KSN - новый функционал

[Vadim Fedorov 255]

В новой версии Kaspersky Internet Security 2010 v9.0.0.736 CF2 появился новый функционал - "передача файлов и/или частей файлов" с компьютеров пользователей (согласившихся принять участие в KSN) в Лабораторию Касперского.

Изучение "ПОЛОЖЕНИЯ ОБ ИСПОЛЬЗОВАНИИ KASPERSKY SECURITY NETWORK" (русскоязычный вариант) и "Kaspersky Security Network Data Collection Statement" (англоязычный вариант, соответственно), а также, их последующее сравнение - выявляют ряд интересных нюансов.

В русскоязычном варианте "ПОЛОЖЕНИЯ" (в отношении нового функционала) упоминается лишь то, что:

" ...Дополнительно пользователем может предоставляться информация в соответствии с указанным далее перечнем:

* Файлы и/или части файлов для дополнительной проверки в «Лаборатории Касперского». Передача указанных файлов и/или их частей будет производиться только в случае вашего согласия с данным соглашением.

Сбор, обработка и хранение персональных данных пользователя не производится... "

В англоязычном варианте "ПОЛОЖЕНИЯ" ("Kaspersky Security Network Data Collection Statement"), являющегося гораздо более "насыщенным" по сравнению с русскоязычным вариантом,

появляется ряд дополнительных очень интересных нюансов:

1). " Such information contains no personally identifiable information about the user and is utilized by Kaspersky Lab for no other purposes but to enhance its security products and to further advance solutions against malicious threats and viruses. In case of accidental transmission of any personal data of the user, Kaspersky Lab shall keep and protect it in accordance with this Data Collection Statement. "

Т.е. в англоязычном варианте присутствуют строки, говорящие о том, что " в случае случайной передачи личных данных пользователя, Лаборатория Касперского будет хранить и защищать их в соответствии с данным ПОЛОЖЕНИЕМ (Data Collection Statement) " - иными словами, допускается возможность "случайной передачи личных данных пользователей",

что довольно интересно, т.к. новый функционал теперь позволяет передавать в ЛК не просто статистическую информацию, но и "файлы и/или части файлов" с компьютеров пользователей.

При этом, далее в англоязычном варианте следуют следующие строки:

2). " Unfortunately, no data transmission can be guaranteed secure. As a result, while we strive to protect your data, we cannot guarantee the security of any data you transmit to us or from our products or services, including without limitation Kaspersky Security Network, and you use all these services at your own risk. "

общий смысл: " Безопасная передача данных не может быть гарантирована... мы не можем гарантировать безопасную передачу данных ( в ЛК)... Вы используете данную службу/службы (KSN) на свой страх и риск "

Напоминаю, что отсутствие каких-либо гарантий безопасной передачи данных относится к файлам, передаваемым с компьютеров пользователей - при этом, возможность "случайной передачи личных данных пользователя" допускается данным "Kaspersky Security Network Data Collection Statement".

и в заключение, еще один нюанс, оговариваемый в англоязычной версии "ПОЛОЖЕНИЯ":

3). " Data collected by Kaspersky Security Network covered by this Statement is processed and stored in the United States and possibly other jurisdictions and also in other countries where Kaspersky Lab conduct business. "

Общий смысл - " Данные, собираемые при помощи Kaspersky Security Network... обрабатываются и хранятся в США..., а также, в других странах, в которых Лаборатория Касперского ведет бизнес. "

Выделил данный нюанс по причине того, что как показали обсуждения на данном форуме, факт хранения данных за пределами России - имеет значение для некоторых пользователей.

Приложение:

Русскоязычный вариант "ПОЛОЖЕНИЯ ОБ ИСПОЛЬЗОВАНИИ KASPERSKY SECURITY NETWORK"-

ПОЛОЖЕНИЕ ОБ ИСПОЛЬЗОВАНИИ KASPERSKY SECURITY NETWORKВ настоящем Положении изложен порядок получения и использования информации, указанной в приведенном ниже перечне.Настоящее Положение относится к продуктам Антивирус Касперского, Kaspersky Internet Security, правообладателем которых является ЗАО «Лаборатория Касперского».В целях выявления новых угроз информационной безопасности и их источников, а также повышения уровня защиты информации пользователей, обрабатываемой с помощью ЭВМ,  совершенствования функционала продуктов, разрабатываемых ЗАО «Лаборатория Касперского», после включения  Пользователем  функции предоставления информации в разделе «Обратная связь» окна настройки соответствующего продукта, пользователь может предоставлять информацию в соответствии с указанным далее перечнем.Перечень основной информации:* Информация об установленном на компьютере аппаратном и программном обеспечении, в том числе версия операционной системы и установленные пакеты обновлений, объекты ядра, драйверы, сервисы, расширения Microsoft Internet Explorer, расширения системы печати, расширения Windows Explorer, загруженные объекты, элементы Active Setup, апплеты панели управления, записи файла hosts и системного реестра, IP-адреса, версии браузеров и почтовых клиентов, а также номер версии продукта «Лаборатории Касперского».* Уникальный идентификатор, присваиваемый продуктом «Лаборатории Касперского» компьютеру пользователя.* Информация о состоянии антивирусной защиты компьютера, а также данные обо всех потенциально вредоносных файлах и действиях (в том числе название вируса, дата и время обнаружения, названия и размер зараженных файлов и пути к ним, IP-адрес атакующего компьютера и номер порта компьютера пользователя, на который была направлена сетевая атака, название потенциально вредоносной программы).* Информация о загружаемых пользователем подписанных программах (URL-адрес, размер файла, имя подписи).* Информация о запускаемых программах (размер, атрибуты, дата создания, информация заголовка PE, регион, имя, местоположение, упаковщик).Дополнительно пользователем может предоставляться информация в соответствии с указанным далее перечнем:* Файлы и/или части файлов для дополнительной проверки в «Лаборатории Касперского». Передача указанных файлов и/или их частей будет производиться только в случае вашего согласия с данным соглашением. Сбор, обработка и хранение персональных данных пользователя не производится.Предоставление вышеуказанной информации является добровольным. Функцию предоставления информации можно в любой момент включить или выключить в разделе «Обратная связь» окна настройки соответствующего продукта «Лаборатории Касперского».

Англоязычный вариант "ПОЛОЖЕНИЯ" - ("Kaspersky Security Network Data Collection Statement")-

Kaspersky Security NetworkData Collection StatementA.  INTRODUCTIONPlease read this document carefully. It contains important information that you should know before continuing to use our services or software. By continuing to use Kaspersky Lab software and services you will be deemed to have accepted this Kaspersky Lab’ Data Collection Statement. We reserve the right to modify this Data Collection Statement at any time by posting the changes on this page. Please check the revision date below to determine if the policy has been modified since you last reviewed it. Your continued use of any portion of Kaspersky Lab’s Services following posting of the updated Data Collection Statement shall constitute your acceptance of the changes.Kaspersky Lab and its affiliates (collectively, “Kaspersky Lab”) has created this Data Collection Statement in order to inform and disclose its data gathering and dissemination practices for Kaspersky Anti-Virus and Kaspersky Internet Security.Word from Kaspersky LabKaspersky Lab has a strong commitment to providing superior service to all of our customers and particularly respecting your concerns about Data Collection. We understand that you may have questions about how Kaspersky Security Network collects and uses information and data and we have prepared this statement to inform you of the Data Collection principles that govern the Kaspersky Security Network (the “ Data Collection Statement” or “Statement”). This Data Collection Statement contains numerous general and technical details about the steps we take to respect your Data Collection concerns. We have organized this Data Collection Statement by major processes and areas so that you can quickly review the information of most interest to you. The bottom line is that meeting your needs and expectations forms the foundation of everything we do - including protecting your Data Collection.The data and information is collected by Kaspersky Lab and if after reviewing this Data Collection Statement you have any questions or Data Collection concerns please send an e-mail to support@kaspersky.com.What is Kaspersky Security Network?Kaspersky Security Network service allows users of Kaspersky Lab security products from around the world to help facilitate identification and reduce the time it takes to provide protection against new (“in the wild”) security risks targeting your computer. In order to identify new threats and their sources and to help improve user security and product functionality, Kaspersky Security Network collects selected security and application data and submits that data to Kaspersky Lab for analysis. Such information contains no personally identifiable information about the user and is utilized by Kaspersky Lab for no other purposes but to enhance its security products and to further advance solutions against malicious threats and viruses. In case of accidental transmission of any personal data of the user, Kaspersky Lab shall keep and protect it in accordance with this Data Collection Statement.By participating in Kaspersky Security Network, you and the other users of Kaspersky Lab security products from around the world contribute significantly to a safer Internet environment.Legal IssuesKaspersky Security Network may be subject to the laws of several jurisdictions because its services may be used in different jurisdictions, including the United States of America. Kaspersky Lab shall disclose personally identifiable information without your permission when required by law, or in good-faith belief that such action is necessary to investigate or protect against harmful activities to Kaspersky Lab guests, visitors, associates, or property or to others. As mentioned above, laws related to data and information collected by Kaspersky Security Network may vary by country. For example, some personally identifiable information collected in the European Union and its Member States is subject to the EU Directives concerning personal data, Privacy and electronic communications, including but not limited to Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of Privacy in the electronic communications sector and Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data and the subsequent legislation adopted in the EU Member States, the European Commission Decision 497/2001/EC on standard contractual clauses (personal data transferred to third countries) and the subsequent legislation adopted in the EC Member States.Kaspersky Security Network shall duly inform the users concerned, when initially collecting the above-mentioned information, of any sharing of such information, notably for use for business development and shall allow these Internet users to opt in (in the EC Member States and other countries requiring opt-in procedure) or opt-out (for all the other countries) on-line from the commercial use of this data and/or the transmission of this data to third parties.Kaspersky Lab may be required by law enforcement or judicial authorities to provide some personally identifiable information to appropriate governmental authorities. If requested by law enforcement or judicial authorities, we shall provide this information upon receipt of the appropriate documentation. Kaspersky Lab may also provide information to law enforcement to protect its property and the health and safety of individuals as permitted by statute.Declarations to Personal Data Protection Member States authorities shall be made according to the subsequent EU Member States legislation in force. Information about such declarations shall be accessible on the Kaspersky Security Network services.B. COLLECTED INFORMATIONData We CollectUser have right to grant data  in according to this statement and the Kaspersky Security Network service will collect and submit core and extended data to Kaspersky Lab about potential security risks targeting your computer. The data collected includes:Core data* information about your computer hardware and software, including operating system and service packs installed, kernel objects, drivers, services, Internet Explorer extensions, printing extensions, Windows Explorer extensions, downloaded program files, active setup elements, control panel applets, host and registry records, IP addresses, browser types, e-mail clients and the version number of the Kaspersky Lab product, that is generally not personally identifiable;* a unique ID that is generated by the Kaspersky Lab product to identify individual machines without identifying the user and which does not contain any personal information;* information about the status of your computer's antivirus protection, and data on any files or activities suspected of being malware (e.g., virus name, date/time of detection, names/paths and size of infected files, IP and port of network attack, name of the application suspected of being malware). Please note that the above referenced collected data does not contain personally identifiable information.Extended data* information about digitally signed applications downloaded by the user (URL, file size, signer name); * information about executable applications (size, attributes, date created, information about PE headers, region, name, location, and compression utility used).Files and/or their partsThe Kaspersky Security Network service may collect and submit whole files and/or their parts to Kaspersky Lab for additional examination. Transfers of files and/or their parts are only performed if the Kaspersky Lab Data Collection Statement has been accepted by you.Securing the Transmission and Storage of DataKaspersky Lab is committed to protecting the security of the information it collects. The information collected is stored on computer servers with limited and controlled access. Kaspersky Lab operates secure data networks protected by industry standard firewall and password protection systems. Kaspersky Lab uses a wide range of security technologies and procedures to protect the information collected from threats such as unauthorized access, use, or disclosure. Our security policies are periodically reviewed and enhanced as necessary, and only authorized individuals have access to the data that we collect. Kaspersky Lab takes steps to ensure that your information is treated securely and in accordance with this Statement. Unfortunately, no data transmission can be guaranteed secure. As a result, while we strive to protect your data, we cannot guarantee the security of any data you transmit to us or from our products or services, including without limitation Kaspersky Security Network, and you use all these services at your own risk.The data that is collected may be transferred to Kaspersky Lab servers and Kaspersky Lab has taken the necessary precautions to ensure that the collected information, if transferred, receives an appropriate level of protection We treat the data we collect as confidential information; it is, accordingly, subject to our security procedures and corporate policies regarding protection and use of confidential information. After collected data reaches Kaspersky Lab it is stored on a server with physical and electronic security features as customary in the industry, including utilization of login/password procedures and electronic firewalls designed to block unauthorized access from outside of Kaspersky Lab. Data collected by Kaspersky Security Network covered by this Statement is processed and stored in the United States and possibly other jurisdictions and also in other countries where Kaspersky Lab conduct business. All Kaspersky Lab employees are aware of our security policies. Your data is only accessible to those employees who need it in order to perform their jobs. Any stored data will not be associated with any personally identifiable information. Kaspersky Lab does not combine the data stored by Kaspersky Security Network with any data, contact lists, or subscription information that is collected by Kaspersky Lab for promotional or other purposes.C. USE OF THE COLLECTED DATAHow Your Personal Information Is UsedKaspersky Lab collects the data in order to analyze and identify the source of potential security risks, and to improve the ability of Kaspersky Lab’s products to detect malicious behavior, fraudulent websites, crimeware, and other types of Internet security threats to provide the best possible level of protection to Kaspersky Lab customers in the future.Disclosure of Information to Third PartiesKaspersky Lab may disclose any of the information collected if asked to do so by a law enforcement official as required or permitted by law or in response to a subpoena or other legal process or if we believe in good faith that we are required to do so in order to comply with applicable law, regulation a subpoena, or other legal process or enforceable government request. Kaspersky Lab may also disclose personally identifiable information when we have reason to believe that disclosing this information is necessary to identify, contact or bring legal action against someone who may be violating this Statement, the terms of your agreements with the Company or to protect the safety of our users and the public or under confidentiality and licensing agreements with certain third parties which assist us in developing, operating and maintaining the Kaspersky Security Network. In order to promote awareness, detection and prevention of Internet security risks, Kaspersky Lab may share certain information with research organizations and other security software vendors. Kaspersky Lab may also make use of statistics derived from the information collected to track and publish reports on security risk trends.Choices available to you Participation in Kaspersky Security Network is optional. You can activate and deactivate the Kaspersky Security Network service at any time by visiting the Feedback settings under your Kaspersky Lab product’s options page. Please note, however, if you choose to deactivate the Kaspersky Security Network service, we may not be able to provide you with some of the services dependent upon the collection of this data. Once the service period of your Kaspersky Lab product ends, some of the functions of the Kaspersky Lab software may continue to operate, but information will no longer be sent automatically to Kaspersky Lab.We also reserve the right to send infrequent alert messages to users to inform them of specific changes that may impact their ability to use our services that they have previously signed up for. We also reserve the right to contact you if compelled to do so as part of a legal proceeding or if there has been a violation of any applicable licensing, warranty and purchase agreements. Kaspersky Lab is retaining these rights because in limited cases we feel that we may need the right to contact you as a matter of law or regarding matters that may be important to you. These rights do not allow us to contact you to market new or existing services if you have asked us not to do so, and issuance of these types of communications is rare. D. DATA COLLECTION – RELATED INQUIRIES AND COMPLAINTSKaspersky Lab takes and addresses its users’ Data Collection concerns with utmost respect and attention. If you believe that there was an instance of non-compliance with this Statement with regard to your information or data you have other related inquiries or concerns, you may write or contact Kaspersky Lab at email: support@kaspersky.com.In your message, please describe in as much detail as possible the nature of your inquiry. We will investigate your inquiry or complaint promptly. Provision of information is voluntary. An option of data collection can be disabled by the user at any time in section “Feedback” on the page “Settings” of any appropriate Kaspersky product.© 1997-2009 Kaspersky Lab ZAO.  All Rights Reserved.

[A. 876]

Например, можно начать со следующего вопроса - будут ли файлы и/или части файлов с компьютеров пользователей,

согласившихся принять участие в KSN, передаваться при помощи secure connection, либо в зашифрованном виде ?

Этот вопрос представляется весьма актуальным, так как возможность случайной передачи личных данных пользователя

и отсутствие гарантии безопасной передачи данных прямо оговаривается в "Kaspersky Security Network Data Collection Statement".

Под случайной передачей личных данных подразумеваются возможные ситуации, когда вредоносный код может содержаться, например, в документах MS Office (doc, xls, ppt) или в файлах, которые были созданы вредоносными программами в ходе их работы, и в которых эти данные (допустим, пароли) хранятся.

Конечно, Лаборатория Касперского (как и любой другой вендор, обладающий подобной технологией), не может исключить ситуации передачи этих файлов на исследование в ЛК.

Ситуация аналогична обычной практике в работе антивирусных компаний - когда пользователи сами присылают свои файлы на анализ. При этом они точно также могут послать файлы с персональными данными, но при этом никакого Пользовательского Соглашения даже не существует. Это вопрос доверия к вендору.

Ситуация даже более печальна, если речь идет не об антивирусной компании, а например о сервисе VirusTotal. На их сайте написано:

Collection and use of submit samples and personal information

When you submit a sample file to VirusTotal for scanning, we may store it and share these with anti-malware and security companies (normally the companies participants in VirusTotal receives the samples cataloged as malware that theirs engines do not detect). The samples can be analysed by automatic tools and security analysts to detect malicious code and to improve anti-virus engines.

Your personal data may also be anonymised and used for statistical purposes.

Как видно, здесь Пользователь даже не знает конечного получателя своих файлов. О персональных данных сказано же только что они may also be.

По своему опыту могу заявить, что случаи получения от VT офисных файлов, например, с данными - были, есть и будут.

В своем Соглашении ЛК официально оформляет точную форму отношений с клиентом - принимая на себя ответственность за неразглашение данных и уведомляя Пользователя о всех последствиях его работы с продуктом. Мне кажется, что это значительно более правильная организация работы.

Что касается ответа на вопрос "Будут ли файлы и/или части файлов с компьютеров пользователей, согласившихся принять участие в KSN, передаваться при помощи secure connection, либо в зашифрованном виде", то он приведен в тексте Соглашения:

Unfortunately, no data transmission can be guaranteed secure. As a result, while we strive to protect your data, we cannot guarantee the security of any data you transmit to us or from our products or services, including without limitation Kaspersky Security Network, and you use all these services at your own risk. "

[Vadim Fedorov 255]

A., спасибо за комментарий.

Что касается ответа на вопрос "Будут ли файлы и/или части файлов с компьютеров пользователей, согласившихся принять участие в KSN, передаваться при помощи secure connection, либо в зашифрованном виде", то он приведен в тексте Соглашения:

Unfortunately, no data transmission can be guaranteed secure. As a result, while we strive to protect your data, we cannot guarantee the security of any data you transmit to us or from our products or services, including without limitation Kaspersky Security Network, and you use all these services at your own risk. "

Да, Вы правы, отрицательный ответ на этот вопрос содержится в тексте Data Collection Statement,

но интерес представлял комментарий со стороны представителя компании. Подтверждение было получено, спасибо.

[bse 115]

Vadim Fedorov, какие выводы следуют из вашей статьи и комментариев к ней?

[Vadim Fedorov 255]

Vadim Fedorov, какие выводы следуют из вашей статьи и комментариев к ней?

bse, спасибо за определение, но это не статья, а всего лишь сообщение.

Как и при любом другом обсуждении, выводы каждый из участников делает самостоятельно -

думаю, что в данном случае - моего сообщения и комментария компетентного представителя компании более чем достаточно.