OŚWIADCZENIE W SPRAWIE SIECI KASPERSKY SECURITY NETWORK (KSN) - Kaspersky Endpoint Security 11 for Windows

Niniejsze Oświadczenie w Sprawie Sieci Kaspersky Security Network (zwane dalej „Oświadczeniem KSN”) odnosi się do programu komputerowego Kaspersky Endpoint Security (zwanego dalej „Oprogramowaniem”).
Oświadczenie KSN, wraz z Umową Licencyjną Użytkownika Końcowego na Oprogramowanie, w szczególności paragrafem „Postanowienia dotyczące Przetwarzania Danych” (ang. Conditions regarding Data Processing), określają warunki, obowiązki i procedury związane z przesyłaniem i przetwarzaniem danych wskazanych w Oświadczeniu KSN. Przed akceptacją prosimy o uważne zapoznanie się z Oświadczeniem KSN oraz wszystkimi dokumentami, do których znajdują się w nim odniesienia.

Od momentu aktywacji KSN Użytkownik Końcowy ponosi wszelką odpowiedzialność za zapewnienie, że przetwarzanie danych osobowych Podmiotów Danych będzie odbywać się w sposób zgodny z prawem, w szczególności w rozumieniu Art. 6, od (1) (a) do (1) (f), Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 o ochronie danych („RODO”), jeśli Podmiot Danych przebywa na terenie Unii Europejskiej, lub obowiązujących przepisów w sprawie informacji poufnych, danych osobowych, ochrony danych lub podobnych.

Ochrona i przetwarzanie danych
Dane otrzymywane przez Posiadacza Praw od Użytkownika Końcowego w czasie korzystania z KSN są przetwarzane w sposób zgodny z Zasadami Ochrony Prywatności Posiadacza Praw opublikowanymi na stronie https://www.kaspersky.com/Products-and-Services-Privacy-Policy.

Cel przetwarzania danych
Umożliwienie zwiększania skuteczności ochrony przed zagrożeniami dla bezpieczeństwa sieci i informacji, którą to ochronę zapewnia Oprogramowanie. Deklarowany cel jest osiągany przez:
– określanie reputacji skanowanych obiektów;
– identyfikowanie nowych i trudnych do wykrycia zagrożeń dla bezpieczeństwa informacji oraz źródeł tych zagrożeń;
– podejmowanie niezwłocznych środków na rzecz zwiększania poziomu ochrony danych przechowywanych i przetwarzanych przez Użytkownika Końcowego za pomocą Komputera;
– ograniczanie prawdopodobieństwa wystąpienia fałszywych alarmów;
– zwiększanie efektywności komponentów Oprogramowania;
– zapobieganie zdarzeniom związanym z bezpieczeństwem informacji oraz badanie zdarzeń, które wystąpiły;
– zwiększanie wydajności produktów Posiadacza Praw;
– otrzymywanie informacji referencyjnych na temat liczby obiektów o znanej reputacji.

Przetwarzane dane
Po włączeniu KSN Posiadacz Praw będzie automatycznie otrzymywał i przetwarzał następujące dane:

Dane przesyłane przez Użytkownika zależą od typu zainstalowanej licencji i określonych ustawień użycia KSN.

Jeśli Użytkownik korzysta z licencji dla 1-4 węzłów, Posiadacz Praw automatycznie otrzyma i przetworzy następujące dane podczas korzystania z usługi KSN:
– informacje na temat aktualizacji konfiguracji KSN: identyfikator aktywnej konfiguracji, identyfikator otrzymanej konfiguracji, kod błędu aktualizacji konfiguracji;
– informacje o plikach i adresach URL wymagających skanowania: sumy kontrolne skanowanych plików (MD5, SHA2-256, SHA1) i wzorce plików (MD5), rozmiar wzorca, typ wykrytego zagrożenia i jego nazwę według klasyfikacji Posiadacza Praw, identyfikator dla antywirusowych baz danych, adres URL, którego reputacja jest sprawdzana, a także adres URL strony odsyłającej, identyfikator protokołu połączenia oraz numer używanego portu;
– identyfikator zadania skanowania, które wykryło zagrożenie;
– informacje o używanych certyfikatach cyfrowych, wymagane do zweryfikowania ich autentyczności: sumy kontrolne (SHA2-256) certyfikatu użytego do podpisania przeskanowanego obiektu oraz klucz publiczny certyfikatu;
– identyfikator składnika Oprogramowania wykonującego skanowanie;
– identyfikatory antywirusowych baz danych i rekordów w nich;
– informacje o aktywacji Oprogramowania na Komputerze: podpisany nagłówek zgłoszenia z usługi aktywacji (identyfikator regionalnego centrum aktywacji, suma kontrolna kodu aktywacyjnego, suma kontrolna zgłoszenia, data utworzenia zgłoszenia, niepowtarzalny identyfikator zgłoszenia, wersja zgłoszenia, status licencji, data i godzina rozpoczęcia/końca ważności zgłoszenia, niepowtarzalny identyfikator licencji, wersja licencji), identyfikator certyfikatu użytego do podpisania nagłówka zgłoszenia, sumę kontrolną (MD5) pliku klucza;
– informacje o Oprogramowaniu Posiadacza Praw: jego pełna wersja, typ, wersja protokołu używanego do łączenia się z usługami Posiadacza Praw.

Jeśli Użytkownik korzysta z licencji dla co najmniej 5 węzłów, Posiadacz Praw automatycznie otrzyma i przetworzy następujące dane podczas korzystania z usługi KSN:
– informacje na temat aktualizacji konfiguracji KSN: identyfikator aktywnej konfiguracji, identyfikator otrzymanej konfiguracji, kod błędu aktualizacji konfiguracji;
– informacje o plikach i adresach URL wymagających skanowania: sumy kontrolne skanowanych plików (MD5, SHA2-256, SHA1) i wzorce plików (MD5), rozmiar wzorca, typ wykrytego zagrożenia i jego nazwę według klasyfikacji Posiadacza Praw, identyfikator dla antywirusowych baz danych, adres URL, którego reputacja jest sprawdzana, a także adres URL strony odsyłającej, identyfikator protokołu połączenia oraz numer używanego portu;
– informacje o wynikach kategoryzacji zasobów sieci Web, których dotyczyło żądanie, zawierające przetwarzane adresy URL i IP hosta, wersję komponentu Oprogramowania, który przeprowadził kategoryzację, metodę kategoryzacji i zestaw kategorii zdefiniowany dla zasobu sieci Web;
– identyfikator zadania skanowania, które wykryło zagrożenie;
– informacje o używanych certyfikatach cyfrowych, wymagane do zweryfikowania ich autentyczności: sumy kontrolne (SHA2-256) certyfikatu użytego do podpisania przeskanowanego obiektu oraz klucz publiczny certyfikatu;
– informacje o oprogramowaniu zainstalowanym na Komputerze: nazwy aplikacji i dostawców oprogramowania, klucze rejestru i ich wartości, informacje o plikach zainstalowanych komponentów oprogramowania [sumy kontrolne (MD5, SHA2-256, SHA1), nazwę, ścieżkę pliku na Komputerze, rozmiar, wersję i sygnaturę cyfrową];
– informacje o stanie ochrony antywirusowej Komputera: wersje i daty wydania używanych antywirusowych baz danych, statystyki aktualizacji i połączeń z usługami Posiadacza Praw, identyfikator zadania i identyfikator komponentu Oprogramowania przeprowadzającego skanowanie;
– informacje o plikach pobieranych przez Użytkownika Końcowego: adresy URL i IP pobrań i stron pobierania, identyfikator protokołu pobierania i numer portu połączenia, status złośliwości lub braku złośliwości adresu URL, atrybuty, rozmiar i sumy kontrolne plików (MD5, SHA2-256, SHA1), informacje o procesie, który pobrał plik [sumy kontrolne (MD5, SHA2-256, SHA1), datę i czas utworzenia/zbudowania, status automatycznego uruchamiania, atrybuty, nazwy packerów, informacje o sygnaturach, znacznik pliku wykonywalnego, identyfikator formatu i entropię], nazwę pliku i jego ścieżkę na Komputerze, cyfrową sygnaturę pliku i znacznik czasu jej utworzenia, adres URL miejsca wykrycia, numer skryptu na podejrzanej lub szkodliwej stronie, informacje o wygenerowanych żądaniach HTTP i odpowiedzi na nie;
– informacje o pracujących aplikacjach i ich modułach: dane o procesach pracujących w systemie [identyfikator procesu (PID), nazwę procesu, informacje o koncie, z którego proces został uruchomiony, aplikację i polecenie, które uruchomiły proces, znacznik zaufanego programu lub procesu, pełną ścieżkę plików procesu i uruchamiające polecenie wiersza, poziom integralności procesu, opis produktu, do którego należy proces (nazwę produktu i informacje o wydawcy), używane certyfikaty cyfrowe i informacje niezbędne do zweryfikowania ich autentyczności lub informacje o braku sygnatury cyfrowej pliku], a także informacje o modułach załadowanych do procesów [ich nazwy, rozmiary, typy, daty utworzenia, atrybuty, sumy kontrolne (MD5, SHA2-256, SHA1), ścieżki na Komputerze], informacje o nagłówku pliku PE, nazwy packerów (jeśli plik był spakowany);
– informacje o wszystkich potencjalnie złośliwych obiektach i działaniach: nazwę wykrytego obiektu i jego pełną ścieżkę na Komputerze, sumy kontrolne (MD5, SHA2-256, SHA1) przetwarzanych plików, datę i czas wykrycia, nazwy i rozmiary zainfekowanych plików oraz ścieżki do nich, kod szablonu ścieżki, znacznik informujący o tym, czy obiekt jest kontenerem, nazwy packerów (jeśli plik był spakowany), kod typu pliku, identyfikator formatu pliku, wykaz aktywności złośliwych aplikacji oraz powiązanych z nimi decyzji podjętych przez Oprogramowanie i Użytkownika Końcowego, identyfikatory dla antywirusowych baz danych, których Oprogramowanie użyło do podjęcia decyzji, nazwę wykrytego zagrożenia według klasyfikacji Posiadacza Praw, poziom zagrożenia, status i metodę wykrycia, powód uwzględnienia pliku w analizowanym kontekście oraz numer seryjny pliku w tym kontekście, sumy kontrolne (MD5, SHA2-256, SHA1), nazwę i atrybuty pliku wykonywalnego aplikacji, która przekazała zainfekowany komunikat lub łącze, zanonimizowany adres IP (IPv4 i IPv6) zablokowanego obiektu hosta, entropię pliku, status automatycznego uruchamiania, czas pierwszego wykrycia pliku w systemie, liczbę uruchomień pliku od momentu ostatniego przesłania statystyk, informacje o nazwie, sumach kontrolnych (MD5, SHA2-256, SHA1) i rozmiarze klienta poczty elektronicznej użytego do otrzymania złośliwego obiektu, identyfikator zadania z oprogramowania, które przeprowadziło skanowanie, znacznik weryfikacji reputacji lub weryfikacji sygnatury pliku, wynik przetwarzania pliku, sumę kontrolną (MD5) wzorca odczytanego po stronie obiektu i rozmiar wzorca w bajtach, parametry techniczne stosowanych technologii wykrywania;
– informacje o skanowanych obiektach: przypisaną grupę zaufania, do której i/lub z której plik został umieszczony, powód, dla którego plik umieszczono w danej kategorii, identyfikator kategorii, informacje o źródle kategorii i wersji bazy danych kategorii, znacznik certyfikatu zaufania pliku, nazwę dostawcy pliku, wersję pliku, nazwę i wersję aplikacji, do której należy plik;
– informacje o wykrytych lukach w zabezpieczeniach: identyfikator luki w bazie danych luk w zabezpieczeniach, klasę zagrożenia luki i status wykrycia;
– informacje o emulacji pliku wykonywalnego: rozmiar pliku i jego sumy kontrolne (MD5, SHA2-256, SHA1), wersję komponentu emulatora, głębokość emulacji, tablicę właściwości bloków logicznych i funkcji w obrębie bloków logicznych uzyskanych podczas emulacji oraz dane z nagłówków PE pliku wykonywalnego;
– informacje o atakach w sieci: adresy IP atakującego komputera (IPv4 i IPv6), numer portu na Komputerze będącym celem ataku w sieci, identyfikator protokołu pakietu IP zawierającego atak, cel ataku (nazwę organizacji, stronę internetową), znacznik reakcji na atak, wagę ataku oraz poziom zaufania;
– informacje o atakach powiązanych ze sfałszowanymi zasobami sieci, adresy DNS i IP (IPv4 i IPv6) odwiedzonych stron internetowych;
– adresy DNS i IP (IPv4 lub IPv6) zażądanego zasobu sieci Web, informacje o pliku i kliencie sieci Web żądających zasobu sieci Web, nazwę, rozmiar, sumy kontrolne (MD5, SHA-256, SHA1) pliku, jego pełną ścieżkę i kod szablonu ścieżki, wynik weryfikacji sygnatury cyfrowej i jej status według KSN;
– informacje o procesie cofania aktywności złośliwego oprogramowania: dane na temat pliku, którego aktywności zostały cofnięte [nazwę pliku, pełną ścieżkę do pliku, rozmiar i sumy kontrolne (MD5, SHA2-256, SHA1)], dane na temat udanych i nieudanych działań na rzecz usunięcia, zmiany nazwy i skopiowania plików oraz przywrócenia wartości w rejestrze (nazwy kluczy rejestru i ich wartości) oraz informacje o plikach systemowych zmienionych przez złośliwe oprogramowanie – przed i po wycofaniu;
– informacje o wykluczeniach skonfigurowanych dla podzespołu adaptacyjnej kontroli anomalii: identyfikator i status zasady, którą aktywowano, działanie wykonane przez Oprogramowanie, gdy aktywowano zasadę, typ konta użytkownika, z którego proces lub wątek wykonuje podejrzane działanie, a także informacje na temat procesu, którego dotyczyło podejrzane działanie (identyfikator skryptu lub nazwa pliku procesu, pełna ścieżka do pliku procesu, kod szablonu ścieżki, sumy kontrolne (MD5, SHA2-256, SHA1) pliku procesu); informacje na temat obiektu, który wykonał podejrzane działania oraz oraz obiektu, który był przedmiotem podejrzanych działań (nazwa klucza rejestru lub nazwa pliku, pełna ścieżka do pliku, kod szablonu ścieżki oraz sumy kontrolne (MD5, SHA2-256, SHA1) pliku;
– informacje o modułach załadowanych przez Oprogramowanie: nazwę, rozmiar i sumy kontrolne (MD5, SHA2-256, SHA1) pliku modułu, jego pełną ścieżkę i kod szablonu ścieżki pliku, parametry sygnatury cyfrowej pliku modułu, znacznik czasu wygenerowania sygnatury, nazwy podmiotu i organizacji, które podpisały plik modułu, identyfikator procesu, w którym moduł został załadowany, nazwę dostawcy modułu oraz numer indeksu modułu w kolejce ładowania;
– informacje na temat jakości interakcji Oprogramowania z usługami KSN: data i godzina rozpoczęcia oraz zakończenia okresu generowania statystyk, informacje na temat jakości żądań i połączenia z każdą z używanych usług KSN (identyfikator usługi KSN, liczba skutecznych żądań, liczba żądań z odpowiedziami z cache, liczba nieskutecznych żądań (problemy z siecią, wyłączenie KSN w ustawieniach Oprogramowania, nieprawidłowe przekierowanie), zakres czasu skutecznych żądań, zakres czasu anulowanych żądań, zakres czasu żądań z przekroczonym limitem czasu, liczba połączeń z KSN wychodzących z cache, liczba skutecznych połączeń z KSN, liczba nieskutecznych połączeń z KSN, liczba skutecznych transakcji, liczba nieskutecznych transakcji, zakres czasu skutecznych połączeń z KSN, zakres czasu nieskutecznych połączeń z KSN, zakres czasu skutecznych transakcji, zakres czasu nieskutecznych transakcji);
– informacje na temat danych w pamięci procesów w przypadku usunięcia potencjalnie złośliwego obiektu: elementy hierarchii obiektów systemu (ObjectManager), dane w pamięci UEFI BIOS oraz nazwy kluczy rejestru i ich wartości;
– informacje o zdarzeniach w dziennikach systemowych: znacznik czasu zdarzenia, nazwę dziennika, w którym znaleziono zdarzenie, typ i kategorię zdarzenia oraz nazwę źródła zdarzenia i opis zdarzenia;
– informacje o połączeniach sieciowych: wersję i sumy kontrolne (MD5, SHA2-256, SHA1) pliku, z którego uruchomiono proces, który otworzył port, ścieżkę do pliku procesu i jego sygnaturę cyfrową, lokalne i zdalne adresy IP, numery lokalnych i zdalnych portów połączeń, stan połączenia oraz znacznik czasu otwarcia portu;
– informacje o dacie instalacji i aktywacji Oprogramowania na Komputerze: identyfikator partnera, od którego kupiono licencję, numer seryjny licencji, podpisany nagłówek zgłoszenia z usługi aktywacji (identyfikator regionalnego centrum aktywacji, suma kontrolna kodu aktywacji, suma kontrolna zgłoszenia, data utworzenia zgłoszenia, niepowtarzalny identyfikator zgłoszenia, wersja zgłoszenia, status licencji, data i godzina rozpoczęcia/zakończenia ważności zgłoszenia, niepowtarzalny identyfikator licencji, wersja licencji), identyfikator certyfikatu wykorzystywany do podpisania nagłówka zgłoszenia, suma kontrolna (MD5) pliku klucza, niepowtarzalny identyfikator na potrzeby instalacji Oprogramowania na Komputerze, typ i identyfikator aktualizowanej aplikacji, identyfikator zadania aktualizacji;
– informacje o zestawie zainstalowanych aktualizacji oraz zestawie ostatnio zainstalowanych/usuniętych aktualizacji, typ zdarzenia, które spowodowało przesłanie informacji o aktualizacji, czas od instalacji ostatniej aktualizacji oraz informacje o wszelkich aktualnie zainstalowanych antywirusowych bazach danych;
– informacje o działaniu Oprogramowania na Komputerze: dane użycia procesora, dane użycia pamięci (bajty prywatne, pulę niestronicowaną), liczbę aktywnych i oczekujących wątków Oprogramowania oraz czas pracy Oprogramowania od momentu wystąpienia ostatniego błędu;
– liczbę zrzutów oprogramowania i pamięci (niebieski ekran śmierci) od momentu instalacji Oprogramowania oraz od momentu ostatniej aktualizacji, identyfikator i wersję modułu Oprogramowania, który uległ awarii, stos pamięci w procesie Oprogramowania oraz informacje o antywirusowych bazach danych w momencie awarii;
– dane na temat zrzutu systemu (niebieski ekran śmierci): znacznik wskazujący wystąpienie niebieskiego ekranu na Komputerze, nazwę programu sterującego, którzy spowodował wystąpienie niebieskiego ekranu, adres i stos pamięci w programie sterującym, znacznik wskazujący czas trwania sesji systemu operacyjnego przed wystąpieniem niebieskiego ekranu, stos pamięci programu sterującego, który uległ awarii, typ przechowywanego zrzutu pamięci, znacznik systemu operacyjnego informujący o trwaniu jego sesji przez ponad 10 minut przed wystąpieniem niebieskiego ekranu, unikalny identyfikator zrzutu oraz znacznik czas niebieskiego ekranu;
– informacje o błędach, które wystąpiły w czasie pracy komponentów Oprogramowania: identyfikator statusu Oprogramowania, typ błędu, kod i czas wystąpienia, identyfikatory komponentu, modułu i procesu produktu, w którym wystąpił błąd, identyfikator kategorii zadania lub aktualizacji, w czasie których wystąpił błąd, dzienniki programów sterujących używanych przez Oprogramowanie (kod błędu, nazwę modułu, nazwę źródła pliku i wiersz, w którym wystąpił błąd);
– informacje o aktualizacjach antywirusowych baz danych i komponentów Oprogramowania: nazwę, datę i czas pobrania plików indeksu pobranych podczas ostatniej aktualizacji i pobieranych podczas bieżącej aktualizacji;
– informacje o nieprawidłowym zakończeniu działania Oprogramowania: znacznik czasu utworzenia zrzutu, jego typ, typ zdarzenia, które spowodowało nieprawidłowe zakończenie działania Oprogramowania (nieoczekiwanego wyłączenia zasilania, awarii aplikacji innej firmy) oraz datę i godzinę nieoczekiwanego wyłączenia zasilania;
– informacje o niezgodności sterowników Oprogramowania ze sprzętem i Oprogramowaniem: informacje o właściwościach systemu operacyjnego, które ograniczają funkcjonalność składników Oprogramowania (Secure Boot, KPTI, WHQL Enforce, BitLocker, Case Sensitivity), typ pobrania instalowanego Oprogramowania (UEFI, BIOS), identyfikator Modułu TMP (Trusted Platform Module), wersja specyfikacji TPM, informacje na temat procesora zainstalowanego na Komputerze, tryb działania i parametry integralności kodu oraz ochrony urządzenia, tryb działania sterowników oraz powód ich wykorzystania w obecnym trybie, wersja sterowników Oprogramowania, status wsparcia wirtualizacji oprogramowania i sprzętu na Komputerze;
– informacje o aplikacjach innych firm, które spowodowały błąd: nazwę, wersję i lokalizację, kod błędu i informacje o błędzie z dziennika systemowego aplikacji, adres błędu i stos pamięci aplikacji innej firmy, znacznik wskazujący wystąpienie błędu w komponencie Oprogramowania, czas działania aplikacji innej firmy przed wystąpieniem błędu, sumy kontrolne (MD5, SHA2-256, SHA1) obrazu procesu aplikacji, w którym wystąpił błąd, ścieżkę obrazu procesu aplikacji i kod szablonu ścieżki, informację z dziennika systemowego z opisem błędu powiązanego z aplikacją, informacje o module aplikacji, w którym wystąpił błąd (identyfikator wyjątku, adres pamięci związany z awarią jako przesunięcie w module aplikacji, nazwę i wersję modułu, identyfikator awarii aplikacji w dodatku Posiadacza Praw i stos pamięci z awarii, a także czas trwania sesji aplikacji przed awarią);
– wersję komponentu aktualizatora Oprogramowania, liczbę awarii komponentu aktualizatora w czasie trwania zadań aktualizacji przez łączny czas działania komponentu, identyfikator typu zadania aktualizacji, liczbę nieudanych prób ukończenia zadań aktualizacji przez komponent aktualizatora;
– informacje o działaniu komponentów systemowych monitorujących Oprogramowanie: pełne wersje komponentów, data i godzina uruchomienia komponentów, kod zdarzenia, które spowodowało przeciążenie kolejki zdarzeń oraz liczbę takich zdarzeń, całkowitą liczbę zdarzeń przeciążenia kolejki, informacje o pliku procesu inicjatora zdarzenia [nazwę pliku i jego ścieżkę na Komputerze, kod szablonu ścieżki pliku, sumy kontrolne (MD5, SHA2-256, SHA1) procesów powiązanych z plikiem, wersję pliku], identyfikator przerwania zdarzenia, które wystąpiło, pełną wersję filtra przerwania, identyfikator typu przerwanego zdarzenia, rozmiar kolejki zdarzeń i liczbę zdarzeń od pierwszego w kolejce do bieżącego, liczbę przeterminowanych zdarzeń w kolejce, informacje o pliku procesu inicjatora bieżącego zdarzenia [nazwę pliku i jego ścieżkę na Komputerze, kod szablonu ścieżki pliku, sumy kontrolne (MD5, SHA2-256, SHA1) procesów powiązanych z plikiem], czas przetwarzania zdarzenia, maksymalny czas przetwarzania zdarzenia oraz prawdopodobieństwo przesłania statystyk, informacje na temat zdarzeń OS, dla których przekroczono limit czasu przetwarzania (data i godzina zdarzenia, liczba powtórzonych inicjalizacji antywirusowych baz danych, data i godzina ostatniej powtórzonej inicjalizacji antywirusowych baz danych po ich aktualizacji, czas opóźnienia przetwarzania zdarzenia dla każdego komponentu monitorującego system, liczba zdarzeń w kolejce, liczba przetworzonych zdarzeń, liczba opóźnionych zdarzeń aktualnego typu, całkowity czas opóźnienia dla zdarzeń aktualnego typu, całkowity czas opóźnienia dla wszystkich zdarzeń);
– informacje z narzędzia śledzenia zdarzeń dla Windows (ETW) w przypadku problemów z działaniem Oprogramowania, dostawcy zdarzeń SysConfig / SysConfigEx / WinSATAssessment z Microsoft: informacje na temat Komputera (model, producent, współczynnik kształtu obudowy, wersja), informacje na temat wskaźników wydajności Windows (oceny WinSAT, wskaźnik wydajności Windows), nazwa domeny, informacje na temat procesorów fizycznych i logicznych (liczba procesorów fizycznych i logicznych, producent, model, poziom krokowy, liczba rdzeni, częstotliwość zegara, CPUID, właściwości cache, właściwości procesora logicznego, wskaźniki obsługiwanych trybów i instrukcje), informacje na temat modułów RAM (typ, współczynnik kształtu, producent, model, pojemność, rozdrobnienie alokacji pamięci), Informacje na temat interfejsów sieciowych (adresy IP i MAC, nazwa, opis, konfiguracja interfejsów sieciowych, podział liczby i wielkości pakietów sieciowych według typu, prędkość wymiany sieciowej, podział liczby błędów sieciowych według typu), konfiguracja kontrolera IDE, adresy IP serwerów DNS, informacje na temat karty wideo (model, opis, producent, zgodność, pojemność pamięci wideo, dozwolony ekran, liczba bitów na piksel, wersja BIOS-u), informacje o urządzeniach typu plug-and-play (nazwa, opis, identyfikator urządzenia [PnP, ACPI], informacje o dyskach i urządzeniach do przechowywania (liczba dysków lub pamięci przenośnych, producent, model, pojemność dysku, liczba cylindrów, liczba ścieżek na cylinder, liczba sektorów na ścieżkę, pojemność sektora, charakterystyka cache, numer sekwencyjny, liczba partycji, konfiguracja kontrolera SCSI), Informacje na temat dysków logicznych (numer sekwencyjny, pojemność partycji, pojemność wolumenu, litera wolumenu, typ partycji, typ systemu plików, liczba klastrów, wielkość klastra, liczba sektorów na klaster, liczba pustych i zajętych klastrów, litera wolumenu zawierającego oprogramowanie do uruchomienia, adres offsetowy partycji w odniesieniu do początku dysku), informacje na temat płyty głównej BIOS (producent, data wydania, wersja), informacje na temat płyty głównej (producent, model, typ), informacje na temat pamięci fizycznej (współdzielona i wolna), informacje o usługach w ramach systemu operacyjnego (nazwa, opis, status, oznaczenie, informacje na temat procesów [nazwa i PID], parametry zużycia energii dla Komputera, konfiguracja kontrollera przerywania, ścieżka do folderów systemu Windows (Windows i System32), informacje o systemie operacyjnym (wersja, build, data wydania, nazwa, typ, data instalacji), wielkość pliku strony, informacje na temat monitorów (liczba, producent, dozwolony ekran, rozdzielczość, typ), informacje na temat sterownika karty wideo (producent, data wydania, wersja);
– informacje z ETW, dostawcy zdarzeń EventTrace / EventMetadata z Microsoft: informacje na temat sekwencji zdarzeń systemowych (typ, godzina, data, strefa czasowa), metadane na temat pliku z wynikami śledzenia (nazwa, struktura, parametry śledzenia, podział liczby operacji śledzenia według typu), informacje o systemie operacyjnym (nazwa, typ, wersja, moduł, data wydania, czas uruchomienia);
– informacje z ETW, dostawcy zdarzeń procesu / procesu Microsoft Windows Kernel / zasilania procesora Microsoft Windows Kernel z Microsoft: informacje o rozpoczętych i ukończonych procesach (nazwa, PID, parametry początkowe, wiersz poleceń, kod powrotu, parametry zarządzania zasilaniem, data rozpoczęcia i ukończenia, typ tokenu dostępu, SID, identyfikator sesji, liczba zainstalowanych deskryptorów), informacje o zmianach w priorytetach wątku (TID, priorytet, czas), informacje o operacjach dysku procesu (typ, czas, wydajność, liczba), historia zmian struktury i pojemności wykorzystywanych procesów pamięci;
– informacje z ETW, dostawców zdarzeń StackWalk / Perfinfo z Microsoft: informacje o licznikach wydajności (wydajność poszczególnych sekcji kodu, sekwencja wywołań funkcji, PID, TID, adresy i atrybuty ISR i DPC);
– informacje z ETW, dostawcy zdarzeń KernelTraceControl-ImageID z Microsoft: informacje na temat plików wykonywalnych i dynamicznych bibliotek (nazwa, wielkość obrazu, pełna ścieżka), informacje na temat plików PDB (nazwa, identyfikator), dane zasobów VERSIONINFO dla plików wykonywalnych (nazwa, opis, twórca, lokalizacja, wersja aplikacji i identyfikator, wersja pliku identyfikator);
– informacje z ETW, dostawcy zdarzeń FileIo / DiskIo / Image / Windows Kernel Disk z Microsoft: informacje na temat pliku i działania dysku (typ, pojemność, czas rozpoczęcia, czas ukończenia, czas trwania, status ukończenia, PID, TID, adresy wywołania funkcji sterownika, pakiet żądań wejściowych/wyjściowych (IRP), atrybuty obiektu pliku Windows), informacje na temat plików biorących udział w działaniach pliku i dysku (nazwa, wersja, wielkość, pełna ścieżka, atrybuty, offset, suma kontrolna obrazu, opcje otwierania i dostępu);
– informacje z ETW, dostawcy zdarzeń PageFault z Microsoft: informacje na temat błędów dostępu do strony pamięci ( adres, czas, pojemność, PID, TID, atrybuty pliku obiektów Windows, parametry alokacji pamięci);
– informacje z ETW, dostawcy zdarzeń Threads z Microsoft: informacje o utworzeniu/ukończeniu wątku, informacje o rozpoczętych wątkach (PID, TID, wielkość stosu, priorytety i alokacje zasobów procesora, zasoby wejściowe/wyjściowe, strony pamięci pomiędzy wątkami, adres stosu, adres funkcji inicjalizacji, adres bloku otoczenia wątku (TEB), oznaczenie usługi);
– informacje z ETW, dostawcy zdarzeń Microsoft Windows Kernel Memory z Microsoft: informacje na temat operacji zarządzania pamięcią (status ukończenia, czas, ilość, PID), struktura alokacji pamięci (typ, wydajność, identyfikator sesji, PID);
– informacje o działaniu Oprogramowania w przypadku problemów z wydajnością: identyfikator instalacji Oprogramowania, typ i wartość spadku wydajności, informacje na temat sekwencji zdarzeń w Oprogramowaniu (czas, strefa czasowa, typ, status ukończenia, identyfikator komponentu Oprogramowania, identyfikator scenariusza działania Oprogramowania, TID, PID, adresy wywołania funkcji), informacje o połączeniach sieciowych, które trzeba sprawdzić (URL, kierunek połączenia, wielkość pakietu sieciowego), informacje o plikach PDB (nazwa, identyfikator, wielkość obrazu pliku wykonywalnego), informacje o plikach do sprawdzenia (nazwa, pełna ścieżka, suma kontrolna), parametry monitorowania działania Oprogramowania;
– informacje o ostatnim nieudanym ponownym uruchomieniu systemu operacyjnego: liczbę nieudanych prób ponownego uruchomienia od momentu instalacji systemu operacyjnego, dane na temat zrzutu systemu [kod i parametry błędu, nazwę, wersję i sumę kontrolną (CRC32) modułu, który spowodował błąd działania systemu operacyjnego, adres błędu jako przesunięcie w module, sumy kontrolne (MD5, SHA2-256, SHA1) zrzutu systemu);
– informacje pozwalające zweryfikować autentyczność cyfrowych certyfikatów używanych do podpisywania plików: cechy charakterystyczne certyfikatów, algorytm sumy kontrolnej, klucz publiczny i numer seryjny certyfikatu, nazwę wystawcy certyfikatu, wynik weryfikacji certyfikatu i identyfikator bazy danych certyfikatu;
– informacje o procesie uruchamiającym atak na mechanizm samoobronny Oprogramowania: nazwę i rozmiar pliku procesu, jego sumy kontrolne (MD5, SHA2-256, SHA1), pełną ścieżkę pliku procesu i kod szablonu ścieżki pliku, znaczniki czasu utworzenia/zbudowania, znacznik pliku wykonywalnego, atrybuty pliku procesu, informacje o certyfikacie użytym do podpisania pliku procesu, kod konta użytego do uruchomienia procesu, identyfikator operacji wykonanych w celu uzyskania dostępu do procesu, typ zasobu, za pomocą którego operacja jest wykonywana (proces, plik, obiekt rejestru, funkcja wyszukiwania FindWindow), nazwę zasobu, za pomocą którego operacja jest wykonywana, znacznik wskazujący powodzenie operacji, status pliku procesu i jego sygnaturę według KSN;
– informacje o Oprogramowaniu Posiadacza Praw: jego pełną wersję, typ, ustawienia języka i stan działania, wersję zainstalowanych komponentów Oprogramowania i stan ich działania, informacje o zainstalowanych aktualizacjach, wartość filtra TARGET oraz wersję protokołu użytego do połączenia z usługami Posiadacza Praw;
– informacje o sprzęcie zainstalowanym na Komputerze: typ, nazwę, nazwę modelu, wersję oprogramowania układowego, parametry urządzeń wbudowanych i połączonych, unikalny identyfikator Komputera z zainstalowanym Oprogramowaniem;
– informacje o wersjach systemu operacyjnego i zainstalowanych aktualizacji, wielkość słowa, edycję i parametry uruchamiania systemu operacyjnego oraz wersję i sumy kontrolne (MD5, SHA2-256, SHA1) pliku jądra systemu operacyjnego:
– informacje o interakcji Użytkownika z elementami sterującymi aplikacji (kliknięcia, zdarzenia dotknięcia).

Co więcej, w celu realizacji deklarowanego celu, tj. zwiększania efektywności ochrony zapewnianej przez Oprogramowanie, Posiadacz Praw może otrzymywać obiekty, które mogą być wykorzystane przez niepowołane osoby do poczynienia szkód na Komputerze i stworzenia zagrożeń dla bezpieczeństwa informacji. Takie obiekty obejmują:
– pliki wykonywalne i niewykonywalne lub ich części;
– części pamięci RAM Komputera;
– sektory zaangażowane w proces rozruchu systemu operacyjnego;
– pakiety danych ruchu sieciowego;
– strony internetowe i wiadomości e-mail zawierające podejrzane lub złośliwe obiekty;
– opis klas i instancji klas repozytorium WMI;
– raporty aktywności aplikacji.

Takie raporty aktywności aplikacji zawierają następujące dane na temat plików i procesów:
– nazwę, rozmiar i wersję przesyłanego pliku, jego opis i sumy kontrolne (MD5, SHA2-256, SHA1), identyfikator formatu pliku, nazwę dostawcy pliku, nazwę produktu, do którego należy plik, pełną ścieżkę na Komputerze, kod szablonu ścieżki pliku, znaczniki czasu utworzenia i modyfikacji pliku;
– datę rozpoczęcia i zakończenia/czas ważności certyfikatu (jeśli plik posiada sygnaturę cyfrową), datę i czas sygnatury, nazwę wystawcy certyfikatu, informacje o posiadaczu certyfikatu, cechy charakterystyczne, klucz publiczny certyfikatu i odpowiednie algorytmy oraz numer seryjny certyfikatu;
– nazwę konta, z którego proces został uruchomiony;
– sumy kontrolne (MD5, SHA2-256, SHA1) nazwy Komputera, na którym proces jest uruchomiony;
– tytuły okien procesów;
– identyfikator dla antywirusowej bazy danych, nazwę wykrytego zagrożenia według klasyfikacji Posiadacza Praw;
– dane na temat licencji instalacji, jej identyfikatora, typu i daty wygaśnięcia;
– lokalny czas Komputera w momencie przekazywania informacji;
– nazwy i ścieżki plików, do których proces uzyskał dostęp;
– nazwy kluczy rejestrów i ich wartości, do których proces uzyskał dostęp;
– adresy URL i IP, do których proces uzyskał dostęp;
– adresy URL i IP, z których pobrano uruchomiony plik.

Co więcej, w celu realizacji deklarowanego celu, tj. zapobiegania fałszywym alarmom, Posiadacz Praw może otrzymywać zaufane pliki wykonywalne i niewykonywalne lub ich części.

Opis przesyłanych danych w zależności od ustawień użycia KSN można znaleźć w instrukcji obsługi. 

Decyzja Użytkownika o uczestnictwie
Regularne automatyczne przesyłanie danych do Posiadacza praw zgodnie z niniejszym Oświadczeniem zależy wyłącznie od decyzji Użytkownika. W dowolnej chwili użytkownik może wycofać swoją zgodę w ustawieniach Oprogramowania w sposób opisany w Instrukcji użytkownika.

© 2020 AO Kaspersky Lab