INFORMATIVA SU KASPERSKY SECURITY NETWORK (KSN) - Kaspersky Endpoint Security 11 for Windows L'Informativa su Kaspersky Security Network (di seguito, "Informativa KSN") fa riferimento al programma per computer Kaspersky Endpoint Security (di seguito, "Software"). L'Informativa KSN insieme al Contratto di licenza con l'utente finale per il Software, in particolare la sezione relativa alle condizioni sull'elaborazione dei dati, specifica le condizioni, le responsabilità e le procedure relative alla trasmissione e all'elaborazione dei dati, indicate nell'Informativa KSN. Leggere con attenzione i termini dell'Informativa KSN, così come tutti i documenti in essa riportati, prima di accettarli. Quando l'Utente finale attiva l'uso di KSN, è interamente responsabile della conformità legale dell'elaborazione dei dati personali dei soggetti di dati, nello specifico con riferimento all'Articolo 6, Paragrafo 1, lettere da a) ad f) della Normativa (EU) 2016/679 (General Data Protection Regulation, "GDPR") se il soggetto dati si trova nell'Unione Europea, o alle leggi applicabili su informazioni riservate, dati personali o simili. Elaborazione e protezione dei dati I dati ricevuti dal Titolare dei diritti da parte dell'Utente finale durante l'uso di KSN sono gestiti in conformità all'Informativa sulla privacy del Titolare dei diritti, pubblicata all'indirizzo: https://www.kaspersky.com/Products-and-Services-Privacy-Policy. Finalità del trattamento dei dati Per aumentare la velocità di reazione del Software nei confronti delle minacce per la sicurezza delle informazioni e la rete. Lo scopo dichiarato viene conseguito mediante le seguenti azioni: - determinazione della reputazione degli oggetti acquisiti; - identificazione delle minacce alla sicurezza delle informazioni nuove e difficili da rilevare, e delle relative fonti; - adozione di misure tempestive per aumentare la protezione dei dati archiviati ed elaborati dall'Utente finale con il computer; - riduzione della probabilità di falsi positivi; - aumento dell'efficacia dei componenti Software; - prevenzione degli incidenti relativi alla sicurezza delle informazioni e ricerca degli incidenti avvenuti; - miglioramento delle prestazioni dei prodotti del Titolare dei diritti; - ricezione di informazioni di riferimento sul numero di oggetti con reputazione nota. Dati elaborati Mentre KSN è abilitato, il Titolare riceverà e tratterà automaticamente i seguenti dati: I dati trasmessi dall'Utente dipendono dal tipo di licenza installata e dalle impostazioni di utilizzo di KSN specificate. Se l'utente usa una licenza per 1-4 nodi, il Titolare dei diritti riceverà e tratterà automaticamente i seguenti dati durante l'utilizzo di KSN: - informazioni sugli aggiornamenti della configurazione KSN: identificativo per la configurazione attiva, identificativo per la configurazione ricevuta, codice di errore per l'aggiornamento della configurazione; - informazioni sui file e gli indirizzi URL da acquisire: checksum del file acquisito (MD5, SHA2-256, SHA1) e pattern dei file (MD5), dimensioni del pattern, tipo di minaccia rilevata e relativo nome secondo la classificazione del Titolare dei diritti, identificativo dei database anti-virus, indirizzo URL per cui è stata richiesta la reputazione così come indirizzo URL del referente, identificativo del protocollo di connessione e numero di porta utilizzato; - identificativo dell'attività di scansione che ha rilevato la minaccia; - informazioni sui certificati digitali utilizzati per verificare l'autenticità: checksum (SHA2-256) del certificato utilizzato per firmare l'oggetto acquisito e la chiave pubblica del certificato; - identificativo del componente Software che esegue la scansione; - ID dei database anti-virus e ID del record nei database anti-virus; - informazioni sull'attivazione del Software sul Computer: intestazione firmata del ticket dal servizio di attivazione (identificativo del centro di attivazione regionale, checksum del codice di attivazione, checksum del ticket, data di creazione del ticket, identificativo univoco del ticket, versione del ticket, stato della licenza, data di inizio/fine e ora di validità del ticket, identificatore univoco della licenza, versione della licenza), identificativo del certificato utilizzato per firmare l'intestazione del biglietto, checksum (MD5) del file della chiave; - informazioni sul Software del Titolare dei diritti: relativa versione completa, tipo, versione del protocollo utilizzato per connettersi ai servizi del Titolare dei diritti. Se l'utente usa una licenza per più di 5 nodi, il Titolare dei diritti riceverà e tratterà automaticamente i seguenti dati durante l'utilizzo di KSN: - informazioni sugli aggiornamenti della configurazione KSN: identificativo per la configurazione attiva, identificativo per la configurazione ricevuta, codice di errore per l'aggiornamento della configurazione; - informazioni sui file e gli indirizzi URL da acquisire: checksum del file acquisito (MD5, SHA2-256, SHA1) e pattern dei file (MD5), dimensioni del pattern, tipo di minaccia rilevata e relativo nome secondo la classificazione del Titolare dei diritti, identificativo dei database anti-virus, indirizzo URL per cui è stata richiesta la reputazione così come indirizzo URL del referente, identificativo del protocollo di connessione e numero di porta utilizzato; - informazioni sui risultati della categorizzazione delle risorse Web richieste che contengono l'URL elaborato e l'indirizzo IP dell'host, la versione del componente del Software che ha effettuato la categorizzazione, il metodo di categorizzazione e il set delle categorie definite per la risorsa Web; - identificativo dell'attività di scansione che ha rilevato la minaccia; - informazioni sui certificati digitali utilizzati per verificare l'autenticità: checksum (SHA2-256) del certificato utilizzato per firmare l'oggetto acquisito e la chiave pubblica del certificato; - informazioni sul software installato sul computer: nome dei fornitori del software e delle applicazioni software, chiavi di registro e relativi valori, informazioni sui file dei componenti software installati (checksum (MD5, SHA2-256, SHA1), nome, percorso del file sul computer, dimensioni, versione e firma digitale); - informazioni sullo stato della protezione anti-virus del computer: versioni e marche temporali di rilascio dei database anti-virus utilizzati, identificativo processo e identificativo del componente Software che esegue la scansione; - informazioni sui file scaricati dall'Utente finale: URL e indirizzi IP di download e l'indirizzo URL della pagina visitata prima del download, identificativo del protocollo di download, numero di porta della connessione, stato degli URL (dannoso o meno), attributi dei file, dimensioni e checksum (MD5, SHA2-256, SHA1), informazioni sul processo che ha scaricato il file (checksum (MD5, SHA2-256, SHA1)), data e ora di creazione/generazione, stato autoplay, attributi, nomi dei software di compressione, informazioni sulle firme, contrassegno di file eseguibili, identificativo del formato), tipo di account utilizzato per avviare il processo), informazioni sul file di processo (nome, percorso e dimensione del file), nome e percorso del file sul computer, firma digitale del file e marca temporale della sua generazione, indirizzo URL del rilevamento, numero dello script sulla pagina sospetta o dannosa; - informazioni sulle applicazioni attive e i relativi moduli: dati sui processi in esecuzione sul sistema ID processo (PID), nome del processo, informazioni sull'account da cui è iniziato il processo, applicazione e comando che hanno iniziato il processo, firma del processo o del programma attendibile, il percorso completo ai file del processo e dei loro checksum (MD5, SHA2-256, SHA1), riga di comando di inizio, livello di integrità del processo, descrizione del prodotto a cui il processo appartiene (il nome del prodotto e le informazioni sull'editore), così come i certificati digitali utilizzati e le informazioni necessarie per verificarne l'autenticità (o informazioni sull'assenza della firma digitale del file), informazioni sui moduli caricati nei processi (nome, dimensione, tipo, data di creazione, attributi, checksum (MD5, SHA2-256, SHA1)), relativi percorsi sul computer, intestazioni dei file PE, nomi dei software di compressione (in caso di file compressi); - informazioni su tutte le azioni e gli oggetti potenzialmente dannosi: nome dell'oggetto rilevato e percorso completo a tale oggetto sul computer, checksum (MD5, SHA2-256, SHA1) dei file elaborati, data e ora del rilevamento, nomi e dimensioni dei file infetti e relativi percorsi, codice del template del percorso, contrassegno di file eseguibile, contrassegno indicante se l'oggetto è un contenitore, nomi dei programmi di compressione (se il file era compresso), codice del tipo di file, ID del formato del file, ID dei database anti-virus e ID del record nei database anti-virus utilizzati per prendere la decisione, indicatore di un oggetto potenzialmente dannoso, il nome della minaccia rilevata secondo la classificazione del Titolare dei diritti, livello di pericolo e stato e metodo di rilevamento, motivo dell'inclusione di un file nel contesto analizzato e numero di serie del file nel contesto, checksum (MD5, SHA2-256, SHA1), nome e attributi del file eseguibile per l'applicazione che ha trasmesso il messaggio o il collegamento infetto, indirizzo IP in modalità anonima (IPv4 e IPv6) dell'host dell'oggetto bloccato, entropia del file, tipo di compilatore, informazioni su nome, checksum (MD5, SHA2-256, SHA1) e dimensione del client di posta attraverso il quale è stato ricevuto l'oggetto dannoso, ID dell'attività del software che ha eseguito la scansione, indicatore che indica se la reputazione o la firma del file è stata verificata, risultati di un'analisi statica dell'oggetto contenuto, pattern dell'oggetto, dimensioni del pattern in byte e le specifiche tecniche delle tecnologie di rilevazione applicate; - informazioni sugli oggetti sottoposti a scansione: gruppo attendibile assegnato in cui e/o da cui il file è stato posizionato, motivo per cui il file è stato posizionato in tale categoria, identificativo categoria, informazioni sull'origine delle categorie e versione del database della categoria, contrassegno della certificazione di attendibilità del file, versione del file, nome e versione dell'applicazione software in cui è incluso il file; - informazioni sulle vulnerabilità rilevate: ID vulnerabilità nel database delle vulnerabilità, classe di pericolo della vulnerabilità; - informazioni sull'emulazione del file eseguibile: dimensione del file e relativi checksum (MD5, SHA2-256, SHA1), versione del componente di emulazione, profondità di emulazione, serie di proprietà e funzioni dei blocchi logici ottenute durante l'emulazione, dati estratti dalle intestazioni PE dei file eseguibili; - informazioni relative agli attacchi di rete: indirizzo IP del computer da cui proviene l'attacco (IPv4 e IPv6), numero di porta del computer destinatario dell'attacco di rete, identificativo del protocollo del pacchetto IP contenente l'attacco, destinatario dell'attacco (nome organizzazione, sito Web), contrassegno per la reazione all'attacco, peso dell'attacco, livello di attendibilità; - informazioni sugli attacchi associati alle risorse di rete prese di mira, indirizzi DNS e IP (IPv4 e IPv6) dei siti Web visitati; - indirizzi DNS e IP (IPv4 o IPv6) della risorsa Web richiesta, informazioni sul file e sul client Web che accede alla risorsa Web, nome, dimensioni, checksum (MD5, SHA2-256, SHA1) del file, percorso completo del file e codice del template del percorso, risultato della verifica della firma digitale e relativo stato in base a KSN; - informazioni sul rollback delle azioni del malware: dati relativi al file di cui è stato eseguito il rollback delle attività (nome file, percorso completo del file, dimensioni e checksum (MD5, SHA2-256, SHA1)), dati relativi alle azioni che hanno avuto esito negativo e positivo per eliminare, rinominare e copiare i file e ripristinare i valori nel registro (nomi delle chiavi di registro e relativi valori), informazioni sui file di sistema modificati dal malware, prima e dopo il rollback; - informazioni sulle esclusioni previste per il componente Controllo adattivo delle anomalie: l'ID e lo stato della regola che è stata attivata, l'azione eseguita dal Software quando è stata attivata la regola, il tipo di account utente con cui il processo o il thread esegue attività sospette, nonché sul processo che è stato oggetto di attività sospette (ID script o nome del file di processo, percorso completo del file di processo e codice del modello di percorso, checksum (MD5, SHA2-256, SHA1) del file di processo); informazioni sull'oggetto che ha eseguito le azioni sospette e sull'oggetto che è stato oggetto delle azioni sospette (nome della chiave di registro o nome del file, percorso completo del file, codice del modello di percorso e i checksum (MD5, SHA2-256, SHA1) del file); - informazioni sui moduli software caricati: nome, dimensione e checksum (MD5, SHA2-256, SHA1) del file del modulo, percorso completo e codice del modello del percorso, impostazioni della firma digitale del file del modulo, data e ora di creazione della firma, nome dell'oggetto e dell'organizzazione che ha firmato il file del modulo, ID del processo in cui il modulo è stato caricato, nome del fornitore del modulo e il numero di sequenza del modulo nella coda di caricamento; - informazioni sulla qualità dell'interazione del software con i servizi KSN: data e ora di inizio e fine del periodo in cui sono state generate le statistiche, informazioni sulla qualità delle richieste e sulla connessione a ciascuno dei servizi KSN utilizzati (ID servizio KSN, numero di richieste riuscite, numero di richieste con risposte dalla cache, numero di richieste non andate a buon fine (problemi di rete, KSN disabilitato nelle impostazioni del software, instradamento errato), diffusione temporale delle richieste riuscite, diffusione temporale delle richieste annullate, diffusione temporale delle richieste con limite di tempo superato, numero di connessioni a KSN prese dalla cache, numero di connessioni a KSN riuscite, numero di connessioni a KSN non riuscite, numero di transazioni riuscite, numero di transazioni non riuscite, diffusione temporale delle connessioni a KSN riuscite, diffusione temporale delle connessioni a KSN non riuscite, diffusione temporale delle transazioni riuscite, diffusione temporale delle transazioni non riuscite); - se viene rilevato un oggetto potenzialmente dannoso, verranno fornite informazioni sui dati nella memoria dei processi: elementi della gerarchia degli oggetti di sistema (ObjectManager), dati della memoria UEFI BIOS, nomi di chiavi di registro e rispettivi valori; - informazioni sugli eventi dei log di sistema: marca temporale dell'evento, nome del log in cui l'evento è stato trovato, tipo e categoria di evento, nome dell'origine dell'evento e descrizione dell'evento; - informazioni sulle connessioni di rete: versione e checksum (MD5, SHA2-256, SHA1) del file da cui è iniziato il processo che ha aperto la porta, percorso al file del processo e relativa firma digitale, indirizzi IP locale e remoto, numeri delle porte di connessione locale e remota, stato della connessione, marca temporale dell'apertura della porta; - informazioni sulla data di installazione e sull'attivazione del Software sul computer: identificativo del partner da cui è stata acquistata la licenza, numero di serie della licenza, intestazione firmata del ticket dal servizio di attivazione (identificativo del centro regionale di attivazione, checksum del codice di attivazione, checksum del ticket, data di creazione del ticket; identificativo univoco del ticket, versione del ticket, stato della licenza, data e ora di inizio/fine validità del ticket, identificativo univoco della licenza, versione della licenza), identificativo del certificato utilizzato per firmare l'intestazione del ticket, checksum (MD5) del file chiave, identificativo univoco per l'installazione del Software sul Computer, tipo e identificativo dell'applicazione che si sta aggiornando, identificativo del lavoro di aggiornamento; - informazioni sul set di tutti gli aggiornamenti installati, set degli aggiornamenti installati/rimossi di recente, tipo di evento che ha causato l'invio delle informazioni di aggiornamento, intervallo dall'installazione dell'ultimo aggiornamento, informazioni su eventuali database anti-virus attualmente installati; - informazioni sul funzionamento del Software sul computer: dati di utilizzo della CPU, dati di utilizzo della memoria (byte privati, pool non di paging, pool di paging), numero di thread attivi del Software e thread in stato di attesa, durata del funzionamento del Software prima del verificarsi dell'errore, contrassegno che indica se il software sta operando in modalità interattiva; - numero di dump del software e del sistema (BSOD) dal momento dell'installazione del Software e dell'ultimo aggiornamento, identificativo e versione del modulo Software che ha subito l'arresto anomalo, memoria stack nel processo del Software e informazioni sui database anti-virus al momento dell'arresto anomalo; - dati sul dump di sistema (BSOD, Blue Screen of Death): contrassegno indicante la visualizzazione della schermata blu di errore sul computer, nome del driver che ha provocato la visualizzazione della schermata blu di errore, indirizzo e stack di memoria presenti nel driver, contrassegno che indica la durata della sessione del sistema operativo prima che venisse visualizzata la schermata blu di errore, stack di memoria del driver in cui si è verificato l'arresto anomalo, tipo di dump della memoria salvata, contrassegno della sessione del sistema operativo prima della schermata blu di errore (BSOD) della durata di oltre 10 minuti, identificativo univoco del dump, marca temporale della schermata blu di errore (BSOD); - informazioni su errori o problemi di prestazioni che si sono verificati durante il funzionamento dei componenti software: l'ID di stato del software, tipo di errore, codice e causa anche del momento in cui si è verificato l'errore, ID del componente, modulo e processo del prodotto in cui si è verificato l'errore, l'ID dell'attività o della categoria di aggiornamento durante la quale si è verificato l'errore, log dei driver utilizzati dal Software (codice di errore, nome del modulo, nome dell'origine del file e riga dell'errore); - informazioni sugli aggiornamenti dei database anti-virus e dei componenti del Software: nome, data e ora dei file di indice scaricati durante l'ultimo aggiornamento e durante l'aggiornamento corrente; - informazioni sull'arresto anomalo del funzionamento del Software: marca temporale di creazione del dump, tipo, tipo dell'evento che ha causato l'arresto anomalo del funzionamento del Software (spegnimento imprevisto, arresto anomalo di applicazioni di terze parti), data e ora di spegnimento imprevisto; - informazioni sulla compatibilità dei driver del software con hardware e software: informazioni sulle proprietà del sistema operativo che limitano la funzionalità dei componenti software (Secure Boot, KPTI, WHQL Enforce, BitLocker, Case Sensitivity), tipo di download Software installato (UEFI, BIOS), identificativo Trusted Platform Module (TPM), versione specifica TPM, informazioni sulla CPU installata sul Computer, modalità operativa e parametri di Code Integrity e Device Guard, modalità operativa dei driver e motivo dell'uso della modalità corrente, versione dei driver del software, stato di supporto della virtualizzazione software e hardware del Computer; - informazioni sulle applicazioni di terze parti che hanno provocato l'errore: nome, versione e localizzazione, codice di errore e informazioni sull'errore presenti nel registro di sistema delle applicazioni, indirizzo dell'errore e stack di memoria dell'applicazione di terze parti, contrassegno indicante il verificarsi dell'errore nel componente Software, intervallo di tempo durante il quale l'applicazione di terze parti è stata in esecuzione prima che si verificasse l'errore, checksum (MD5, SHA2-256, SHA1) dell'immagine di processo dell'applicazione in cui si è verificato l'errore, percorso dell'immagine di processo dell'applicazione e codice del template del percorso, informazioni tratte dal log di sistema e descrizione dell'errore associato all'applicazione, informazioni sul modulo dell'applicazione in cui si è verificato l'errore (identificativo eccezione, indirizzo memoria arresti anomali come offset del modulo dell'applicazione, nome e versione del modulo, codice identificativo dell'arresto anomalo dell'applicazione nel plug-in del Titolare dei diritti, stack di memoria degli arresti anomali, durata della sessione dell'applicazione prima dell'arresto anomalo); - versione del componente di aggiornamento del Software, numero di arresti anomali del componente di aggiornamento durante l'esecuzione di operazioni di aggiornamento per tutta la durata del componente, ID del tipo di operazione di aggiornamento, numero di tentativi non riusciti del componente di aggiornamento per completare le operazioni di aggiornamento; - informazioni sul funzionamento dei componenti di monitoraggio del sistema del Software: versioni complete dei componenti, data e ora di avvio dei componenti, codice dell'evento di overflow in una coda di eventi e numero di tali eventi, numero totale di eventi di queue overflow, informazioni sul file del processo dell'iniziatore dell'evento (nome del file e relativo percorso sul computer, codice del template del percorso del file, checksum (MD5, SHA2-256, SHA1) del processo associato al file, versione del file), identificativo dell'intercettamento dell'evento verificatosi, versione completa del filtro di intercettamento, identificativo del tipo di evento intercettato, dimensione della coda di eventi e numero di eventi tra il primo evento della coda e l'evento corrente, numero di eventi scaduti nella coda, informazioni sul file del processo dell'iniziatore dell'evento corrente (nome del file e relativo percorso sul computer, codice del template del percorso del file, checksum (MD5, SHA2-256, SHA1) del processo associato al file), durata dell'elaborazione dell'evento, durata massima dell'elaborazione dell'evento, probabilità di invio di statistiche; informazioni sugli eventi del sistema operativo per i quali è stato superato il limite di tempo di elaborazione (data e ora dell'evento, numero di inizializzazioni ripetute di database anti-virus, data e ora dell'ultima inizializzazione ripetuta dei database anti-virus dopo il loro aggiornamento, tempo di ritardo nell'elaborazione degli eventi per ogni componente del sistema di monitoraggio, numero di eventi in coda, numero di eventi elaborati, numero di eventi ritardati del tipo corrente, tempo di ritardo totale per gli eventi del tipo corrente, tempo di ritardo totale per tutti gli eventi); - informazioni dallo strumento di tracciamento eventi di Windows (Event Tracing for Windows, ETW) in caso di problemi di prestazioni del software, fornitori di eventi di valutazione SysConfig/SysConfigEx/WinSAT di Microsoft: informazioni sul computer (modello, produttore, fattore di forma dell'alloggiamento, versione), informazioni sulle metriche delle prestazioni di Windows (valutazioni WinSAT, Indice delle prestazioni di Windows), nome di dominio, informazioni sui processori fisici e logici (numero di processori fisici e logici, produttore, modello, livello di stepping, numero di core, frequenza di clock, CPUID, caratteristiche della cache, caratteristiche del processore logico, indicatori delle modalità e delle istruzioni supportate), informazioni sui moduli RAM (tipo, fattore di forma, produttore, modello, capacità, granularità dell'allocazione della memoria), informazioni sulle interfacce di rete (indirizzi IP e MAC, nome, descrizione, configurazione delle interfacce di rete, ripartizione del numero e delle dimensioni dei pacchetti di rete per tipo, velocità dello scambio di rete, ripartizione del numero di errori di rete per tipo), configurazione del controller IDE, indirizzi IP dei server DNS, informazioni sulla scheda video (modello, descrizione, produttore, compatibilità, capacità di memoria video, autorizzazione schermo, numero di bit per pixel, versione del BIOS), informazioni sui dispositivi plug-and-play (nome, descrizione, ID dispositivo [PnP, ACPI], informazioni su dischi e dispositivi di archiviazione (numero di dischi o unità flash, produttore, modello, capacità del disco, numero di cilindri, numero di tracce per cilindro, numero di settori per traccia, capacità del settore, caratteristiche della cache, numero sequenziale, numero di partizioni, configurazione del controller SCSI), informazioni sui dischi logici (numero sequenziale, capacità di partizione, capacità di volume, lettera del volume, tipo di partizione, tipo di file system, numero di cluster, dimensione del cluster, numero di settori per cluster, numero di cluster vuoti e occupati, lettera del volume avviabile, indirizzo di offset della partizione rispetto all'inizio del disco), informazioni sulla scheda madre del BIOS (produttore. data di rilascio, versione), informazioni sulla scheda madre (produttore. modello, tipo), informazioni sulla memoria fisica (capacità condivisa e libera), informazioni sui servizi del sistema operativo (nome, descrizione, stato, tag, informazioni sui processi [nome e PID]), parametri di consumo energetico per il computer, configurazione del controller di interrupt, percorso delle cartelle di sistema di Windows (Windows e System32), informazioni sul sistema operativo (versione, build, data di rilascio, nome, tipo), data di installazione; dimensione del file di paging, informazioni sui monitor (numero, produttore, autorizzazione schermo, capacità di risoluzione, tipo), informazioni sul driver della scheda video (produttore, data di uscita, versione); - informazioni da ETW, fornitori di eventi EventTrace/EventMetadata da Microsoft: informazioni sulla sequenza di eventi di sistema (tipo, ora, data, fuso orario), metadati relativi al file con risultati di tracciamento (nome, struttura, parametri di tracciamento, ripartizione del numero di operazioni di tracciamento per tipo), informazioni sul sistema operativo (nome, tipo, versione, build, data di rilascio, ora di inizio); - informazioni da ETW, fornitori di eventi Process/Microsoft Windows Kernel Process/Microsoft Windows Kernel Process/Microsoft Windows Kernel Processor Power da Microsoft: informazioni sui processi avviati e completati (nome, PID, parametri di avvio, riga di comando, codice di invio, parametri di gestione dell'alimentazione, ora di inizio e di completamento, tipo di token di accesso, SID, ID sessione, numero di descrittori installati), informazioni sui cambiamenti nelle priorità del thread (TID, priorità, ora), informazioni sulle operazioni su disco del processo (tipo, ora, capacità, numero), cronologia delle modifiche alla struttura e alla capacità dei processi di memoria utilizzabili; - informazioni da ETW, fornitori di eventi StackWalk/Perfinfo da Microsoft: informazioni sui contatori delle prestazioni (prestazioni delle singole sezioni di codice, sequenza di chiamate di funzione, PID, TID, indirizzi e attributi di ISR e DPC); - informazioni da ETW, fornitore di eventi KernelTraceControl-ImageID da Microsoft: informazioni su file eseguibili e librerie dinamiche (nome, dimensione dell'immagine, percorso completo), informazioni sui file PDB (nome, identificativo) dati delle risorse VERSIONINFO per i file eseguibili (nome, descrizione, creatore, posizione, versione dell'applicazione e identificativo, versione del file e identificativo); - informazioni da ETW, fornitori di eventi FileIo/DiskIo/Image/Windows Kernel Disk da Microsoft: informazioni sulle operazioni su file e dischi (tipo, capacità, ora di inizio, ora di completamento, durata, stato di completamento, PID, TID, indirizzi di chiamata della funzione driver, Pacchetto richiesta I/O (IRP), Attributi dell'oggetto file Windows), informazioni sui file coinvolti nelle operazioni su file e su disco (nome, versione, dimensione, percorso completo, attributi, offset, checksum dell'immagine, opzioni di apertura e accesso); - informazioni da ETW, fornitore di eventi PageFault da Microsoft: informazioni sugli errori di accesso alla pagina di memoria (indirizzo, ora, capacità, PID, TID, attributi dell'oggetto file Windows, parametri di allocazione della memoria); - informazioni da ETW, fornitore di eventi Thread da Microsoft: informazioni su creazione/completamento del thread, informazioni sui thread avviati (PID, TID, dimensione dello stack, priorità e allocazione delle risorse della CPU, risorse I/O, pagine di memoria tra i thread, indirizzo dello stack, indirizzo della funzione init, indirizzo del Thread Environment Block (TEB), tag del servizio di Windows); - informazioni da ETW, fornitore di eventi Microsoft Windows Kernel Memory da Microsoft: informazioni sulle operazioni di gestione della memoria (stato di completamento, ora, quantità, PID), struttura di allocazione della memoria (tipo, capacità, ID sessione, PID); - informazioni sul funzionamento del Software in caso di problemi di prestazioni: identificativo di installazione del software, tipo e valore del calo delle prestazioni, informazioni sulla sequenza di eventi all'interno del Software (ora, fuso orario, tipo, stato di completamento, identificativo componente Software, identificativo dello scenario operativo del Software, TID, PID, indirizzi di chiamata della funzione), informazioni sulle connessioni di rete da controllare (URL, direzione della connessione, dimensione del pacchetto di rete), informazioni sui file PDB (nome, identificativo, dimensione dell'immagine del file eseguibile), informazioni sui file da controllare (nome, percorso completo, checksum), parametri di monitoraggio delle prestazioni del Software; - informazioni sull'ultimo riavvio non riuscito del sistema operativo: numero di riavvii non riusciti dall'installazione del sistema operativo, dati del dump di sistema (codice e parametri errore, nome, versione e checksum (CRC32) del modulo che ha causato un errore nel funzionamento del sistema operativo, indirizzo errore come offset del modulo, checksum (MD5, SHA2-256, SHA1) del dump di sistema); - informazioni per verificare l'autenticità dei certificati digitali utilizzati per firmare i file: impronta del certificato, algoritmo di checksum, numero di serie e chiave pubblica del certificato, nome dell'emittente del certificato, risultati di convalida del certificato e identificativo del database del certificato; - informazioni sul processo che ha eseguito l'attacco alla difesa automatica del Software: nome e dimensioni del file di processo, relativi checksum (MD5, SHA2-256, SHA1), percorso completo del file di processo e codice del template del percorso del file, marche temporali di creazione/generazione, codice del tipo di file di processo, contrassegno di file eseguibile, attributi del file di processo, informazioni sul certificato utilizzato per firmare il file di processo, tipo di account utilizzato per svolgere attività sospette all'interno del processo o del thread, ID delle operazioni eseguite per accedere al processo, tipo di risorsa con cui viene eseguita l'operazione (processo, file, oggetto del registro, funzione di ricerca FindWindow), nome della risorsa con cui viene eseguita l'operazione, contrassegno indicante la riuscita dell'operazione, stato del file del processo e relativa firma in base a KSN; - informazioni sul Software del Titolare dei diritti: relativa versione completa, tipo, lingua locale e stato operativo, versione dei componenti del Software installato e relativo stato operativo, informazioni sugli aggiornamenti installati, valore del filtro TARGET, versione del protocollo utilizzato per connettersi ai servizi del Titolare dei diritti; - informazioni sull'hardware installato sul computer: tipo, nome, nome modello, versione firmware, parametri dei dispositivi incorporati e connessi, identificativo univoco del computer con il Software installato; - informazioni sulle versioni del sistema operativo e degli aggiornamenti installati, dimensioni parola, edizione e parametri della modalità di esecuzione del sistema operativo, versione e checksum (MD5, SHA2-256, SHA1) del file kernel del sistema operativo; - informazioni sull'interazione dell'Utente con i controlli dell'applicazione (clic, tocchi). Inoltre, per poter conseguire l'obiettivo di migliorare l'efficacia della protezione fornita dal Software, il Titolare dei diritti può ricevere degli oggetti che potrebbero essere utilizzati da intrusi per danneggiare il computer e creare minacce alla sicurezza delle informazioni. Tali oggetti comprendono: - file eseguibili e non eseguibili o loro componenti; - porzioni della RAM del computer; - settori interessati dal processo di avvio del sistema operativo; - pacchetti dati del traffico di rete; - pagine Web ed e-mail contenenti oggetti dannosi o sospetti; - descrizione delle classi e delle istanze di classi dell'archivio WMI; - rapporti sull'attività delle applicazioni. I rapporti sull'attività delle applicazioni contengono i seguenti dati relativi a file e processi: - nome, dimensioni e versione del file inviato, relativa descrizione e checksum (MD5, SHA2-256, SHA1), identificativo del formato file, nome del fornitore del file, nome del prodotto a cui il file appartiene, percorso completo sul computer, codice del template del percorso del file, marche temporali di creazione e modifica del file; - data/ora di inizio e di fine del periodo di validità del certificato (se il file ha una firma digitale), data e ora della firma, nome dell'emittente del certificato, informazioni sul proprietario del certificato, impronta, chiave pubblica del certificato e algoritmi appropriati, numero di serie del certificato; - nome dell'account da cui è gestito il processo; - checksum (MD5, SHA2-256, SHA1) del nome del computer su cui viene eseguito il processo; - titoli delle finestre del processo; - identificativo dei database anti-virus, nome della minaccia rilevata secondo la classificazione del Titolare dei diritti; - dati sulla licenza installata, tra cui identificativo, tipo e data di scadenza; - ora locale del computer al momento dell'invio delle informazioni; - nomi e percorsi dei file a cui il processo ha avuto accesso; - nomi delle chiavi di registro e relativi valori a cui il processo ha avuto accesso; - URL e indirizzi IP a cui il processo ha avuto accesso; - URL e indirizzi IP da cui è stato scaricato il file attivo. Inoltre, per conseguire lo scopo dichiarato in merito alla prevenzione di falsi positivi, il Titolare dei diritti può ricevere file eseguibili o non eseguibili attendibili o relative parti. La descrizione dei dati trasmessi in base alle impostazioni di utilizzo di KSN specificate è disponibile nel Manuale dell'utente. La scelta di partecipare da parte tua Puoi scegliere di inviare automaticamente i dati su base regolare al Titolare dei diritti ai sensi della presente Informativa. Puoi revocare in qualsiasi momento il tuo consenso dalle impostazioni del Software come descritto nel Manuale dell'utente. © 2020 AO Kaspersky Lab