«Лаборатория Касперского» раскроет исходный код своих антивирусов
«Мы должны восстановить доверие в отношениях между компаниями, правительствами и гражданами», – объясняет КасперскийЧтобы подтвердить прозрачность работы, «Лаборатория Касперского» в I квартале 2018 г. раскроет независимым экспертам код своих программных продуктов, сообщила компания. Они проверят целостность и надежность ее продуктов и бизнес-процессов, а также проанализируют исходный код обновлений и правил распознавания угроз. Сперва экспертам предложат изучить самые распространенные продукты компании – Kaspersky Internet Security и Kaspersky Endpoint Security for Business. Кроме того, «Лаборатория Касперского» намерена платить независимым исследователям до $100 000 за обнаружение уязвимостей – это так называемая программа bug bounty.
Весной стало известно, что США подозревают «Лабораторию Касперского» в связях с российскими спецслужбами. В мае на открытых слушаниях в сенате шести руководителям американских силовых ведомств был задан вопрос, допустимо ли использование продуктов «Лаборатории Касперского». Руководители единодушно дали отрицательный ответ. В начале сентября администрация президента США Дональда Трампа предписала чиновникам удалить любой софт «Лаборатории Касперского».
«...Мы должны восстановить доверие в отношениях между компаниями, правительствами и гражданами. <...> Мы хотим продемонстрировать, что мы полностью открыты. Нам нечего скрывать. Я рассчитываю, что с помощью таких шагов мы сможем преодолеть любые проявления недоверия и продолжим успешно защищать людей по всему миру от киберугроз», – приводятся в сообщении компании слова основателя, Евгения Касперского.
Анализ кода – посильная задача. Команда из 10 человек может проанализировать код антивируса примерно за два месяца, считает руководитель направления Solar inCode (анализ безопасности приложений) компании Solar Security Даниил Чернов.
Продукт «Лаборатории Касперского» и подобные ему состоят из двух частей: ядра и обновлений, и анализ исходного кода ядра (серверной и клиентской частей) может занять несколько месяцев, солидарен с ним вице-президент холдинга Infowatch Рустем Хайретдинов. Обновления же выпускаются ежедневно, даже несколько раз в день, и здесь нужно онлайн-тестирование, считает он.
По словам Чернова, анализ исходного кода позволяет выявить все уязвимости и закладки, если они есть в программном продукте. Хотя всегда есть шанс что-то проглядеть, но, если анализ делают профессионалы, вероятность не найти закладку стремится к нулю, рассуждает Чернов.
Хайретдинов уверен, что возможность спрятать закладку так, что ее никогда не найдешь, – это миф. А специально заложенные уязвимости Хайретдинов называет большим риском для репутации разработчика.