Svaki paket bezbednosnih programa šalje podatke nazad u svoju matičnu bazu kako bi proverio da li postoje zlonamerni programi i zaštitio vas od njih. Ipak, iznenadili biste se kad biste znali koliko drugih informacija antivirusni programi prikupljaju i dele.
Svrha instaliranja i održavanja antivirusnog ili bezbednosnog paketa je zaštita vaše privatnosti, identiteta i uređaja. Svakako bi bilo veoma čudno kad bi se pokazalo da taj antivirusni program predstavlja opasnost po bezbednost. Prema podacima testiranja koje je obavila kompanija AV-Comparatives, antivirusni program mora da zna mnogo o vašem računaru da bi vas zaštitio, od imena računara do veb-stranica koje posećujete. Da li je vaša bezbednost ugrožena zbog toga? Odgovor je komplikovan.
Koje podatke prikuplja antivirusni program?
Gore spomenuti testovi kompanije AV-Comparative, obuhvatili su 20 popularnih antivirusnih aplikacija. Lista vam je sigurno poznata: Avast, Avira, Bitdefender, eScan, ESET, F-Secure, G Data, K7, Kaspersky, Malwarebytes, McAfee, Microsoft, Norton, Panda, Sophos, TotalAV, Total Defense, Trend Micro, VIPRE i Webroot. Pregledaćemo antivirusne i bezbednosne aplikacije svih tih kompanija osim kompanije Kaspersky, jer je američka vlada zabranila novu prodaju Kaspersky bezbednosnih proizvoda. Zbog toga ih nećemo više ocenjivati niti preporučivati.
Samo da napomenemo da nismo uneli antivirusni paket AVG AntiVirus Free. Avast je kupio AVG, 2016. godine i koristili su isti antivirusni mehanizam dugi niz godina.
Istraživači su svaku bezbednosnu aplikaciju ocenili na osnovu pet kriterijuma: prikupljanje podataka, deljenje podataka, pristupačnost, kontrola softvera i procesa i otvorenost. Prva dva kriterijuma možemo empirijski testirati, posebno deljenje podataka.
Pre samog postupka procene, instalirali su svaku aplikaciju na test računar koji je bio opremljen za praćenje mreže. Zatim su testirali antivirus i analizirali koje informacije je preneo nazad kompaniji koja ga je napravila. Pregledali su i svaki Ugovor o licenciranju sa krajnjim korisnikom (End User License Agreement – EULA) kako bi utvrdili da li jasno identifikuje podatke koje će poslati i koji podaci su obuhvaćeni.
Pored empirijskih dokaza prikupljenih ispitivanjem mrežnog saobraćaja i pregledom EULA-e, poslali su svakoj bezbednosnoj kompaniji detaljan upitnik kako bi prikupili više detalja. Ako se navedene politike kompanije nisu poklopile sa onim što je otkrila analiza mreže, antivirusni softver je dobio nižu ocenu.
Kompanije su navele bezbednosne razloge zbog kojih nisu odgovorile na neka od pitanja. „Shvatamo da bi previše transparentnosti moglo da bude korisno za kriminalce“, navodi se u izveštaju. „Zbog toga prihvatamo da nam dobavljači ne mogu dati one informacije koje bi mogle da ugroze bezbednost.“
Studija je istakla da ne postoji jednostavan način da se izbegne prikupljanje podataka, kao što su podaci o kreditnoj kartici za plaćanje i licenciranju. Dakle, što manje podataka antivirusni softver prikuplja, to dobija veću ocenu u domenu prikupljanja podataka.
Kompanije su dobile posebnu ocenu za deljenje podataka na osnovu metoda postupanja sa prikupljenim podacima. Ako postoji korišćenje podataka za ciljane oglase ili njihova prodaja trećim stranama, softver dobija nižu ocenu, ali deljenje uzoraka potencijalnog zlonamernog softvera moglo bi da koristi celoj zajednici.
Da li antivirusni program koji koristim deli podatke sa drugima?
Postoje značajne razlike u količini i vrsti podataka koje različiti antivirusni programi dele sa svojim kompanijama. Svi nužno dele verziju proizvoda da bi ostali u toku, i to je sasvim razumno. Skoro svi dodeljuju jedinstveni identifikator svakoj instalaciji kako bi mogli da prikupljaju informacije sa određenog uređaja, ali nemaju potrebu da identifikuju korisnika.
Međutim, ispostavilo se da sistemske informacije koje mnoge aplikacije dele mogu da identifikuju korisnika, što nekima može biti neprihvatljivo. U nekim slučajevima, detalji o licenciranju obuhvataju puno ime korisnika. Čak i kada to nije slučaj, većina deli korisničko ime u Windows-u, koje može biti puno ime korisnika. Mnoge bezbednosne aplikacije prenose naziv računara kako bi lakše upravljale licenciranjem.
Antivirusni program čije karakteristike obuhvataju proveru ranjivosti obavezno će poslati brojeve verzija instaliranih programa nezavisnih proizvođača. Komponente zaštite od „pecanja“ i roditeljske kontrole mogu da prenesu svaki URL koji posetite. Svaki antivirus koji obuhvata komponentu za otkrivanje zasnovanu na oblaku moraće da pošalje heševe datoteka ili, u nekim slučajevima, cele datoteke za koje sumnjaju da su zlonamerni softver. Da, to može da obuhvati lične dokumente.
Da li antivirusni program koji koristim štiti moje lične podatke?
Naravno, važno je i da znamo koje podatke prikuplja kompanija čiji je antivirusni program i kako te podatke koristi. Tim za testiranje je ocenio kompanije i prema tome koliko dobro kontrolišu podatke koje prikupljaju i koliko je lako korisnicima da saznaju sve o postupcima koje koriste.
Kompanija koja koristi jasan jezik u EULA i politici privatnosti dobija odličnu ocenu za pristupačnost. Ako postoji odeljak u kojem se nalaze često postavljana pitanja i gde se jasno objašnjava koji podaci se prikupljaju i zašto su potrebni takođe utiče na davanje ocene. Kompanije koje su popunile upitnik (skoro tri četvrtine njih) dobile su bodove za transparentnost, što više odgovora, to više bodova. Ako je postojala mogućnost da nezavisne komisije obave reviziju, ocena je bila veća.
Konačno, postoji kriterijum pod nazivom kontrola softvera i procesa. Nije važno koliko je kompanija jasna, pažljiva i otvorena u pogledu rukovanja ličnim podacima ako loša praksa partnera treće strane otkrije te podatke. Istraživači su takođe razmotrili bezbednost usluga nezavisnih kompanija za skladištenje podataka u oblaku. Kompanije koje ohrabruju korisnike da im ukažu na greške u bezbednosnom programu, dobile su još veću ocenu.
Vlade mogu da vam narušavaju privatnost
Potpuno je moguće da se kompanija koja je kreirala antivirusni program suoči sa zahtevima vladinih agencija da preda podatke koje je prikupila o određenom korisniku. Različite jurisdikcije imaju različite zakone u toj oblasti, tako da saznanje gde se podaci čuvaju može biti veoma važno. Konkretno, stroga zaštita privatnosti Opšte uredbe o zaštiti podataka o ličnosti (General Data Protection Regulation – GDPR) ne primenjuje se samo na podatke koji se čuvaju u EU, već se primenjuje i na podatke o stanovnicima EU gde god da se čuvaju.
Devet kompanija koje su bile testirane odlučile su da ne otkriju lokaciju svojih servera. Od onih koje su odgovorile, tri imaju servere samo u EU, pet u EU i SAD, a dve u SAD i Indiji. Kaspersky, kaže da čuva podatke u EU, Kanadi, SAD i Rusiji.
Državna agencija bi čak mogla da naredi kompaniji da isporuči „posebno” lažno ažuriranje određenih korisničkih ID-ova, možda da bi špijunirala osumnjičene za terorizam. Kompanija eScan sa sedištem u Indiji je rekla da to radi, kao i McAfee i Microsoft. Još 11 je izjavilo da nikada ne šalju tu vrstu ciljanih ažuriranja. Ostale su odbile da odgovore, što je pomalo uznemirujuće.
Koji antivirusni programi najbolje štite privatnost?
Nakon utvrđivanja svih pojedinačnih ocena, tim za testiranje je izveo i konačnu, odnosno, od jedne do pet zvezdica. Nijedna kompanija nije dostigla savršenih pet zvezdica, ali Bitdefender, ESET, F-Secure, G Data i Kaspersky su uspeli da dobiju 4,5 zvezdica.
K7 i Vipre su dobro prošle, jer su osvojile četiri zvezdice. Ostale kompanije koje su učestvovale u testiranju dobile su tri zvezdice, što govori da moraju da poboljšaju zaštitu podataka svojih korisnika. U toj grupi su Avast, Avira, eScan, McAfee, Norton, Panda i Webroot.
Pažljivi čitaoci mogli su da primete da smo gore naveli samo 14 kompanija, a ne 20 koje su ocenjivane. Preostalih šest kompanija su odlučile da ne učestvuju. Pošto nisu popunile upitnik, istraživači nisu mogli da završe procenu. Tih šest (Malwarebytes, Microsoft, Sophos, Total Defense, TotalAV i Trend Micro) dobile su četiri boda za brigu o deljenju podataka, ali većina njihovih ostalih pojedinačnih rezultata se kretala od nula do tri. Sve u svemu, svaka od njih je dobila po jednu zvezdicu.
Da li treba da budete zabrinuti zbog antivirusnog programa?
Nema sumnje da antivirusni ili bezbednosni paket treba da pošalje neke informacije nazad u svoju matičnu bazu, ali neki šalju i više nego što je neophodno. Prvo, detaljno pročitajte ceo izveštaj o načinu prikupljanja podataka svake kompanije. Zatim otvorite podešavanja za antivirus i isključite bilo kakvo prikupljanje podataka koje nije neophodno da bi se povećala bezbednost. Pažljivo pročitajte EULA i politiku privatnosti za aplikaciju. Uzmite u obzir i ocenu koju je dobila kompanija čiji antivirusni program koristite. Ako je potrebno, promenite antivirusni program.
Nemojte da brinete, jer loše ponašanje bezbednosnih kompanija je mnogo bezazlenije od invazivnih programa koji aktivno prikupljaju podatke za sopstvenu korist, mega-korporacija koje znaju sve o vama ili jezičkih modela veštačke inteligencije koji prikupljaju vaše lične podatke. Bezbednosne kompanije bar kažu da im je cilj da zaštite vašu privatnost i uglavnom uspevaju da vas odbrane od zlonamernih softvera.