
После эксперимента мы обсудили проблему с представителями индустрии и пришли к соглашению: https://securelist.com/blog/incidents/30613/cascading-false-positives/. Все образцы были также переданы журналистам для самостоятельного тестирования.
В 2012 году в VirusTotal были загружены вредоносные файлы, что привело к серии инцидентов с ложными позитивными срабатываниями, «Лаборатория Касперского» оказалась в числе пострадавших компаний. Для решения этой проблемы в октябре 2013 года во время конференции Virus Bulletin в Берлине состоялась закрытая встреча ведущих антивирусных вендоров для обмена информацией об инцидентах. Кто стоит за этой кампанией, до сих пор не установлено».
Евгений Касперский, в свою очередь, посвятил случившемуся развернутую публикацию в блоге, четко обозначив свою позицию относительно происшедшего. Евгений Касперский пишет:
«Кто убил Кеннеди?
Почему упал Тунгусский метеорит?
Кто управляет Бермудским треугольником?
В чём тайная цель мировой масонской ложи?
Ответы на эти вопросы гораздо ближе и проще, чем мы можем себе представить. Достаточно добавить “по информации, полученной из анонимных источников” и – вуаля! – мы наверняка знаем всё про всех и обо всём. Задача тем проще, если разоблачить негодяев в большом издании с увесистым авторитетом. Кто стоит за сомалийскими пиратами? Нет никаких сомнений!
Недавно подобным образом мировую кулису искусно приподняло агентство Рейтер.
Краткое содержание статьи: мы, оказывается, пишем вирусы, очень мудреные и специальные, и терроризируем ими конкурентов. И догадайтесь что? – вся аргументация строится на двух анонимных источниках из числа бывших обиженых сотрудников, которые ничтоже сумняшеся вылили в уши автору эпический бездоказательный бред, а автор с аппетитом его “схавал”. ОК, Рейтер!!
Что я могу сказать о https://t.co/sgVCD3U0bQ? Вот что: http://t.co/PpfzN1EHAr
— Евгений Касперский (@e_kaspersky_ru) August 14, 2015
Вот только почему-то нет упоминания, что мы этим грязным делом заняты исключительно в бане, куда мы прискакали верхом на медведях. Видимо, при редактуре статьи эти подробности пришлось вырезать. И так нажористо получилось.
Эта статья – зубодробительная смесь небольшого числа фактов, щедро разбавленных буйными фантазиями».
Далее CEO «Лаборатории Касперского» переходит к конкретике, то есть к проблеме ложно-положительных срабатываний антивирусного ПО:
«Действительно, в 2012-2013 гг. в антивирусной индустрии были серьезные проблемы с ложными срабатываниями. Многие вендоры (к сожалению, и мы в их числе) детектили совершенно безвредные файлы как зараженные. Это вообще довольно таинственная история, потому что выяснилось, что гадил кто-то довольно продвинутый, и гадил целенаправленно: по отраслевым каналам типа VirusTotal распространялись нормальные программные файлы, внутрь которых были засунуты строчки с вредоносным кодом. Причем злодеи прятали этот код так, чтобы конкретный антивирусный движок его вылавливал, включая наш. Я бы с большим удовольствием посмотрел в лицо негодяям, которые все это затеяли. Теперь вот Рейтер мне говорит, что это я и был. Как я могу относиться к такой статье? Вроде бы не первое апреля на дворе…
Теперь подробнее об этом случае: в ноябре 2012-го мы допустили ложное срабатывание и заблокировали несколько обычных файлов – игровой клиент Steam, игровой центр Mail.ru и клиент мессенджера QQ. Шум, переполох, внутреннее расследование. Выяснилось, что кто-то извне целенаправленно нам портил жизнь.
За несколько месяцев до этого наш вирлаб начал получать десятки слегка модифицированных файлов этих клиентов добавленными вредоносными строками. Получали мы их в первую очередь через сайт VirusTotal. Скорее всего, негодяи разбирались в том, как работает наш движок: сканнер анализирует не весь файл, и вот они свои закладки делали именно там, где надо, чтобы обмануть сканер. Новые файлы квалифицировались как вредоносные и в таком статусе сохранялись в базе данных.
А потом, когда Steam, Mail.ru и QQ начали обновлять свой софт, наш движок сравнил новые версии файлов с нашими записями и все заблокировал. Обычно такие программы быстро добавляются в разрешенные списки (whitelisting), но в данном случае движок успел их отправить в карантин раньше. Мы поменяли алгоритм, чтобы избежать детектов на основе только данных об имеющихся аналогичных файлах, но весь год этот кто-то так и слал нам их. Просто мы научились их не ловить.
Также мы узнали, что проблемы отнюдь не только у нас.
По некоторым компаниям эти файлы ударили очень сильно. В том же году состоялась закрытая встреча ряда софтверных компаний. Посидели, обсудили, обменялись данными. Но так и не смогли понять, ни кто это делал, ни зачем. Были разговоры, что это может быть нечистая на руку антивирусная компания, были страхи, что это какие-то могущественные негодяи так изучают, как работает наша отрасль. Может, чтобы научиться обходить защиту. Может, научиться портить жизнь кому-то. В общем, загадка.
Теперь же нас в этом обвиняют какие-то, видимо, поехавшие умом бывшие сотрудники. Ну, а как ещё можно объяснить такое поведение?».
Подводя итог, Евгений Касперский закончил свою публикацию словами:
«А теперь обращение к тем силам, которые стоят за этой медиа-кампанией против нас в американской прессе: какие бы наезды на нас не случались, они не изменят нашу позицию детектить любые кибер-атаки, вне зависимости от их национальности и задач. Вредоносный код есть вредоносный код, а наши продукты от него защищают. Всегда. Точка».
Фото: Kaspersky Lab