DECLARAŢIA DE SECURITATE A REŢELEI KASPERSKY (KSN) - Kaspersky Endpoint Security 11 for Windows DECLARAŢIA DE SECURITATE A REŢELEI KASPERSKY (denumită în continuare „Declaraţia KSN”) se referă la programul Kaspersky Endpoint Security (denumit în continuare “Software”). Declaraţia KSN împreună cu Acordul de licenţă pentru utilizatorul Final pentru Software (în principal în secţiunea „Condiţii despre prelucrarea datelor”), specifică condiţiile, responsabilităţile şi procedurile care au legătură cu transmiterea şi procesarea datelor, indicate în Declaraţia KSN. Citeşte cu atenţie termenii Declaraţiei KSN şi toate documentele menţionate în aceasta înainte de a o accepta. Când utilizatorul final activează utilizarea KSN, acesta este responsabil să se asigure că prelucrarea datelor cu caracter personal ale persoanelor vizate este legală, în mod particular în conformitate cu articolele 6 (1) (a) până la (1) (f) ale Regulamentului (EU) 2016/679 (Regulamentul general privind protecţia datelor, „GDPR”) dacă persoanele vizate se află în Uniunea Europeană, sau cu legile aplicabile datelor confidenţiale, datelor cu caracter personal, protecţiei datelor, sau alte legi similare cu acestea. Protejarea şi prelucrarea datelor Informaţiile primite de către Deţinătorul drepturilor de la utilizatorul final în timpul utilizării KSN sunt gestionate în concordanţă cu Politica de confidenţialitate a titularului drepturilor publicată pe: www.kaspersky.com/Products-and-Services-Privacy-Policy. Scopul utilizării KSN Utilizarea KSN poate duce la creşterea eficienţei protecţiei oferite de Software împotriva ameninţărilor asupra securităţii informaţiilor şi reţelei. Scopul declarat este atins prin: - stabilirea reputaţiei obiectelor scanate; - identificarea ameninţărilor noi şi mai greu de identificat asupra securităţii informaţiilor, şi a surselor acestora; - asigurarea măsurilor prompte pentru creşterea protecţiei informaţiilor stocate şi procesate de către utilizatorul final prin intermediul computerului; - reducerea probabilităţii rezultatelor false pozitive; - creşterea eficienţei componentelor Software; - prevenirea incidentelor de securitate a informaţiilor şi investigarea incidentelor care au avut loc; - îmbunătăţirea performanţelor produselor Deţinătorului drepturilor; - primirea informaţiilor de referinţă despre numărul obiectelor cu reputaţie cunoscută. Date prelucrate În timpul utilizării KSN, Deţinătorul drepturilor va primi şi prelucra automat următoarele date: - informații despre actualizările de configurare KSN: cod de identificare pentru configurația activă, cod de identificare pentru configurația primită, cod de eroare pentru actualizarea configurației; - informaţii despre fişiere şi adrese URL care trebuie scanate: sumele de verificare ale fişierului scanat (MD5, SHA2-256, SHA1) şi modelele fişierelor (MD5), dimensiunea modelului, tipul ameninţării detectate şi numele acesteia conform clasificării Deţinătorului drepturilor, codul de identificare pentru bazele de date de viruşi, adresa URL pentru care este solicitată reputaţia, dar şi adresa URL de referinţă, codul de identificare a protocolului conexiunii şi numărul portului utilizat; - informaţii despre rezultatele stabilirii categoriilor resurselor web solicitate, care conţin adresele URL şi IP procesate ale gazdei, versiunea componentei Software care a efectuat ordonarea pe categorii, metoda de ordonare pe categorii şi seturile de categorii definite pentru resursele web; - codul de identificare a sarcinii de scanare care a detectat ameninţarea; - informaţii despre certificatele digitale utilizate de care este nevoie pentru a le verifica autenticitatea: sumele de verificare (SHA2-256) ale certificatului utilizat pentru a semna obiectul scanat şi parola publică a certificatului; - informaţii despre software-ul instalat pe computer: numele aplicaţiilor software şi al furnizorilor de software, cheile de registru şi valorile acestora, informaţii despre fişierele componentelor software instalate (sumele de verificare (MD5, SHA2-256, SHA1), nume, calea fişierelor pe computer, dimensiunea, versiunea şi semnătura digitală); - informaţii despre starea protecţiei anti-virus: versiunile şi datele şi orele de lansare a bazelor de date anti-virus utilizate, codul de identificare a operaţiei şi codul de identificare a componentei software care efectuează scanarea; - informaţii despre fişierele descărcate de către Utilizatorul final: adresele URL şi IP ale descărcării şi paginile descărcate, codul de identificare a protocolului de descărcare şi numărul portului conexiunii, starea adreselor URL ca fiind dăunătoare sau nu, atributele fişierelor, dimensiunea şi sumele de verificare (MD5, SHA2-256, SHA1), informaţii despre procesul care a descărcat fişierul (sumele de verificare (MD5, SHA2-256, SHA1), ora şi data creării/versiunii, starea redării automate, atributele, numele aplicaţiilor de arhivare, informaţii privind semnăturile, semnalizatorul fişierelor executabile, codul de identificare a formatului, tipul de cont utilizat pentru a iniţia procesul), informaţii despre fişierul procesului (nume, calea şi dimensiunea fişierului), numele fişierului şi calea acestuia pe computer, semnătura digitală a fişierului şi marcajul de timp al generării sale, adresa URL la care a avut loc detectarea, numărul scriptului în pagina care pare suspectă sau dăunătoare; - informaţii referitoare la aplicaţiile aflate în execuţie şi modulele acestora: date referitoare la procesele care sunt executate în sistem (ID proces (PID), numele procesului, informaţii despre contul care a iniţiat procesul, aplicaţia şi comanda care au iniţiat procesul, simbolul programului sau procesului de încredere, calea completă către fişierele procesului şi sumele de comandă ale acestora (MD5, SHA2-256, SHA1), linia de comandă iniţială, nivelul de integritate a procesului, o descriere a produsului căruia îi aparţine procesul (numele produsului şi informaţii despre editor), precum şi certificatele digitale utilizate şi informaţiile necesare pentru verificarea autenticităţii acestora sau informaţii despre absenţa unei semnături digitale a unui fişier), precum şi informaţii despre modulele încărcate în procese (numele acestora, dimensiunile, tipurile, datele de creare, atributele, sumele de verificare (MD5, SHA2-256, SHA1), căile către acestea pe Computer), informaţii despre antetul fişierului PE, numele utilitarelor de arhivare (dacă fişierul a fost arhivat); - informaţii despre toate obiectele şi acţiunile potenţial maliţioase: numele obiectului detectat şi calea completă către acesta de pe Computer, sumele de verificare (MD5, SHA2-256, SHA1) ale fişierelor procesate, data şi ora de detectare, numele şi dimensiunea fişierelor procesate şi calea către acestea, codul şablonului de cale, marcajul fişierului executabil, marcajul care indică dacă obiectul este un container, numele aplicaţiilor de arhivare (dacă fişierul a fost arhivat), codul tipului de fişier, ID-ul de format al fişierului, ID-urile bazelor de date de antiviruşi şi ale înregistrărilor din aceste baze de date de antiviruşi care au fost utilizate pentru a lua o decizie, indicatorul unui obiect potenţial maliţios, numele ameninţării detectate conform clasificării Deţinătorul drepturilor, nivelul pericolului, starea şi metoda de detectare, motivul includerii unui fişier în contextul analizat şi numărul de serie al fişierului în context, sumele de verificare (MD5, SHA2-256, SHA1), numele şi atributele fişierului executabil pentru aplicaţia care a generat mesajul sau linkul infectat, adresele IP (IPv4 şi IPv6) ale gazdei obiectului blocat, entropia fişierului, starea de executare automată, ora primei detectări a fişierului în sistem, numărul de executări ale fişierului de la ultima trimitere a datelor statistice, tipul programului de compilare, informaţii despre nume, sume de verificare (MD5, SHA2-256, SHA1) şi dimensiunea clientului de e-mail utilizat pentru primirea obiectului maliţios, indicatorul operaţiei software-ului care a efectuat scanarea, marcajul pentru verificarea reputaţiei sau a semnăturii fişierului, rezultatul analizei statistice a obiectului conţinut, modelul obiectului, dimensiunea modelului în octeţi, parametrii tehnici ai tehnologiilor de detectare aplicabile; - informaţii despre obiectele scanate: grupul de încredere alocat către care şi/sau de la care a fost plasat fişierul, motivul pentru care fişierul a fost plasat în categoria respectivă, codul de identificare a categoriei, informaţii despre sursa categoriilor şi versiunea bazei de date corespunzătoare categoriei, permisiunea de certificat de încredere a fişierului, numele furnizorului fişierului, versiunea fişierului, numele şi versiunea software-ului care include fişierul; - informaţii despre vulnerabilităţile detectate: ID-ul acestora din baza de date pentru vulnerabilităţii, clasa de pericol corespunzătoare vulnerabilităţii; - informaţii despre emularea fişierului executabil: dimensiunea fişierului şi sumele de verificare ale acestuia (MD5, SHA2-256, SHA1), versiunea componentei de emulare, profunzimea emulării, o gamă de proprietăţi de seturi logice şi funcţii în cadrul seturilor logice obţinute în timpul emulării, date de la antetele PE ale fişierului executabil; - informaţii despre atacurile de reţea: adresa IP a computerului atacator (IPv4 şi IPv6), numărul de port de pe computer către care este îndreptat atacul, codul de identificare a protocolului pachetului IP care conţine atacul, ţinta atacului (numele, site-ul web al organizaţiei), permisiunea pentru reacţia la atac, seriozitatea atacului, nivelul de încredere; - informaţii despre atacurile asociate cu resursele falsificate ale reţelei, adresele DNS şi IP (IPv4 şi IPv6) ale site-urilor web vizitate; - adresele DNS şi IP (IPv4 or IPv6) ale resurselor web solicitate, informaţii despre fişier şi clientul web care solicită resursele web, numele, dimensiunea, sumele de verificare (MD5, SHA2-256, SHA1) ale fişierului, calea acestuia şi codul şablonului căii, rezultatul verificării semnăturii digitale şi starea acestuia în concordanţă cu KSN; - informaţii despre blocarea activităţilor maliţioase: date despre fişierul al cărui activităţi sunt blocate (numele fişierului, calea completă a fişierului, mărimea acestuia şi sumele de verificare (MD5, SHA2-256, SHA1)), date despre acţiuni reuşite şi nereuşite de ştergere, redenumire şi copiere de fişiere şi restaurare de valori în registru (numele parolelor registrului şi valorile acestora), informaţii despre fişierele sistemului schimbate de către malware, înainte şi după blocare; - informații despre excluderile setate pentru componenta de control al anomaliei adaptive: ID-ul și starea regulii care a fost declanșată, acțiunea efectuată de software atunci când a fost declanșată regula, tipul de cont de utilizator sub care procesul sau şirul efectuează activitatea suspectă, precum și despre procesul care a fost supus unei activități suspecte (ID-ul scriptului sau numele fișierului procesului, calea completă către fișierul procesului, codul șablonului de cale, sumele de verificare (MD5, SHA2-256, SHA1) ale fișierului procesului); informații despre obiectul care a efectuat acțiunile suspecte, precum și despre obiectul care a fost supus acțiunilor suspecte (numele cheii de registru sau numele fișierului, calea completă către fișier, codul șablonului de cale și sumele de verificare (MD5, SHA2-256, SHA1) din fișier); - informaţii despre modulele încărcate de software: numele, dimensiunea şi sumele de verificare (MD5, SHA2-256, SHA1) ale fişierului modulului, calea completă a acestuia şi codul şablonului căii de fişier, parametrii semnăturii digitale a fişierului modulului, marca de timp a generării semnăturii, numele subiectului şi organizaţia care a semnat fişierul modulului, codul de identificare a procesului în care s-a încărcat modulul, numele furnizorului modulului, numărul indexului modulului din coada de încărcare; - informații despre calitatea interacțiunii software cu serviciile KSN: data de început și de sfârșit și ora perioadei în care au fost generate statistici, informații despre calitatea cererilor și conexiunea la fiecare dintre serviciile KSN utilizate (ID-ul serviciului KSN, numărul de solicitări reușite, numărul de solicitări cu răspunsuri din cache, numărul de solicitări nereușite (probleme de rețea, KSN fiind dezactivat în setările software, rutare incorectă), răspândirea în timp a cererilor reușite, răspândirea în timp a cererilor anulate, răspândirea în timp a cererilor cu limita de timp depășită, numărul de conexiuni la KSN preluate din cache, numărul de conexiuni reușite la KSN, numărul de conexiuni nereușite la KSN, numărul de tranzacții reușite, numărul de tranzacții nereușite, răspândirea în timp a conexiunilor de succes la KSN, răspândirea în timp a conexiunilor nereușite la KSN, răspândirea în timp a tranzacțiilor de succes, răspândirea în timp a tranzacțiilor nereușite); - dacă se detectează un potenţial obiect rău intenţionat, se vor furniza informaţii legate de datele din memoria proceselor: elemente ale ierarhiei obiectelor din sistem (ObjectManager), date din memoria BIOS UEFI, nume ale cheilor de registru şi valorile acestora; - informaţii despre evenimente din jurnalele sistemelor: marcajul temporal al evenimentului, numele jurnalului în care a fost găsit evenimentul, tipul şi categoria evenimentului, numele sursei evenimentului şi descrierea evenimentului; - informaţii despre conexiunile la reţea: versiunea şi sumele de verificare (MD5, SHA2-256, SHA1) ale fişierului din care a fost iniţiat procesul care a deschis portul, calea către fişierul procesului şi semnătura digitală a acestui fişier, adresele IP locale şi la distanţă, numerele porturilor de conexiune locale şi la distanţă, starea conexiunii, marcajul temporal aferent deschiderii portului; - informaţii despre data instalării şi activării software-ului pe computer: codul de identificare al partenerului de la care a fost achiziţionată licenţa, numărul de serie al licenţei, antetul semnat al tichetului de la centrul de service de activare (codul de identificare al centrului de activare regional, suma de verificare a codului de activare, suma de verificare a tichetului, data creării tichetului, codul unic de identificare a tichetului, versiunea tichetului, starea licenţei, data şi ora de începere/încheiere ale valabilităţii tichetului, codul unic de identificare a licenţei, versiunea licenţei), codul de identificare a certificatului utilizat pentru a semna antetul tichetului, suma de verificare (MD 5) a fişierului cheie, codul unic de identificare pentru instalarea software-ului pe computer, tipul şi codul de identificare a aplicaţiei actualizate, codul de identificare activităţii de actualizare; - informaţii despre setul tuturor actualizărilor instalate şi setul celor mai recente actualizări instalate/dezinstalate, tipul evenimentului care a cauzat trimiterea informaţiilor de actualizare, durata de la ultima actualizare, informaţii despre toate bazele de date antivirus instalate curent; - informaţii despre operaţiunea Software de pe Computer: datele de utilizare a procesorului, datele de utilizare a memoriei (Private Bytes, Non-Paged Pool), numărul de şiruri active şi şiruri în aşteptare, durata operaţiunii Software înainte ca eroarea să aibă loc; marcaj care indică dacă Software-ul rulează în modul interactiv; - numărul de evenimente software dump şi system dump (erori critice cu ecran albastru BSOD) de la instalarea software-ului şi de la momentul ultimei actualizări, codul de identificare şi versiunea modulului software care a generat eroarea, stiva de memorie din procesul aplicaţiei, precum şi informaţii despre bazele de date anti-virus de la momentul erorii; - date despre system dump (BSOD): un marcaj care să indice apariţia sau lipsa apariţiei BSOD pe computer, numele driverului care a cauzat apariţia BSOD, adresa şi stiva de memorie din driver, un marcaj care să indice durata sesiunii de utilizare a sistemului de operare înaintea apariţiei BSOD, stiva de memorie cu drivere care a cedat, tipul fişierului de memorie de tip dump, marcajul sesiunii sistemului de operare înainte ca BSOD să dureze mai mult de 10 minute, codul de identificare unic al imaginii, marca de timp pentru BSOD; - informaţii despre erorile apărute la funcţionarea componentei/componentelor software: ID-ul de stare al Software-ului, tipul de eroare, codul şi cauza, precum şi momentul survenirii erorii, ID-urile componentei, modulului şi procesului produsului în care a survenit eroarea, ID-ul sarcinii sau al categoriei de actualizare în care a apărut eroarea, jurnale ale driverelor utilizate de software (codul de eroare, numele modulului, numele fişierului sursă şi linia în care a apărut eroarea); - informaţii despre actualizările bazelor de date anti-virus şi componentelor Software: numele, datele şi orele fişierelor descărcate în timpul ultimei actualizări şi în timpul actualizării curente; - informaţii despre încetarea anormală a funcţionării Software-ului: data şi ora creării fişierului dump, tipul acestuia, tipul de eveniment care a creat încetarea anormală a operării Software-ului (oprirea neaşteptată, eroarea unei aplicaţii terţe), data şi ora opririi neaşteptate; - informații despre compatibilitatea driverelor de software cu hardware și software: informații despre proprietățile sistemului de operare care restricționează funcționalitatea componentelor software (Secure Boot, KPTI, WHQL Enforce, BitLocker, Case Sensibility), tipul de software de descărcare instalat (UEFI, BIOS), cod de identificare modul platformă de încredere (TPM), versiune de specificație TPM, informații despre procesorul instalat pe computer, modul de operare și parametrii Codului Integritate și Device Guard, modul de operare al driverelor și motivul pentru utilizarea modului curent, versiunea de drivere software, starea de suport a virtualizării software și hardware a computerului; - informaţii despre aplicaţiile terţe care au cauzat eroarea: numele, versiunea şi localizarea, codul de eroare şi informaţii despre eroare din jurnalul de sistem al aplicaţiilor, adresa erorii şi stiva de memorie a aplicaţiei terţe, un marcaj care să indice apariţia erorii în componenta Software, precum şi durata pentru care aplicaţia terţă a funcţionat înainte de apariţia erorii, sumele de verificare (MD5, SHA2-256, SHA1) ale imaginii procesului aplicaţiei în care a apărut eroarea, calea către imaginea procesului aplicaţiei şi codul şablonului căii, informaţii din jurnalul sistemului cu descrierea erorii asociate cu aplicaţia, informaţii despre modulul aplicaţiei în care a apărut eroarea (codul de identificare a excepţiei, adresa memoriei de oprire ca decalaj în modulul aplicaţiei, numele şi versiunea modulului, codul de identificare a căderii aplicaţiei în insertul Deţinătorului drepturilor şi stiva de memorie a căderii, durata sesiunii aplicaţiei înaintea căderii); - versiunea componentei de actualizare a Software-ului, numărul erorilor componentei de actualizare apărute în timp ce rulează sarcini de actualizare în timpul duratei de viaţă a componentei, ID-ul tipului sarcinii de actualizare, numărul încercărilor eşuate ale componentei de actualizare de a executa sarcinile de actualizare; - informaţii despre operarea componentelor de monitorizare a sistemului Software: versiunile complete ale componentelor, data şi ora la care au fost iniţiate componentele, codul evenimentului care a depăşit coada evenimentului şi numărul acestor evenimente, numărul total al evenimentelor care au depăşit coada, informaţii despre fişierul procesului iniţiatorului evenimentului (numele fişierului şi calea acestuia pe computer, codul şablonului căii fişierului, sumele de verificare (MD5, SHA2-256, SHA1) ale procesului asociat cu fişierul, versiunea fişierului), codul de identificare a interceptării evenimentului apărut, versiunea completă a filtrului de interceptare, codul de identificare a tipului evenimentului interceptat, dimensiunea cozii evenimentului şi numărul de evenimente între primul eveniment din coadă şi evenimentul curent, numărul evenimentelor depăşite din coadă, informaţii despre fişierul procesului iniţiatorului evenimentului curent (numele fişierului şi calea acestuia pe computer, codul şablonului căii fişierului, sumele de verificare (MD5, SHA2-256, SHA1) ale procesului asociat cu fişierul), durata procesării evenimentului, durata maximă a procesării evenimentului, probabilitatea trimiterii statisticilor, informații despre evenimentele din sistemul de operare pentru care a fost depășit termenul de procesare (data și ora evenimentului, numărul de inițializări repetate ale bazelor de date antivirus, data și ora ultimei inițializări repetate a bazelor de date antivirus după actualizarea lor, întârzierea procesării evenimentelor pentru fiecare componentă de monitorizare a sistemului, număr de evenimente în coadă, număr de evenimente procesate, număr de evenimente întârziate de tipul curent, timp total de întârziere pentru evenimentele de tip curent, timp total de întârziere pentru toate evenimentele); - informații din instrumentul Windows de urmărire a evenimentelor (Event Tracing pentru Windows, ETW) în cazul unor probleme de performanță software, furnizorii de evenimente de evaluare SysConfig / SysConfigEx / WinSATA de la Microsoft: informații despre computer (model, producător, factorul de formă al carcasei, versiune), informații despre valorile de performanță Windows (evaluări WinSAT, index de performanță Windows), nume de domeniu, informații despre procesoare fizice și logice (număr de procesoare fizice și logice, producător, model, nivel de pas, număr de nuclee, frecvență de ceas, CPUID, caracteristici de cache, caracteristici ale procesorului logic, indicatori ai modurilor și instrucțiunilor acceptate), informații despre module RAM (tip, factor de formă, producător, model, capacitate, granularitatea alocării memoriei), informații despre interfețele de rețea (adrese IP și MAC, nume, descriere , configurarea interfețelor de rețea, defalcarea numărului și dimensiunii pachetelor de rețea după tip, viteza schimbului de rețea , defalcarea numărului de erori de rețea după tip), configurarea controlerului IDE, adresele IP ale serverelor DNS, informații despre placa grafică (model, descriere, producător, compatibilitate, capacitate de memorie video, permisiunea ecranului, număr de biți pe pixel, versiune BIOS), informații despre dispozitive plug-and-play (nume, descriere, codul de identificare a dispozitivului [PnP, ACPI], informații despre discuri și dispozitive de stocare (număr de discuri sau unități flash, producător, model, capacitatea discului, număr de cilindri, număr a pieselor pe cilindru, numărul de sectoare pe cale, capacitatea sectorului, caracteristicile memoriei cache, numărul secvențial, numărul de partiții, configurația controlerului SCSI), informații despre discurile logice (număr secvențial, capacitatea partiției, capacitatea volumului, literă volum, tipul partiției, tipul de sistem de fișiere, numărul de clustere, dimensiunea clusterului, numărul de sectoare pe cluster, numărul de clustere goale și ocupate, litera volumului de pornire, adresa compensată a partiției în raport cu pornirea discului), informații despre placa de bază BIOS (producător, data lansării, versiunea), informații despre placa de bază (producător, model, tip), informații despre memoria fizică (capacitate partajată și liberă), informații despre serviciile sistemului de operare (nume, descriere , starea, eticheta, informații despre procese [nume și PID]), parametrii consumului de energie pentru computer, configurarea controlerului de întrerupere, calea către folderele sistemului Windows (Windows și System32), informații despre sistemul de operare (versiune, număr intern, data lansării, nume, tip, data instalării), dimensiunea fișierului paginii, informații despre monitoare (număr, producător, permisiunea ecranului, capacitate de rezoluție, tip), informații despre driverul plăcii video (producător, data lansării, versiunea); - informații de la ETW, furnizori de evenimente EventTrace / EventMetadata de la Microsoft: informații despre secvența evenimentelor de sistem (tip, ora, dată, fus orar), metadate despre fișierul cu rezultate de urmărire (nume, structură, parametri de urmărire, defalcarea numărului operații de urmărire după tip), informații despre sistemul de operare (nume, tip, versiune, construire, data lansării, ora de începere); - informații de la ETW, furnizori de Proces / Microsoft Windows Kernel Process / Microsoft Windows Kernel Processor Power evenimente de la Microsoft: informații despre procesele începute și finalizate (nume, PID, parametri de pornire, linie de comandă, cod retur, parametri de gestionare a puterii, ora de început și de sfârşit, tip de token de acces, SID, SessionID, număr de descriptori instalați), informații despre modificările priorităților şirului (TID, prioritate, timp), informații despre operațiile pe disc ale procesului (tip, timp, capacitate, număr), istoricul modificărilor la structura și capacitatea proceselor de memorie utilizabile; - informații de la ETW, furnizori de evenimente StackWalk / Perfinfo de la Microsoft: informații despre contoarele de performanță (performanța secțiunilor de coduri individuale, secvența de apeluri funcționale, PID, TID, adrese și atribute ale ISR-urilor și DPC-urilor); - informații de la ETW, furnizor de evenimente KernelTraceControl-ImageID de la Microsoft: informații despre fișierele executabile și bibliotecile dinamice (nume, dimensiunea imaginii, calea completă), informații despre fișierele PDB (nume, cod de identificare), date despre resursa VERSIONINFO pentru fișierele executabile (nume, descrierea, creatorul, locația, versiunea și codul de identificare a aplicației, versiunea fișierului și codul de identificare); - informații de la ETW, furnizorii de evenimente FileIo / DiskIo / Image / Windows Kernel Disk de la Microsoft: informații despre operațiunile de fișiere și discuri (tip, capacitate, ora de pornire, ora de finalizare, durata, starea finalizării, PID, TID, adresele de apel ale funcției driverului , Pachet de solicitare I/O (IRP), atribute de obiect de fișier Windows), informații despre fișierele implicate în operațiunile de fișiere și discuri (nume, versiune, dimensiune, calea completă, atribute, decalaj, sumă de verificare a imaginii, opțiuni de deschidere și acces); - informații de la ETW, furnizor de evenimente PageFault de la Microsoft: informații despre erorile de acces la pagina de memorie (adresă, timp, capacitate, PID, TID, atribute ale obiectului de fișier Windows, parametri de alocare a memoriei); - informații de la ETW, furnizor de evenimente de tip Şir de la Microsoft: informații despre crearea / completarea şirurilor, informații despre şiruri pornite (PID, TID, dimensiunea stivei, priorități și alocarea resurselor CPU, resurse I/O, pagini de memorie între şiruri, stivă adresă, adresa funcției init, adresa blocului de mediu al şirului (TEB), eticheta serviciului Windows); - informații de la ETW, furnizor de evenimente Microsoft Windows Kernel Memory de la Microsoft: informații despre operațiunile de gestionare a memoriei (stare de finalizare, timp, cantitate, PID), structura de alocare a memoriei (tip, capacitate, SessionID, PID); - informații despre operarea software în caz de probleme de performanță: cod de identificare a instalării software, tipul și valoarea scăderii performanței, informații despre secvența evenimentelor din software (ora, fusul orar, tipul, starea finalizării, identificatorul componentelor software, cod de identificare a scenariului de operare a software-ului, TID, PID, adrese de apel de funcții), informații despre conexiunile de rețea care trebuie verificate (URL, direcția conexiunii, dimensiunea pachetului de rețea), informații despre fișierele PDB (nume, cod de identificare , dimensiunea imaginii fișierului executabil), informații despre fișierele care trebuie verificate (nume, calea completă, sumă de control), parametrii de monitorizare a performanței software; - informaţii despre ultima încercare nereuşită de reiniţializare a sistemului de operare: numărul reiniţializărilor nereuşite de la instalarea sistemului de operare până în prezent, date despre erorile de sistem (codul şi parametrii unei erori, nume, versiune şi suma de verificare (CRC32) a modulului care a cauzat o eroare a sistemului de operare, adresa erorii ca decalaj în modul, sumele de verificare (MD5, SHA2-256, SHA1) ale erorilor de sistem); - informaţii pentru verificarea autenticităţii certificatelor digitale utilizate pentru a semna fişiere: amprenta certificatului, algoritmul sumei de verificare, cheia publică şi numărul de serie ale certificatului, numele emitentului certificatului, rezultatul validării certificatului şi identificatorul bazei de date a certificatului; - informaţii despre procesul care execută atacul asupra componentei de autoapărare a Software-ului: numele şi dimensiunea fişierului procesului, sumele sale de verificare (MD5, SHA2-256, SHA1), calea completă a fişierului procesului şi codul şablonului căii fişierului, marcajele temporale de creare/compilare, marcajul fişierului executabil, atributele fişierului procesului, informaţii despre certificatul utilizat pentru a semna fişierul procesului, codul contului utilizat la lansarea procesului, ID-ul operaţiunilor efectuate pentru a accesa procesul, tipul resursei cu care se efectuează operaţiunea (proces, fişier, obiect de registru, funcţia de căutare FindWindow), numele resursei cu care se efectuează operaţiunea, marcaj care indică reuşita operaţiunii, starea fişierului procesului şi semnătura acestuia conform KSN; - informaţii despre Software-ul Deţinătorului de drepturi: versiunea completă a acestuia, tipul, limba locală şi starea de operare, versiunea componentelor Software instalate şi starea acestora de operare, informaţii despre actualizările instalate, valoarea filtrului TARGET, versiunea protocolului utilizat pentru conectarea cu serviciile titularului de drepturi; - informaţii despre componentele hardware instalate pe computer: tip, nume, numele modelului, versiunea firmware-ului, parametrii dispozitivelor incluse şi conectate, identificatorul unic al computerului cu Software-ul instalat; - informaţii despre versiunile sistemului de operare şi actualizările instalate, dimensiunea cuvintelor, ediţia şi parametrii modului de funcţionare al sistemului de operare, versiunea şi sumele de verificare (MD5, SHA2-256, SHA1) ale fişierului kernel al sistemului de operare şi data şi ora de pornire ale sistemului de operare. De asemenea, pentru a atinge scopul declarat de a creşte eficienţa protecţiei oferite de Software, Deţinătorul drepturilor poate primi obiecte care pot fi exploatate de către intruşi pentru a aduce daune computerului şi a crea ameninţări asupra securităţii informaţiilor. Astfel de obiecte pot fi: - fişiere executabile sau non-executabile sau părţi ale acestora; - porţiuni ale memoriei RAM a computerului; - sectoare implicate în procesul de iniţializare a sistemului de operare; - pachete de date de trafic din reţea; - pagini web şi e-mailuri care conţin obiecte suspicioase şi maliţioase; - descrierea claselor şi instanţelor claselor din depozitul WMI; - rapoarte de activitate ale aplicaţiilor. Astfel de rapoarte de activitate ale aplicaţiilor conţin următoarele date despre fişiere şi procese: - numele, dimensiunea şi versiunea fişierului trimis, descrierea şi sumele de verificare ale acestuia (MD5, SHA2-256, SHA1), identificatorul formatului de fişier, numele furnizorului fişierului, numele produsului căruia îi aparţine fişierul, calea completă pe computer, codul şablonului căii fişierului, informaţii despre data şi ora creării şi modificării fişierului; - data/ora începerii şi terminării perioadei de valabilitate a certificatului (dacă fişierul are semnătură digitală), data şi ora semnăturii, numele emitentului certificatului, informaţii despre deţinătorul certificatului, amprenta, cheia publică a certificatului şi algoritmii aferenţi şi numărul de serie al certificatului; - numele contului din care este executat procesul; - sumele de verificare (MD5, SHA2-256, SHA1) ale numelui computerului pe care este executat procesul; - denumirile ferestrelor procesului; - identificatorul bazelor de date antivirus, numele ameninţării detectate conform clasificării făcute de către Deţinătorul drepturilor; - date despre licenţa instalată, inclusiv identificatorul, tipul şi data expirării acesteia; - ora locală a computerului în momentul furnizării informaţiilor; - numele şi căile fişierelor care au fost accesate de către proces; - numele cheilor de registru care au fost accesate de către proces şi valorile acestora; - adresele URL şi IP care au fost accesate de către proces; - adresele URL şi IP de la care a fost descărcat fişierul aflat în execuţie. De asemenea, pentru a atinge scopul declarat şi a preveni valorile fals pozitive, Deţinătorul de drepturi poate primi fişiere de încredere executabile şi non-executabile sau părţi ale acestora. Furnizarea informaţiilor de mai sus către KSN este voluntară. După instalarea Software-ului, utilizatorul final poate activa sau dezactiva oricând utilizarea KSN din setările Software-ului, după cum se explică în Manualul utilizatorului. © 2018 AO Kaspersky Lab. Toate drepturile sunt rezervate.