Kaikki mitä olet aina halunnut tietää virustentorjuntasovellusten näytteidenotosta, mutta et ole kehdannut kysyä
Jos olet seurannut maailmanpolitiikan uutisia, olet saattanut kuulla myrskystä tietoturvayhtiö Kasperskyn ympärillä. Venäläistaustainen viruksentorjuntayhtiö on vastannut syytöksiin NSA:n salaisten tiedostojen keräämisestä asiakkaidensa laitteilta ja niiden jakamisesta Venäjän tiedusteluviranomaisten kanssa. Kaspersky kertoo olevansa viaton. Se sanoo keränneensä tiedostoja osana normaalia toimintaansa puitteissa ja poistaneensa kyseiset tiedostot toimitusjohtajansa ohjeesta.
Tapaus on herättänyt kysymyksiä viruksientorjuntasovellusten tarjoajien toiminnasta. Meiltä on kysytty ja olemme vastanneet joihinkin kysymyksiin. Miksi virustentorjuntasovellukset keräävät tiedostoja asiakkaidensa laitteilta? Mitä näille tiedostoille tapahtuu ja kuinka ne on suojattu?
Kysyimme tutkimusjohtajaltamme Mikko Hyppöseltä useita esitetyistä kysymyksistä uuden podcastimme, Cyber Security Saunan ensimmäisessä jaksossa. Mikko kertoo, miten käsittelemme asiakkaidemme tietoja ja tiedostoja ja miksi on tärkeää voida luottaa valitsemansa torjuntaohjelman valmistajaan.
Lisäksi tässä on muutamia saamiamme kysymyksiä ja vastauksia.
Miksi tiedostoja lähetetään asiakkaiden laitteilta virustentorjuntasovellusten valmistajille?
Näin useimmat viruksentorjuntasovellukset toimivat nykyään. Asiakkaidemme laitteilla olevat sovellukset tekevät hyvin kattavan rakenteellisen analyysin haittaohjelmista. Syvällisemmän analyysin tekeminen haittaohjelmien tai vastaavien tiedostojen toiminnasta voi vaatia esimerkiksi niiden käynnistämisen suojatussa ympäristössä. Tällaisia asioita ei voi tehdä asiakkaan koneella.
Yksinkertaistaen, jos sovelluksemme kohtaa epäilyttävän ja meille uuden näytteen asiakkaan laitteella, eikä sovellus pysty arvioimaan sen vaarallisuutta, kyseinen näyte saatetaan ladata pilveemme analysoitavaksi.
Pilviteknologia parantaa ja nopeuttaa suojausta. Jos turvapilvemme pitää näytettä vaarallisena, se suojaa välittömästi kaikki asiakkaamme.
Kuinka suojaamme asiakkaalta pilveen siirtämämme tiedostot?
Salaamme tiedostot. Käytämme suojattua yhteyttä varmistaaksemme, että kukaan muu ei voi päästä käsiksi tiedostoon. Anonymisoimme kaiken. Joten vaikka meillä on tietty tiedosto, emme itsekään tiedä, kenen käyttäjän laitteelta se on peräisin. Kaikki kyselyt tiedostoihin, niiden tarkastustiivisteisiin ja verkkosivujen maineeseen liittyen tapahtuvat turvapilvessämme salattuina ja anonymisoituina.
Mitä tiedostoja ja tietoja asiakkailta siirtyy meille?
Tämä riippuu tuotteesta ja sen asetuksista. Voit löytää tietoja keräämästämme tiedosta datankeruudokumentistamme (olemme päivittämässä tätä). Voit myös tutustua yksityisyyden suojaa koskeviin periaatteisiimme.
Jos asiakkaamme käyttää uusimpia ratkaisujamme ja ottaa kaiken hyödyn irti turvapilvestämme, niin me saamme tällaista tietoa:
- Metadataa, joka on syntynyt tiedoston suorittamisesta asiakkaan laitteella (lähetetään vain tietyissä olosuhteissa, ja vain haitallisiksi todetuista näytteistä)
- Tietoa tiedoston yleisyydestä (seuraamme järjestelmän avulla tietyn tarkistustiivisteen yleisyyttä, laskurimme kasvattaa lukua jokaisella kyselyllä)
- Tuntemattomat epäilyttävät tai haitalliset verkkosivujen osoitteet. Nämä normalisoidaan, eli henkilökohtaiset tiedot poistetaan). Verkkosivujen tarkistukset tehdään verkkosivun normalisoidun tekstin tarkistustiivisteen avulla
- Tietyissä olosuhteissa epäilyttävät tai haitalliset suoritettava tiedostot siirretään turvapilveemme jatkoanalyysiä varten
- Asiakkaidemme meille lomakkeemme avulla lataamat näytteet
Me emme saa:
- Mitään tietoa, joka auttaisi meitä identifioimaan tietyn käyttäjän tai laitteen, josta olemme saaneet dataa. Emme tiedä, mitkä tiedostot ovat kenenkin, ketkä ovat avanneet tiedostoja tai millä sivuilla käyttäjät ovat vierailleet.
- Mitään dataa, mitä emme tarvitse suojataksemme asiakkaitamme paremmin. Dataa, joka ei auta meitä suojaamaan asiakkaitamme, ei kerätä, tai jos olemme keränneet, hävitämme datan mahdollisimman nopeasti.
Normalisoimme ja anonymisoimme dataa mahdollisimman paljon asiakkaan laitteella ennen kuin siirrämme sen meidän järjestelmäämme.
Mitä tapahtuu meille analysoitavaksi ladatulle tiedostolle?
Analysoitavaksi ladatut tiedostot prosessoidaan ensin pilvipohjaisessa virtuaaliympäristössä. Useimmiten tämä prosessi antaa tulokset, jonka välitämme tiedoston ladanneelle asiakkaalle. Tällöin myös hävitämme näytetiedoston. Jos analyysi ei anna selvää lopputulosta, voimme lähettää näytteen jatkoanalyysiin. Näissä tapauksissa tiedosto säilytetään järjestelmässämme rajoitetun ajan, kun prosessoimme sitä. Järjestelmäämme saapuvat tiedostot merkitään erikseen luottamukselliseksi, mikä rajoittaa tiedoston käyttöä ja jakamista muihin järjestelmiin. Analyysin valmistuttua näyte hävitetään.
Millaisia näytteitä saamme asiakkailta?
Ainoastaan suoritettavat tiedostot ladataan näin jatkoanalyysiin.
Jaammeko kopioita asiakkaidemme lataamista tiedostoista VirusTotal-palveluun, lakia valvoville viranomaisille tai eri maiden tiedusteluviranomaisille?
Kaikki asiakkaidemme meille jakamat tiedostot luokitellaan luottamuksellisiksi. Tämä tarkoittaa, että emme jaa näitä kenenkään kanssa. Tiedosto kategorisoidaan uudelleen vain siinä tapauksessa, että havaitsemme sen leviävän vapaana, eli sama tiedosto löytyy useammalta laitteelta.
Emme jaa tiedostoja VirusTotal-palveluun. Jaamme näytteitä luotetuille kumppaneille, mutta ainoastaan näytteitä, jotka luokittelemme epäluottamuksellisiksi. Lakeja valvovat viranomaiset jakavat tiedostoja meille analysoitavaksi, mutta ei toisin päin. Jaamme osan uhkatiedostamme organisaatioille, kuten CERT-FI:lle (esimerkiksi tunnistus- ja hälytystietoja tai analyyseja haittaohjelmista, joilla on tiettyjä kohteita tietyissä maissa), jotka voidaan sitten ohjata kyseisen maan lainvalvontaviranomaisille. Lyhyesti: jaamme tietoa, emme näytteitä. Näytteitä saatetaan pyytää, mutta jaamme vain näytteitä, jotka eivät ole luottamuksellista tietoa.
Voivatko käyttäjämme valita jakavatko he epäilyttäviä tiedostoja tutkijoillemme?
Tuotteidemme asentaminen edellyttää jossain määrin tietojen jakamista. Huolehdimme, että asiakkaamme ovat tietoisia yksityisyyden suojasta ja periaatteistamme. Asiakkaidemme ei tarvitse käyttää turvapilveämme, mutta tämä heikentää tuotteidemme suorituskykyä. Lyhyesti, kun käytät virustorjuntasovellustamme, päätät jakaa tietoa, mutta voit kuitenkin sulkea pois osan ominaisuuksista. Tarjoamme mahdollisuutta datankeruun estoon jopa ilmaisessa verkkoskannauspalvelussamme.
Kategoriat