Comments 71
Так он и раньше их получал, через анализ трафика. Или плагины к браузеру. И вообще антивирус видит всё, что вы запускаете, проверяет каждый файл перед запуском или открытием. Ничего нового.
Видимо указанная система защиты анализирует поведение сайта. Ищет факты проведения на Вас компьютерных атак направленных на подмену кнопок интерфейса и отправку левых запросов.
Видимо указанная система защиты анализирует поведение сайта. Ищет факты проведения на Вас компьютерных атак направленных на подмену кнопок интерфейса и отправку левых запросов.
А вот и нет, раньше с выключенным веб-антивирусом и плагинами каждая страница, открытая в браузере, не отправлялась на сервера kaspersky. Откуда я могу это знать? Часто сижу с включенным сниффером трафика (fiddler2).
У Вас функция связи с Kaspersky Security Network (KSN) активирована? Если да. То он и сведения о ваших файлах в облако засылает. Это отлично видно по разоблачительным статьям специалистов Лаборатории Касперского, когда они описывая громкий вирус 2014 (цифра с потолка) рапортуют о том, что в их облаке сведения о файлах данного вируса были уже в 2010 году. Правда забывают посыпать голову пеплом за то что в 2010 году вредонос провафлили…
Насколько я понимаю (первый раз встретился, надо гуглить и тестить) fiddler2 — это сниффер прикладного уровня для анализа протокола http. А антивирус может работать по другим протоколам, которые удобнее смотреть с использованием Wireshark.
Главное относиться к этому спокойнее. Антивирус же во благо (страшный смех за кадром).
Насколько я понимаю (первый раз встретился, надо гуглить и тестить) fiddler2 — это сниффер прикладного уровня для анализа протокола http. А антивирус может работать по другим протоколам, которые удобнее смотреть с использованием Wireshark.
Главное относиться к этому спокойнее. Антивирус же во благо (страшный смех за кадром).
Первым делом отключаю KSN, уже которую версию kis-а. Меня больше смущает невозможность отключить добавление этого js в исходный код, чем сам факт его существования, вдруг кто-нибудь взломает их сервера и распространит вирусы? Да и вообще как-то нагло без ведома пользователя встраивать что-либо, даже при использовании https, не находите? И как видно из заявлений техподдержки, они не собираются давать возможность отключения этой инъекции.
Антивирус по сути имеет доступ ко всему что вы открываете/смотрите/запускаете что называется by default. Т.е. сам факт встраивания кода антивирусом не должен приводить к какой либо панике. Установив антивирус вы даете ему полные права на доступ ко всему (иначе смысла в антивирусе нету, то что вне его контроля — не защищено), раньше этот доступ тоже был, он, в конце концов может чуть ли не на уровне драйвера снифать весь трафик. Взломать сервера и распространить вирус можно и без этого, обновления антивирусов включают возможность обновления программных компонент, а не только баз сигнатур.
Почему вдруг? Нужно говорить «когда их в очередной раз взломают».
Вот недавно взламывали. geektimes.ru/post/251842
Вот недавно взламывали. geektimes.ru/post/251842
NoScript, RefControl?
а KSN для чего отключаете?
Проблема пожалуй не в этом. Вирусы и просто всякие фишеры лезут во все дырки и соответственно средства защиты должны встать поперек всех дырок. Проблема в том, что устанавливая любую программу, которая будет отвечать за нашу безопасность, мы в общем-то доверяем на слово продавцу, что все будет шоколадно. Есть/нет уязвимостей, какова эффективность каждого компонента и не пора ли удалить половину функционала, разработанного в прошлом веке и уже не являющегося столь эффективным как тогда, какова эффективность данного модуля на самом деле, а не на листовке маркетологов… Мы этого не знаем. Понятно почему информация о технологиях защиты и их эффективности скрывается, но вот то, что мы в итоге верим на слово в тех местах, где будем отвечать деньгами…
И грустно и ничего не изменишь
И грустно и ничего не изменишь
> Главное относиться к этому спокойнее. Антивирус же во благо (страшный смех за кадром).
В том и дело. Антивирус должен работать во благо:
если пользователь хочет, чтобы его действия в браузере отслеживались, то включает галочку;
если пользователь НЕ хочет, то вЫключает галочку «внедрять JS-стрипт в браузеры».
Т.е. Каспер должен предоставить пользователю возможность самому решать, какие инструменты безопасности задействовать («АнтиХакер» и «АнтиШпион» же можно выключать). Здесь же служители Каспера явно сказали: «Ничо выключать не будем, терпите, не бухтите». Это уже подозрительно.
Похоже, сверху прямо дали дерективу: «Внедрить зонд!». А эти не могут ослушаться.
В том и дело. Антивирус должен работать во благо:
если пользователь хочет, чтобы его действия в браузере отслеживались, то включает галочку;
если пользователь НЕ хочет, то вЫключает галочку «внедрять JS-стрипт в браузеры».
Т.е. Каспер должен предоставить пользователю возможность самому решать, какие инструменты безопасности задействовать («АнтиХакер» и «АнтиШпион» же можно выключать). Здесь же служители Каспера явно сказали: «Ничо выключать не будем, терпите, не бухтите». Это уже подозрительно.
Похоже, сверху прямо дали дерективу: «Внедрить зонд!». А эти не могут ослушаться.
вдруг кто-нибудь взломает их сервера и распространит вирусы
А вдруг вирусы будут в обновлении антивируса? Есть очень хорошая пословица/поговорка про вдруг и пук.
Да и вообще как-то нагло без ведома пользователя встраивать что-либо, даже при использовании https, не находите
Да, некрасиво, но если всем всё рассказывать защита будет не эффективна.
P.S. Ошибся веткой. Ответ сюда
У меня после перехода на win10 не запускается KIS2016 ( точнее запускается сама оболочка, но файловая защита, защита от сетевых атак и прочее )
Это вы ещё на значёк https не кликали и цепочку сертификатов не смотрели :)
Скрипт есть. Цепочка https сертификатов без вмешательств. Все нормально.
Скорее всего, речь шла о ситуации, когда включена проверка защищённых соединений. В этом случае сертификат подменяется.
М, в этом случае каспер внедряет свои сертификаты, начиная с KIS 2009 версии, если мне не изменяет память. В любом случае в версии 2013 и старше уже 100% есть эта фича при проверке защищенных соединений. Видел лично в каждой из версий.
В моем случае тоже.
Каспер ничего не спросив прописал свои сертификаты.
Каспер ничего не спросив прописал свои сертификаты.
…
Firefox, MS Edge, MS IE — есть такое, Яндекс.Браузер, Google Chrome, Opera, Vivaldi — не наблюдается
Только что проверил, никакого скрипта от каспера не обнаружено.
Firefox 40.0 плагины каспера не ставились, win 10, kis 15.0.2.361. В edge так же всё чисто.
Firefox 40.0 плагины каспера не ставились, win 10, kis 15.0.2.361. В edge так же всё чисто.
Тоже вчера это обнаружил и мне это не понравилось.
Техподдержка мне не ответила.
Пока отключил касперского совсем.
Техподдержка мне не ответила.
Пока отключил касперского совсем.
Стоит Kaspersky KIS 2016 16.0.0.14 (a)
Ни отключение дополнения Kaspersky Protection к Хрому ни отключение защиты (полностью) KIS 2016 не убирает инъекцию скрипта
в код веб страниц
Ни отключение дополнения Kaspersky Protection к Хрому ни отключение защиты (полностью) KIS 2016 не убирает инъекцию скрипта
<script type="text/javascript" src="http://gc.kis.scr.kaspersky-labs.com/USER-ID/main.js" charset="UTF-8"></script>в код веб страниц
Лишний аргумент к тому, чтобы вместо пользования антивирусами настраивать нормально права доступа и роли.
А что делать с эскалацией прав без ведома пользователя?
А для «настройщиков вместо антивирей» этих проблем не существует.
Они живут в мире розовых пони и единорогов.
В котором весь софт идеален и не содержит багов.
В котором эскалация прав не возможна по определению, а зараза может прийти на компьютер только из почтовой рассылки или скачав из инета и только если ты сам ее запустишь.
Им бесполезно объяснять даже основы безопасности.
У них железный аргумент «Антивирус не стоит и все хорошо».
Они даже не догадываются, что эти два метода можно совмещать…
P.S. Под антивирусом я понимаю хорошую комплексную защиту. Ибо ни один нормальный вендор уже не делает чистых антивирей.
Они живут в мире розовых пони и единорогов.
В котором весь софт идеален и не содержит багов.
В котором эскалация прав не возможна по определению, а зараза может прийти на компьютер только из почтовой рассылки или скачав из инета и только если ты сам ее запустишь.
Им бесполезно объяснять даже основы безопасности.
У них железный аргумент «Антивирус не стоит и все хорошо».
Они даже не догадываются, что эти два метода можно совмещать…
P.S. Под антивирусом я понимаю хорошую комплексную защиту. Ибо ни один нормальный вендор уже не делает чистых антивирей.
В котором весь софт идеален и не содержит багов.
В котором эскалация прав не возможна по определению, а зараза может прийти на компьютер только из почтовой рассылки или скачав из инета и только если ты сам ее запустишь.
Может, поделитесь примерами случившихся эскалаций и/или распространения вирусов через них? А то я из лагеря "настройщиков" (+VirusTotal) и до сих пор не в курсе, что я делаю не так :)
Можно даже применительно к моей ситуации - домашняя сетка из компьютеров под управлением Windows и Android-устройств, за роутером.
Не сразу понял, что «pastebin.com» это «paste bin», а не «пастебин». Уж было обрадовался, что какой-то новый сайт со стёбом, но увы…
А не информации, в КаЛаб не нанимали программистов из мэйл.ру в последнее время?
А не информации, в КаЛаб не нанимали программистов из мэйл.ру в последнее время?
Я удивлялся, когда видел в результатах поиска google иконку касперского (всё ок, страница безопасна) после того как, кажется, отключил плагины. И действительно не казалось, плагины отключены. После выгрузки касперского диво исчезло. Теперь понятно откуда это.
У меня после установки KIS 2015 появился такой код:
и причем только в ОгнеЛисе (отключал все расширения, после перезагрузки включаются заново), в Опере не было, два дня просидел, а потом решил отключить Анти-Баннер встроенный в KIS и данный запрос исчез.
Вообще странная штука, кидается на заведомо неверный урл, да и еще себя же блочит))
и причем только в ОгнеЛисе (отключал все расширения, после перезагрузки включаются заново), в Опере не было, два дня просидел, а потом решил отключить Анти-Баннер встроенный в KIS и данный запрос исчез.
Вообще странная штука, кидается на заведомо неверный урл, да и еще себя же блочит))
Ладно бы просто встраивал, хотя это уже плохо так как теперь другие скрипты могут узнать как минимум название антивируса которым я пользуюсь.
Но ещё и добавлять USERID то есть скрипт для каждого пользователя может быть свой, вот это совсем некрасиво как то выглядит.
Но ещё и добавлять USERID то есть скрипт для каждого пользователя может быть свой, вот это совсем некрасиво как то выглядит.
ff.kis.scr.kaspersky-labs.com — не слушает хттп.
Очевидно инъекция грузится прямо с вашего компьютера без обращений к внешнему серверу.
Белки-истерички жпг.
Очевидно инъекция грузится прямо с вашего компьютера без обращений к внешнему серверу.
Белки-истерички жпг.
ping gc.kis.scr.kaspersky-labs.com на Windows выдает:
ping gc.kis.scr.kaspersky-labs.com на Mac OS выдает тот же IP-адрес, но ping не проходит.
Вывод? На Mac OS касперского нет :-)
Кстати, 127.0.0.0 — это локальные соединения, то есть — localhost.
Ответ от 127.245.107.154: число байт=32 время<1мс TTL=128
ping gc.kis.scr.kaspersky-labs.com на Mac OS выдает тот же IP-адрес, но ping не проходит.
Вывод? На Mac OS касперского нет :-)
Кстати, 127.0.0.0 — это локальные соединения, то есть — localhost.
…
1. нет гарантии, что завтра там не окажется адрес отличный от 127.x.x.x
2. тот кто делает MiTM может направить домен на свой IP
2. тот кто делает MiTM может направить домен на свой IP
1. Какой в этом смысл? Антивирус и так все видит и обо всем может себе на сервер сообщать.
Вы либо доверяете антивирусу и его privacy policy, либо не доверяете и не используете.
2. Если MITM у вас на машине происходит, то тогда антивирус уже не справился со своей работой, и тут уже не до скриптиков:). А если MITM снаружи, то он не может, за пределы машины трафик не выходит.
Вы либо доверяете антивирусу и его privacy policy, либо не доверяете и не используете.
2. Если MITM у вас на машине происходит, то тогда антивирус уже не справился со своей работой, и тут уже не до скриптиков:). А если MITM снаружи, то он не может, за пределы машины трафик не выходит.
Резолв ведь происходит за пределами машины? Если да, то атакующий может указать для домена gc.kis.scr.kaspersky-labs.com свой IP и трафик уйдет в сеть
Не, тут дело не в резолве. Они трафик перехватывают на уровне WFP-драйвера и обрабатывают в нем.
Если сейчас посмотрите, увидите, что gc.kis.scr.kaspersky-labs.com и так указывает не на локалхост, а на удаленный IP. Но, тем не менее, траф туда не идет.
Если сейчас посмотрите, увидите, что gc.kis.scr.kaspersky-labs.com и так указывает не на локалхост, а на удаленный IP. Но, тем не менее, траф туда не идет.
Self fix: указывает на ip из приватного диапазона. Тем не менее, не на локалхост.
Т.е. запросы к DNS оно тоже перехватывает и обрабатывает на уровне драйвера?
А что бывает в случаях, когда на ресурсе включен
Content Security Policy в блокирующем режиме?
А что бывает в случаях, когда на ресурсе включен
Content Security Policy в блокирующем режиме?
Я на них не работаю, поэтому по большому счету дальше идут мои предположения.
Тем не менее, с технологией я знаком и могу какие-то аналогии проводить.
1. DNS
Да, они могут его перехватывать на уровне драйвера.
2. Content Security Policy
Я бы на их месте его редактировал, добавляя конкретно их домен в доверенные.
Но вообще вопрос хороший. Думаю достаточно посмотреть на то, как они себя ведут на yandex.ru.
Там CSP заголовок как раз, запрещающий third-party.
Второй вариант, который приходит в голову: когда они видят CSP-заголовок, они могут инжектить скрипт с этого же домена. Тут где-то в комментариях был скриншот, где они для хабра это делали.
Тем не менее, с технологией я знаком и могу какие-то аналогии проводить.
1. DNS
Да, они могут его перехватывать на уровне драйвера.
2. Content Security Policy
Я бы на их месте его редактировал, добавляя конкретно их домен в доверенные.
Но вообще вопрос хороший. Думаю достаточно посмотреть на то, как они себя ведут на yandex.ru.
Там CSP заголовок как раз, запрещающий third-party.
Второй вариант, который приходит в голову: когда они видят CSP-заголовок, они могут инжектить скрипт с этого же домена. Тут где-то в комментариях был скриншот, где они для хабра это делали.
127.245.107.154 — localhost
Хм, на винде действительно так, подвело то, что я на маке проверял.
По стандарту, весь диапазон 127.0.0.0/8 должен идти на loopback-интерфейс.
На маке стандарт не выполняется или какая-то другая причина?
ping 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.050 ms
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.072 ms
ping 127.245.107.154
PING 127.245.107.154 (127.245.107.154): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
ping 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.050 ms
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.072 ms
ping 127.245.107.154
PING 127.245.107.154 (127.245.107.154): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Самое главное, это заголовок в стиле желтой прессы )))
Всем привет, этот специальный скрипт взаимодействия продукта с веб-страничками. Он инжектиться на все странички, которые посещает пользователь (HTTP и при наличии плагина — HTTPS).
Раньше были плагины / расширения, которые пользователи часто отключали. Для того, чтобы побороть данную проблему, придумали такой вот механизм взаимодействия Продукт <-> Браузер. Кстати, соединение, открываемое скриптом, заворачивается локально.
ЛК не сохраняет никакой пользовательской информации в инфраструктуре, читайте EULA и KSN-соглашение, там вроде все написано. Да и в справке есть упоминание.
Раньше были плагины / расширения, которые пользователи часто отключали. Для того, чтобы побороть данную проблему, придумали такой вот механизм взаимодействия Продукт <-> Браузер. Кстати, соединение, открываемое скриптом, заворачивается локально.
ЛК не сохраняет никакой пользовательской информации в инфраструктуре, читайте EULA и KSN-соглашение, там вроде все написано. Да и в справке есть упоминание.
Самое главное не написали — как отключить-то?
Сарказм он.
Зачем отключать :) Тут же все честно написали: решили бороться с пользователями, которые отключали плагины/расширения. Если это отключаемым сделать, опять будут отключать :)
Зачем отключать :) Тут же все честно написали: решили бороться с пользователями, которые отключали плагины/расширения. Если это отключаемым сделать, опять будут отключать :)
Так написано же, придумано специально чтобы побороть проблему отключения пользователями :-)
Проблему выявили, сейчас решаем, как поправить. Данная технология не должна привносить каких-либо изменений в страницы и не должна вносить изменения в полтики сайта, которые посещает пользователь, поэтому сейчас инжект отключить нельзя.
Активацию плагинов можно выключить в настройках Веб-антивируса.
Активацию плагинов можно выключить в настройках Веб-антивируса.
Сделать просто труднодоступную опцию для технарей-параноиков. Остальные пусть остаются в неведении)
У вас явно какая-то извращенная логика. Даже проверку файлов в антивирусе отключить можно, а этот вот js — нет. Интересны истинные мотивы ввода в эксплуатацию этой «технологии». И подписка на mail.ru у вашего профиля как бы намекает.
): Чем Вам моя подписка на Mail.ru не нравится? У них прикольные статьи были про обработку данных.
Мое личное мнение, что настроек вида «отключать инжект скриптов в веб-странички», «отключить защиту» и т.п. должны быть только для возможности траблшутинга. Т.к. в данном примере мы обсуждаем, что все работает — то зачем отключать-то?
Вот выше на форум ссылки привели — там да, есть проблемы.
Мое личное мнение, что настроек вида «отключать инжект скриптов в веб-странички», «отключить защиту» и т.п. должны быть только для возможности траблшутинга. Т.к. в данном примере мы обсуждаем, что все работает — то зачем отключать-то?
Вот выше на форум ссылки привели — там да, есть проблемы.
Раньше были плагины / расширения, которые пользователи часто отключали. Для того, чтобы побороть данную проблему, придумали такой вот механизм взаимодействия
Вот это вброс :)
Данный механизм взаимодействия был реализован для решения ряда проблем с браузерными плагинами, например, Chrome c версии 45 прекратил поддерживать NPAPI-плагины и запретил их, сильно связав руки разработчикам.
И вообще, это не USERID, опытным путем установлено, что гуид для одной версии у всех одинаковый.
У меня для Google Chrome такой же гуид, что и у юзера отсюда
Вы бы лучше проверяли то, что пишете.
У меня для Google Chrome такой же гуид, что и у юзера отсюда
Вы бы лучше проверяли то, что пишете.
Kaspersky Endpoint Security 10
Не наблюдаю вставок в код
Не наблюдаю вставок в код
А будто кто-то не знал, кто такой каспер и на кого он работает.
После этой новости от греха подальше удалил каспера. Видимо не зря.
Каспер?! На компьютере не обнаружен )
Ну покажите хоть один антивирус, не сливающий данные и имеющий столь же мощную защиту. Почитаю.
Sign up to leave a comment.
Kaspersky следит за вами, за ваши деньги