Все мы помним историю 2005 года с руткитом Sony, устанавливаемым в систему с музыкальных дисков. Жесткий прессинг в СМИ, коллективные иски, вмешательство Федеральной Торговой Комиссии США… История та обошлась Sony недешево, более чем в полмиллиарда долларов. Казалось бы, урок из этого должны были извлечь все производители…
Но, как провидчески тогда заметил Марк Руссинович, обнаруживший руткит, «Потребители не имеют никаких гарантий, что другие компании не решатся на подобное». Как же он был прав.
Итак, февраль 2011 года. Мухамед Хассан, недавний выпускник университета г. Норвича (Англия) по специальности «защита информации» и владелец фирмы NetSec Consulting, покупает в магазине новый ноутбук Samsung R525 и начинает его настраивать. После установки Оси и начальной настройки, он не бросается сразу ставитьОперы, аськи, и торрентыприкладной софт. Первым делом он ставит защитный пакет (неназванный) и запускает полное сканирование системы. К немалому его удивлению, обнаруживается кейлоггер StarLogger, живущий в папке С:\Windows\SL.
StarLogger — это коммерческий кейлоггер, который, помимо сайта разработчика, можно найти на разных файлопомойках и шароварных каталогах. Судя по описанию, он записывает все нажатия клавиш во всех окнах, включая поля с паролями. Логи регулярно отправляет на мыло; также может снимать и аттачить скриншоты. После боле тщательного исследования системы, Мухамед приходит к выводу, что зловред мог быть установлен только производителем. Видимо, не поверив в это до конца, он вычистил систему и продолжил пользоваться своим ноутбуком.
Однако через некоторое время появились проблемы с драйверами видео. Он, не долго думая, просто вернул ноут в магазин (неплохо, да?) и в другом магазине купил модельку постарше, R540. Ну, вы уже догадались, да? Тот же самый StarLogger в той же папке. Версию ложного срабатывания можно было смело отбросить, тем более что раньше используемый уже 6 лет сканер никогда не ошибался.
Погуглив немного на эту тему, Хассан нашел обсуждение годовалой давности, где народ жаловался на зависания при сканировании ноутбуков Samsung на руткиты. Но прямой связи со StarLogger в поисковиках не обнаружилось.
Хассан позвонил в саппорт Самсунга с намерением разобраться по-взрослому. Инцидент зарегистрирован за № 2101163379 (мотаем на ус, как надо начинать общение с саппортом). Вначале саппорт упорно отрицал (также как и Sony в свое время) возможность присутствия подобного софта на их ноутбуках. Однако после того, как им медленно и внятно объяснили, что программа обнаружена в одном и том же месте, на двух ноутбуках двух разных моделей, купленных в разных местах, они сменили тактику и стали переводить стрелки на Microsoft. «Мы только производим железо, а весь софт от Microsoft, к ним и обращайтесь». После новой серии препирательств, поняв, что разозленный клиент это чревато, саппорт первой линии сдался и перевел инцидент на старшего.
Старший вначале и сам не мог понять, как эта программа могла оказаться на новом ноутбуке, и попросил Мухамеда повисеть немного. Затем он подтвердил, что да, Самсунг сознательно установил эту программу на ноутбук для того, чтобы, как он выразился, «следить за производительностью машины и понимать, как она используется». Другими словами, Самсунг захотел собирать данные об использовании ноутбука без получения согласия на это владельца.
По сравнению с Sony, руткит которой ставился в систему с музыкального диска, купленного отдельно, Самсунг пошел еще дальше и ставит свой кейлоггер прямо на заводе. Ждет ли его такая же волна коллективных исков? Другие производители непременно будут с интересом следить за развитием событий.
Перед публикацией этой информации в Network World редакция связалась с тремя представителями PR службы Самсунга и попросила комментариев. За неделю, данную им на ответ, не ответил никто.
via Network World
P.S. Ну что, владельцы R525, R540 да и вообще Самсунгов, отчитываемся в комментах. :)
UPDATE:
PCWorld сообщает, что Самсунг все-таки ответил в лице Jason Redmond, что компания расследует заявления Хассана. «Мы относимся к этим заявлениям очень, очень серьезно» — заявил он. Ранее ему не было известно ни об этой проблеме, ни о компании Willebois Consulting, разработчике кейлоггера.
UPD2:
Появился некий комментарий www.samsungtomorrow.com/1071, который англоязычные блогеры уже цитируют как официальный ответ Samsung (ресурс согласно whois принадледит не Самсунгу)
Папка же якобы содержит мультиязычные ресурсы для словенского языка (SL). Аналогичные папки могут создаваться и для других языков (EN, KO и т.д.)
Написал Хассану, попросил подробностей.
UPD3:
Кажется уже все, писавшие об этом ранее, опровергли версию с кейлоггером. Кроме самого Самсунга и нашего героя Хассана. Даже представитель GFI (производителя VIPRE) в своем блоге извинился за ложное срабатывание и пояснил, как это произошло. Эта эвристика (путь) для детекта StarLogger была включена в продукт еще в те лохматые времена, когда Windows Live приложений с их мультиязычностью еще в помине не было, и папку SL в %SystemRoot% посчитали достаточным признаком, так как иначе ей там неоткуда было взяться. А потом появился Windows Live, Самсунг стал его предустанавливать, да еще со всеми языками,… дальше вы знаете.
Что ж, интрига была напряженной, разоблачение состоялось, можно расходиться.
Но, как провидчески тогда заметил Марк Руссинович, обнаруживший руткит, «Потребители не имеют никаких гарантий, что другие компании не решатся на подобное». Как же он был прав.
Итак, февраль 2011 года. Мухамед Хассан, недавний выпускник университета г. Норвича (Англия) по специальности «защита информации» и владелец фирмы NetSec Consulting, покупает в магазине новый ноутбук Samsung R525 и начинает его настраивать. После установки Оси и начальной настройки, он не бросается сразу ставить
StarLogger — это коммерческий кейлоггер, который, помимо сайта разработчика, можно найти на разных файлопомойках и шароварных каталогах. Судя по описанию, он записывает все нажатия клавиш во всех окнах, включая поля с паролями. Логи регулярно отправляет на мыло; также может снимать и аттачить скриншоты. После боле тщательного исследования системы, Мухамед приходит к выводу, что зловред мог быть установлен только производителем. Видимо, не поверив в это до конца, он вычистил систему и продолжил пользоваться своим ноутбуком.
Однако через некоторое время появились проблемы с драйверами видео. Он, не долго думая, просто вернул ноут в магазин (неплохо, да?) и в другом магазине купил модельку постарше, R540. Ну, вы уже догадались, да? Тот же самый StarLogger в той же папке. Версию ложного срабатывания можно было смело отбросить, тем более что раньше используемый уже 6 лет сканер никогда не ошибался.
Погуглив немного на эту тему, Хассан нашел обсуждение годовалой давности, где народ жаловался на зависания при сканировании ноутбуков Samsung на руткиты. Но прямой связи со StarLogger в поисковиках не обнаружилось.
Хассан позвонил в саппорт Самсунга с намерением разобраться по-взрослому. Инцидент зарегистрирован за № 2101163379 (мотаем на ус, как надо начинать общение с саппортом). Вначале саппорт упорно отрицал (также как и Sony в свое время) возможность присутствия подобного софта на их ноутбуках. Однако после того, как им медленно и внятно объяснили, что программа обнаружена в одном и том же месте, на двух ноутбуках двух разных моделей, купленных в разных местах, они сменили тактику и стали переводить стрелки на Microsoft. «Мы только производим железо, а весь софт от Microsoft, к ним и обращайтесь». После новой серии препирательств, поняв, что разозленный клиент это чревато, саппорт первой линии сдался и перевел инцидент на старшего.
Старший вначале и сам не мог понять, как эта программа могла оказаться на новом ноутбуке, и попросил Мухамеда повисеть немного. Затем он подтвердил, что да, Самсунг сознательно установил эту программу на ноутбук для того, чтобы, как он выразился, «следить за производительностью машины и понимать, как она используется». Другими словами, Самсунг захотел собирать данные об использовании ноутбука без получения согласия на это владельца.
По сравнению с Sony, руткит которой ставился в систему с музыкального диска, купленного отдельно, Самсунг пошел еще дальше и ставит свой кейлоггер прямо на заводе. Ждет ли его такая же волна коллективных исков? Другие производители непременно будут с интересом следить за развитием событий.
Перед публикацией этой информации в Network World редакция связалась с тремя представителями PR службы Самсунга и попросила комментариев. За неделю, данную им на ответ, не ответил никто.
via Network World
P.S. Ну что, владельцы R525, R540 да и вообще Самсунгов, отчитываемся в комментах. :)
UPDATE:
PCWorld сообщает, что Самсунг все-таки ответил в лице Jason Redmond, что компания расследует заявления Хассана. «Мы относимся к этим заявлениям очень, очень серьезно» — заявил он. Ранее ему не было известно ни об этой проблеме, ни о компании Willebois Consulting, разработчике кейлоггера.
UPD2:
Появился некий комментарий www.samsungtomorrow.com/1071, который англоязычные блогеры уже цитируют как официальный ответ Samsung (ресурс согласно whois принадледит не Самсунгу)
Завления о том, что Samsung устанавливает кейлоггер на ноутбуки R525 и R540, ложны.
Наши результаты показывают, что товарищ из статьи использовал VIPRE, который при сканировании ошибочно принял папку, созданную Microsoft Live Application за кейлоггер.
Скрин результатов VIPRE после создания пустой папки SL.
Папка же якобы содержит мультиязычные ресурсы для словенского языка (SL). Аналогичные папки могут создаваться и для других языков (EN, KO и т.д.)
Написал Хассану, попросил подробностей.
UPD3:
Кажется уже все, писавшие об этом ранее, опровергли версию с кейлоггером. Кроме самого Самсунга и нашего героя Хассана. Даже представитель GFI (производителя VIPRE) в своем блоге извинился за ложное срабатывание и пояснил, как это произошло. Эта эвристика (путь) для детекта StarLogger была включена в продукт еще в те лохматые времена, когда Windows Live приложений с их мультиязычностью еще в помине не было, и папку SL в %SystemRoot% посчитали достаточным признаком, так как иначе ей там неоткуда было взяться. А потом появился Windows Live, Самсунг стал его предустанавливать, да еще со всеми языками,… дальше вы знаете.
Что ж, интрига была напряженной, разоблачение состоялось, можно расходиться.
