Allt du skulle vilja veta om Antivirus och insamling av data, men varit för skraj att fråga om

Cyberpolitik, Säkerhet & integritet

Om du har följt det geopolitiska läget på sistone så kanske du sett nyhetsbevakningen om stormen kring Kaspersky. Det ryska antivirusföretaget har besvarat anklagelser att de samlat in topphemliga NSA-dokument från en kunds dator och delat med sig av dem till rysk underrättelsetjänst. Kaspersky vidhåller sin oskuld och säger att insamlingen av dokumenten var en del av det vanliga säkerhetsarbetet och att filerna sedermera togs bort från systemen.

Ärendet har dock gett en del ringar på vattnet och gett upphov till en bredare diskussion om antivirus i allmänhet. Vi har besvarat en hel del frågor själva. Varför samlar antivirus in filer från användarnas datorer? Vad händer med dessa filer? Hur skyddas informationen som skickas?

Vi ställde en hel del av dessa frågor till vår forskningschef Mikko Hyppönen i det allra första avsnittet av vår nya podcast, Cyber Security Sauna. Missa inte att höra Mikko förklara hur och varför vi hanterar data och filer från våra användare, och varför det är så viktigt att hitta en cybersäkerhetsleverantör du kan lita på.

https://www.f-secure.com/en/web/business_global/our-approach/cyber-security-sauna

Utöver detta tänkte vi dela med oss av de vanligaste frågorna vi får om detta, och självklart även hur vi svarar på dem:

Varför skickas det ens filer från användarens dator till antivirus-leverantören?

Det är så de flesta antivirusprogram fungerar idag. De delar av säkerhetsprogrammet som finns på användarens dator klarar av att utföra tämligen avancerad analys av skadlig kod. Men djupanalys kräver att man gör saker som att man medvetet triggar den skadliga koden i en kontrollerad miljö. Sådant går inte att göra i användarens miljö.

I korthet fungerar det så här: Om vår mjukvara upptäcker ett misstänkt nytt hot, skadlig kod som vi inte sett tidigare, på användarens enhet – och om vår mjukvara inte kan komma fram till om filen är skadlig eller ej på egen hand – så kan den skickas upp som ett prov till vår molntjänst.

Molntjänsten erbjuder bättre och snabbare skydd eftersom den, så fort den fastställt att den misstänkta filen faktiskt är skadlig, omedelbart kan skydda samtliga användare och anslutna klienter.

Hur säkrar vi de filer som laddas upp från användarnas enheter?

Kryptering. Vi använder HTTPS med så kallad ”certificate pinning” för att skydda från man-in-the-middle-attacker. Och vi anonymiserar allt. Så även om vi får en fil så har vi ingen aning om vems maskin den kommer från. Alla förfrågningar gällande filer (hashar) eller URL-baserad ryktesanalys till vårt ”security cloud” är också krypterade och anonymiserade.

Vilka filer och vilken information delas från användaren till våra tjänster?

Det beror lite på vilken produkt som används och vilka inställningar man har. Du kan hitta mer information om vilken information som samlas in i det här dokumentet (Data Declaration Document). Du kan också läsa våra principer gällande personlig integritet.

Om vi utgår från att användaren har våra allra senaste lösningar med rätt inställningar och därmed drar maximal nytta av vårt ”security cloud” så handlar det om följande:

  • Metadata från utförda analyser av kod som exekverats på enheten (skickas bara under särskilda omständigheter, och bara om mjukvaran upptäckt något misstänkt)
  • Data om filers utbredning (en räknare i våra system uppdateras varje gång en hash på en fil efterfrågas)
  • Okända misstänkta/skadliga URLer. Dessa normaliseras (personlig information tas bort från strängen). URL lookup sköts på en hash av denna normaliserade sträng.
  • I särskilda omständigheter laddas misstänkta eller skadliga exekverbara filer upp till vårt säkerhetsmoln för vidare analys.
  • Prover som skickas manuellt av våra användare över webben.

Vi får INTE tillgång till:

  • Någon som helst information som skulle göra det möjligt för oss att identifiera vilken användare eller vilken enhet data eller filer kommer från. Vi vet alltså inte vilka filer som kommer från vilken användare, vilka användare som kört vilka exekverbara filer eller vilka URLer som besökts av olika användare.
  • Någon data som vi inte behöver för att bättre kunna skydda våra kunder. Information som inte är relevant för att skydda kunder samlas antingen inte in, eller tas bort så snart som möjligt.

Vi normaliserar och anonymiserar så mycket information som möjligt på klientsidan innan den skickas in till våra system.

Vad händer när en fil skickas in för analys?

Filer som laddas upp för analys behandlas först i en molnbaserad virtuell miljö. I de flesta fall så räcker det för att avgöra om det inskickade provet är skadligt eller ej. Det beslutet skickas sedan tillbaka till klienten. Där och då tas provet bort från våra system. Om analysen i molnet inte ger något definitivt besked så kan det insamlade provet skickas vidare för vidare analys. I dessa fall så sparar vi provet i våra system under en begränsad tid, medan den analyseras. Alla filer som kommer till våra system på det här sättet flaggas som ”konfidentiell” som tvingar på restriktiva regler för tillgång och förhindrar att provet delas med andra system. När analysen är avklarad så tas filen bort.

Vilken typ av filer samlas in från användare?

Det är bara exekverbara filer som skickas in för vidare analys på det här sättet.

Delar vi kopior av dessa filer med VirusTotal, polismyndigheter eller underrättelsetjänster?

Alla filer som skickas in från våra användare kategoriseras som konfidentiella, vilket betyder att vi inte delar med oss av dem till någon. Det enda tillfället när en fil flyttas till en annan kategori är om vi konstaterar att den även finns ute i det vilda – att den inte är unik och bara finns hos den användare som skickat in den.

Vi skickar inte in filer till VirusTotal. Vi delar med oss av prover till betrodda partners, men bara i de fall där vi inte klassificerat dem som konfidentiella. Det är polismyndigheter och andra rättsinstanser som delar med sig av filer till oss, för att få hjälp med analys, inte vi som delar med oss till dem. Vi delar en del information om hotläget med organisationer som CERT-FI (exempelvis information om C&C-servrar, information och analys om skadlig kod som riktar in sig på specifika måltavlor i landet) och den informationen kan sedan delas vidare till rätt polismyndighet. I korthet, vi delar med oss av information, inte insamlade prover. Det kan hända att vi får in förfrågningar om det, men vi delar bara med oss av sådant som konstaterats vara icke-konfidentiellt.

Går det för användare att välja bort detta, att inte dela med sig av misstänkta filer? Är det en opt-in eller en opt-out?

Att installera våra produkter innebär till viss del att man väljer att ”opt-in”, men vi är noggranna att dela med oss av våra riktlinjer för personlig integritet. Våra molntjänster går att välja bort, men det gör också att våra produkter inte blir lika effektiva i att stoppa hot. I korthet handlar det om en ”opt-in” på antivirusprogrammet, men kan välja att ”opt-out” för vissa specifika tjänster. Vi erbjuder dessutom en möjlighet att ”opt-out” gällande insamling av data för vår gratisscanner.

Relaterade länkar, om vår teknologi och våra processer:

https://www.f-secure.com/en/web/legal/principles

https://www.f-secure.com/en/web/legal/privacy/services

https://www.f-secure.com/en/web/legal/privacy/security-cloud

https://www.f-secure.com/documents/996508/1030745/deepguard_whitepaper.pdf

https://www.f-secure.com/documents/996508/1030745/security_cloud.pdf

https://www.f-secure.com/documents/996508/1030751/IS2014+Data+transfer+declaration.pdf

Betygsätt den här artikeln

1 röster

1 kommentarer

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

Du kanske också gillar

%d bloggare gillar detta: