Jump to content

Recommended Posts

Posted

Доброго времени суток.

Возникло непонимание использования антивируса Касперского на macOS.

Дано: имеется macOS Big Sur 11.6.5 (20G527) и желание использовать файловый антивирус Касперского. Для macOS чистого антивируса нет, пришлось купить годовую подписку KIS на 2 устройства (варианта на 1 устройство на год нет, либо 1 устройство на 2 года, либо 2 устройства на год)
Ладно, приобрёл лицензию, скачал KIS, установил, далее начинаются "веселости":

1. Невозможно использовать KIS только как файловый антивирус: обязательно требуется установка фильтра сетевого трафика - либо отмена установки и, соответственно, неработающий продукт, либо установка - других вариантов нет.

1999065767_2022-04-0410_33_38.thumb.png.474415d89a8a9a9d0ce18c9543773538.png

2. Ладно, допускаем, что непродумали этот момент и устанавливаем сетевой фильтр с разрешениями в надежде потом отключить, равно как и проверку шифрованного https.

В результате после установки (и проверки после перезагрузки) отваливается часть системных сервисов, например репликация фотографий через iCloud. Ладно, допустим операционная система серьезно относится данным пользователей и не дает перехватывать их облачные данные даже после внедрения своего  MiM-механизма. Не вопрос, отключаем

404552608_2022-04-0410_40_35.thumb.png.f33f518027cc64c7e5ee76ab2439d751.png

Но что мы видим: даже с отключенной фильтраций данные продолжают идти через фильтр, а системная кнопка "отключить" для VPN-фильтра Касперского бесполезна - соединение снова стартует.

3. Мы же "самые умные", на ресурсах техподдержки поиск ничего не дает, из программы обращение в техподдержку ведет на форум и блог, так что поступаем кардинально: удаляем в настройках операционной системы VPN-фильтр. Опа, операционная система виснет (реакции на клавиатуру и мышку нет). Перезагружаем по питанию, на этапе запуска программ из прошлой сессии получаем снова фриз. Перезагрузка без автозапуска программ спасает... приложения работают норм, заработала репликация с iCloud и все норм, пока не запустим KIS - снова получили фриз системы.

 

На текущий момент получается, что сам дурак: надо было сначала проверить в демо-доступе, а потом уже платить - благо Касперский это позволяет.
Но, поскольку средства уже ушли, придется что-то придумывать и "обращаться к коллективному разуму": как использовать под MacOS только антивирус без сетевого фильтра и браузерных примочек?
Сдается мне, что, помимо неработающего отключения сетевого фильтра в настройках программы и подвешивающего ОС удаления vpn-фильтра в настройках системы требуется что-то еще.
(Проблем с использованием терминала нет, теоретически можно потратить время на отладку и ковыряние системных логов, удаления регистрации выявленных скрытых компонентов, но, надеюсь, проблема уже всплывала и существует готовое экономящее время и нервы решение)

 

Posted
7 минут назад, kmscom сказал:

попробуйте создать запрос о возврате средств https://support.kaspersky.ru/common/buy/14828

Благодарю, но это "крайний вариант напоследок", равносильный выводу о полной бесполезности и несоответствию приобретенного продукта, чего на текущий момент нет. (вряд ли я единственный желающий использовать данный антивирус на маке без системы перехвата и контроля всего трафика)

Соответственно, склоняюсь к техническому решению: либо я сам где-то недоглядел, не нашел способа корректного использования KIS на яблочных устройствах без сетевой фильтрации, либо разработчики с тестировщиками прохалтурили и проблема устранится обновлением в ближайшем будущем.

Posted

попробуйте уточнить этот вопрос 

6 минут назад, Kilrathi сказал:

использования KIS на яблочных устройствах без сетевой фильтрации

у специалистов техподдержки https://support.kaspersky.ru/b2c/RU

 

я пользователь Windows и Android 

Posted
21 час назад, kmscom сказал:

попробуйте уточнить этот вопрос 

у специалистов техподдержки https://support.kaspersky.ru/b2c/RU

Из полезного себе: нашел где я дурак - там действительно, если прокрутить.в самый низ странички, есть ссылки для создания заявки (до этого хватило лишь на пару скроллов, после чего ушел поиском по FAQ-у, блогу и форуму)

Из интересных наблюдений: по созданной сразу заявке обещались отписаться вечером... но, поскольку это оказался явно не вчерашний вечер, даты ответа и последующего решения под вопросом ?

Из выявленных самостоятельно в фоне технических нюансов:

1. При отключении сетевой фильтрации в настройках KIS программа все равно пропускает через себя все сетевые соединения: это легко проверяется попытками сброса технического vpn-фильтра sysextctrld - все соединения рвутся и уходят на повтор/переподключение

2. Один из источников фризов ОС, похоже, где-то на уровне взаимодействия браузерного плагина и сетевого фильтра: вероятно взаимодействие плагина с программой идет не напрямую, а через этот самый vpn-фильтр.

3. Общая причина, похоже, в самой изначальной архетиктуре KIS для macOS: Applications/Kaspersky Anti-Virus For Mac.app/Contents/MacOS/sysextctrld.app - это не только сетевой фильтр, но и общесистемное расширение для всего, т.е. отвечает не только за перехват и контроль сетевых подключений, но и за контроль оперативной памяти и файловых операций (судя по описанию в Info.plist). Т.е. работы велись, судя по двум модулям ядра klif.kext и klnke.kext, но пошли в сторону оптимизации затрат реализации
Если присмотреться внимательней к com.apple.developer.endpoint-security.client, то там идет сетевой перехват по "направлениям":

- packet-tunnel-provider-systemextension - это понятно, "чистый" MiM/VPN фильтр для перехвата всех сетевых соединений
- app-proxy-provider-systemextension - вероятно тут цепляется/обрабатывается перехват http/https
- content-filter-provider-systemextension - аналогично
- dns-proxy-systemextension - перехват dns запросов
Т.е. вместо того, чтоб сделать а-ля stand-alone браузерное взаимодействие, решили, что клиенты не будут отключать сетевую фильтрацию и все пустили через нее.

4. Так же всплыли мелкие недоработки

- дублирующиеся классы, например в libnetwork_attack_blocker.dylib и libconnection_redirector.dylib или в libbrowser_accessor_commons.dylib и KasperskySecurity
- повышенная нагрузка вследствие использования HideUntilCheckIn
- Попытки использования пользовательских привилегий в com.kaspersky.kav.delayed_start (сервис с привилегиями пользователя на автостарте желательно через polkit)
- сгенерированный сервис *.com.kaspersky.kav.sysext периодически уходит в череду перезапусков, вылетая с ошибкой каждые 0-8 секунд.
...

PS: Могу и ошибаться, ибо очень давно ушел от кодинга в сторону обычного опытного юзверя, но то, что видится поверхностно: после полного отключения сетевой фильтрации (выгрузке сетевого модуля на уровне ОС) в текущей архитектуре KIS может использоваться только в режиме сканирования по требованию, т.е. защита браузерным плагином и контроль файлов в реальном времени будут не доступны. Соответственно, опции отключения контроля файлов, сетевого трафика и браузерных соединений в самом приложении KIS сделаны лишь в декоративных целях: максимум, на что они могут влиять (чтоб убедиться надо лезть в дизасм, а это слишком ресурсоемко - потому строю предположения) - это продолжать пропускать через себя всю информацию клиентского компьютера, снизив количество ее обработок. А-ля ваша машина, которая продолжает ездить сама и периодически требовать заправки, даже когда вы ею не пользуетесь - просто потому, что выключение двигателя не предусмотрено: уменьшается лишь расход топлива за счет снижения перевозимого веса.
Как-то так.

  • Solution
Posted

В общем, официальный ответ: отключать полностью можно только блокировку внешних сетевых атак - дополнительный (посколько в системе уже есть свой) файрвол.
1985089122_2022-04-0517_42_11.png.74bb6a328211c1d3c84d9326adb79a50.png

Все остальное (контроль локальной памяти, проверка локальных файлов и тп) требует для работы сетевой фильтр, т.е. не отключается (отключается полным выходом/завершением работы KIS)
1421451832_2022-04-0517_42_23.png.49e5202d69ccb3664866ab9a05f86654.png

Соответственно, в обозримом/ближайшем будущем, с учетом, что Kaspersky Anti-Virus для Mac похоронен давным давно, - без вариантов.

Тему можно закрывать.

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...