Casa Securitywatch Cosa sa di te la tua suite di sicurezza?

Cosa sa di te la tua suite di sicurezza?

Video: Subway Surfers Официальный трейлер 💕 Subway Surfers Геймплей на ПК в HD 2 (Novembre 2024)

Video: Subway Surfers Официальный трейлер 💕 Subway Surfers Геймплей на ПК в HD 2 (Novembre 2024)
Anonim

Hai installato quella suite di sicurezza per proteggere il tuo computer e la tua privacy, ma cosa segnala al suo creatore? La tua stessa suite potrebbe essere un rischio per la sicurezza? Un paio di riviste di computer tedesche hanno commissionato a AV-Comparatives di scoprirlo. I loro risultati sono ora disponibili al pubblico e il rapporto rende la lettura interessante.

Origine dei dati

Per iniziare, i ricercatori hanno caricato 21 popolari suite di sicurezza sui PC di prova e hanno analizzato il loro traffico di rete, osservando esattamente quali dati sono stati inviati. Il rapporto rileva che "in alcuni casi" i dati erano crittografati, quindi non potevano leggerli. È come dovrebbe essere, ma implica che in altri casi i dati non sono stati crittografati. Purtroppo, il rapporto non identifica quali fossero.

Hanno inoltre esaminato il Contratto di licenza con l'utente finale (EULA) e l'informativa sulla privacy fornita con ciascun prodotto. Questi documenti dovrebbero indicare esattamente quali dati il ​​programma potrebbe inviare al suo creatore.

Come ultimo passo, hanno inviato un questionario dettagliato a ciascun fornitore, sebbene abbiano dato alle altre due fonti di dati un peso maggiore rispetto ai risultati del questionario. Il rapporto rileva che in alcuni casi i venditori non hanno risposto a domande particolari, per vari motivi. "Comprendiamo che troppa trasparenza potrebbe essere utile per i criminali", ha osservato il rapporto. "Accettiamo quindi che i fornitori non possano fornirci alcuna informazione che possa compromettere la sicurezza."

Cosa condividono

Esistono molte variazioni nella quantità e nel tipo di informazioni condivise dai vari fornitori. Tutti necessariamente condividono la versione del prodotto, al fine di rimanere aggiornati, ed è perfettamente ragionevole. Quasi tutti assegnano a ciascuna installazione un identificatore univoco, in modo che possano aggregare informazioni da una macchina specifica senza necessariamente identificare l'utente.

Eppure, le informazioni di sistema condivise da molti dei prodotti potrebbero identificare l'utente. Quasi la metà dei prodotti condivide il nome utente di Windows, che in molti casi è il nome completo dell'utente. Ben oltre la metà trasmette il nome del computer. Hmm, forse non avrei dovuto nominare il mio "Neil's Computer".

Molte funzioni di sicurezza devono inviare ulteriori informazioni sull'utilizzo del computer. Un prodotto le cui funzionalità includono un controllo delle vulnerabilità invierà necessariamente i numeri di versione dei programmi di terze parti installati, ad esempio. I componenti di protezione del phishing e controllo parentale possono trasmettere tutti gli URL visitati. E qualsiasi antivirus che includa un componente di rilevamento basato su cloud dovrà inviare hash di file o, in alcuni casi, interi file sospetti.

Domande brucianti

È ipotizzabile che un fornitore di sicurezza potrebbe essere richiesto dalle agenzie governative di consegnare i dati raccolti su un determinato utente. Giurisdizioni diverse hanno leggi diverse in questo settore, quindi sapere dove sono archiviati i dati può essere abbastanza importante. Nove dei fornitori testati archiviano i loro dati nell'Unione Europea, sette negli Stati Uniti. L'UE ha leggi sulla privacy più rigorose, quindi questo è significativo. Ce n'era anche uno in Russia (Kaspersky) e uno in Corea del Sud (AhnLab). Tre fornitori hanno rifiutato di dichiarare dove sono archiviati i loro dati.

Ecco qualcosa a cui non avevo pensato. È ipotizzabile che, in virtù di un ordine del tribunale, un fornitore possa essere costretto a consegnare un aggiornamento "speciale" a specifici ID utente, forse per monitorare i sospetti terroristi. 13 dei venditori hanno detto di no, non lo fanno mai. Il resto ha rifiutato di rispondere, il che è leggermente snervante.

In verità, la tua suite di sicurezza deve assolutamente inviare un bel po 'di informazioni alla sua base per poter fare il suo lavoro. Il rapporto offre tutti i dettagli sulla raccolta dei dati di ciascun fornitore. Il mio più grande asporto è che dovresti effettivamente leggere l'EULA e l'informativa sulla privacy per la tua suite di sicurezza e annullare la raccolta di dati che non è richiesta per la sicurezza. Per semplificare il controllo degli EULA, il rapporto si conclude con i collegamenti EULA per i fornitori che li rendono disponibili online.

Cosa sa di te la tua suite di sicurezza?