מה חבילת האבטחה שלך יודעת עליך?

התקנת את חבילת האבטחה הזו כדי להגן על המחשב שלך ועל פרטיותך, אבל בדיוק מה הוא מדווח ליצרן שלה? האם הסוויטה שלך עצמה יכולה להיות סיכון ביטחוני? זוג מגזיני מחשבים גרמנים הזמינו את AV-Comparatives לברר זאת. תוצאותיהן זמינות כעת לציבור, והדוח מציג קריאה מעניינת.

מקורות מידע

ראשית, החוקרים העמיסו 21 סוויטות אבטחה פופולריות למחשבי בדיקה וניתחו את תעבורת הרשת שלהן, ובחנו רק את הנתונים שנשלחו. הדו"ח מציין כי "בחלק מהמקרים" הנתונים הוצפנו, כך שלא יכלו לקרוא אותם. זה כמו שצריך, אבל זה מרמז שבמקרים אחרים הנתונים לא הוצפנו. למרבה הצער, הדו"ח אינו מזהה אילו היו.

הם גם עיינו בהסכם הרישיון למשתמש הקצה (EULA) ומדיניות הפרטיות המסופקת לכל מוצר. על מסמכים אלה לפרט בדיוק אילו נתונים התוכנית עשויה לשלוח חזרה ליצרן.

כצעד אחרון הם שלחו שאלון מפורט לכל ספק, אם כי הם נתנו לשני מקורות הנתונים האחרים משקל רב יותר מתוצאות השאלון. הדו"ח מציין כי בחלק מהמקרים הספקים לא ענו על שאלות מסוימות, מסיבות שונות. "אנו מבינים ששקיפות רבה מדי עשויה להועיל לפושעים", ציין הדו"ח. "לפיכך אנו מקבלים כי ספקים אינם יכולים לספק לנו כל מידע שעלול לפגוע באבטחה."

מה הם חולקים

יש די וריאציה רבה בכמות ובסוג המידע המשותף לספקים השונים. כולם בהכרח חולקים את גרסת המוצר, כדי להישאר מעודכנים, וזה סביר בהחלט. כמעט כולם מקצים לכל התקנה מזהה ייחודי, כך שהם יכולים לצבור מידע ממכונה ספציפית מבלי בהכרח לזהות את המשתמש.

ובכל זאת, מידע המערכת המשותף לרבים מהמוצרים עשוי בהחלט לזהות את המשתמש. כמעט מחצית מהמוצרים חולקים את שם המשתמש של חלונות, שבמקרים רבים הוא שמו המלא של המשתמש. יותר ממחצית משדרים את שם המחשב. הממ, אולי לא הייתי צריך לקרוא לשלי "המחשב של ניל".

פונקציות אבטחה רבות חייבות לשלוח מידע נוסף על השימוש במחשב שלך. מוצר שתכונותיו כוללות בודק פגיעות ישלח בהכרח את מספרי הגרסאות של תוכניות צד שלישי המותקנות, למשל. רכיבי הגנת דיוג ורכיבי בקרת הורים עשויים להעביר כל כתובת אתר שאתה מבקר בה. וכל אנטי-וירוס הכולל רכיב איתור מבוסס ענן יצטרך לשלוח hash קבצים, או במקרים מסוימים, קבצים שלמים החשודים.

שאלות בוערות

ניתן להעלות על הדעת כי על ידי סוכנויות ממשלתיות לחייב ספק אבטחה להעביר את הנתונים שאספו למשתמש מסוים. לתחומי שיפוט שונים יש חוקים שונים בתחום זה, ולכן הידיעה היכן מאוחסנים הנתונים יכולה להיות חשובה למדי. תשעה מהספקים שנבדקו מאחסנים את הנתונים שלהם באיחוד האירופי, שבעה בארצות הברית. לאיחוד האירופי יש חוקי פרטיות מחמירים יותר, כך שזה משמעותי. היה גם אחד ברוסיה (קספרסקי) ואחד בדרום קוריאה (AhnLab). שלושה ספקים סירבו לציין היכן מאוחסנים הנתונים שלהם.

הנה משהו שלא חשבתי עליו. ניתן להעלות על הדעת כי על פי צו בית משפט ניתן יהיה לכפות על ספק לספק עדכון "מיוחד" למזהי משתמש ספציפיים, אולי כדי לפקח על חשודים בטרור. 13 מהספקים אמרו שלא, הם אף פעם לא עושים זאת. השאר סירבו לענות, וזה מעט לא מרגיז.

למען האמת, חבילת האבטחה שלך צריכה בהחלט לשלוח לא מעט מידע חזרה לבסיס הבית שלה כדי לעשות את העבודה שלה. הדוח מציע פרטים מלאים על אוסף הנתונים של כל ספק. התשלום הגדול ביותר שלי הוא שאתה באמת צריך לקרוא את ה- EULA ומדיניות הפרטיות של חבילת האבטחה שלך, ולבטל את הסכמתך לאיסוף נתונים שאינו נדרש לאבטחה. כדי להפוך את בדיקת ה- EULA לפשוטות, הדו"ח מסתיים בקישורי EULA עבור הספקים שהופכים את אלה לזמינים ברשת.