这是一部完美间谍小说的情节:毕业于克格勃高中数学系的俄罗斯数学家、前国防部工程师尤金·卡巴斯基创建了世界上最好的反病毒发行商之一——卡巴斯基实验室。但实际上,这只是俄罗斯特工部门偷偷获取其全球 4 亿客户(包括公司和政府机构)数据的幌子。
在美国,这个故事大纲远不被认为是虚构的。几个月来,出版商的诚信度一直受到质疑。怀疑通过媒体曝光和列入黑名单。卡巴斯基软件不再获得美国联邦机构的授权。它们也从百思买和欧迪办公的货架上消失了。
过去两周,怀疑达到了新的高度。 10月5日,华尔街日报透露美国国家安全局的黑客工具被盗,据称一名顾问将其带回家,可能是为了“在办公时间之外继续工作”。这起盗窃事件发生在 2015 年,但直到 2016 年春天才被发现。据美国调查人员称,俄罗斯黑客利用卡巴斯基反病毒软件成功定位并窃取了这些秘密数据。该软件安装在该顾问的个人计算机上,并且(我们不确定如何)会检测到该数据的存在并通知俄罗斯黑客。从那时起,他们所要做的就是破解这台电脑并伸手去收获大奖。
10月10日,文章来自纽约时报等华盛顿邮报以更加疯狂的方式强化这个故事。据他们的消息来源称,以色列特勤局已向美国政府通报了这一数据盗窃事件。 2014 年,以色列黑客进入了出版商的网络,他们发现普京的报酬中也存在黑客。这是一种相当滑稽的情况,本来可以让前者静静地观察后者。据以色列人称,俄罗斯黑客使用卡巴斯基反病毒软件扫描客户的机器并搜索机密文件。特别是,在 2015 年,他们会看到只能属于 NSA 的数据通过,因此随之而来的警报。简而言之,卡巴斯基反病毒软件将扮演“敏感文档谷歌”的角色。
每个防病毒软件也都有后门
从严格的技术角度来看,这种情况是完全有可能的。根据定义,防病毒软件可以扫描安装它们的系统上的任何文件。当防病毒软件遇到恶意或可疑文件时,通常会向发布者发送警报,并隔离该文件。在某些情况下,所述文件的副本甚至会发送到发布者的服务器以进行深入分析。因此,任何防病毒软件都可以被视为用户自愿安装的后门。
从理论上讲,这种分析能力可能会被滥用。知道如何查找恶意软件的软件也可以找到其他东西,只要它被重新编程或操纵。据《华盛顿邮报》报道,卡巴斯基有一个名为“无声签名“ WHO“安静地运作”在客户端的计算机上,并且可以以允许的方式进行操纵“使用关键字或首字母缩略词在计算机上搜索潜在敏感文档”。卡巴斯基解释说,这主要是一种优化恶意软件检测和减少误报的技术。出版商也已提交一项专利2010 年。当阅读这份文档时,很难看出“无声签名» 可能构成一个特别有趣的攻击媒介。
然而,根据另一篇文章华盛顿邮报,美国特勤局会研究杀毒软件“好几个月了”甚至进行了测试。据称,他们拿走了一台装有卡巴斯基的计算机,并试图引发绝密数据的检测。据报道,这些实验的结果表明该软件确实可以用作间谍的搜索引擎。不幸的是,没有提供有关测试协议的技术细节。这些实验如何证明这种检测?
疑问和确定性
面对细节的缺乏和匿名消息来源的积累,所有这些披露的可信度都出现了问题。也许最可疑的方面是国家安全局顾问被黑客入侵他的家。“我不相信。拥有安全许可的人非常清楚不要将机密文件带回家。这不是时不时提到的事情,而是他们使命的重要组成部分。”,从而强调布鲁斯·施奈尔,著名密码学家。
德国 IT 安全办公室 Bundesamt für Sicherheit in der Informationstechnik (BSI) 在一份报告中解释道:公报 “没有元素”通过卡巴斯基反病毒软件确认俄罗斯间谍活动。然而,该组织强调与美国同行保持联系。由于缺乏证据,他不打算对卡巴斯基产品发出警报,至少目前是这样。同样,BSI 的法国同行 ANSSI 也没有发布有关卡巴斯基的警报。
然而,似乎可以肯定的是,以色列的服务一直保留在出版商的网络内。 2015 年,它在其网络中检测到特别隐秘的间谍软件,并将其称为市长2.0其代码与 Stuxnet 的代码密切相关,Stuxnet 是美国和以色列部门创建的著名破坏性恶意软件。但俄罗斯黑客呢?据《纽约时报》报道,以色列军方向美国同行提供了俄罗斯行动无可辩驳的证据,其形式如下:“屏幕截图和其他文件”。但这些证据——如果存在的话——被公之于众的可能性很小。
新的审计正在进行中
就他而言,尤金·卡巴斯基强调指出,在发现 Duqu 2.0 后,出版商对其基础设施进行了深入审核,没有发现任何其他攻击者的踪迹。尽管如此,他还是宣布了一项“新的深入审计”,只是为了检查。如果俄罗斯的这一行动真的存在,那么每个人都在问的问题显然是出版商的同谋程度。他是故意帮助俄罗斯黑客吗?他是被迫这么做的吗?还是手术是在他不知情的情况下进行的?除非她依靠几个卧底的帮助?
有一点是肯定的,那就是在州际间谍活动领域,一切皆有可能。爱德华·斯诺登的爆料表明,美国可以强迫其IT服务提供商与他们合作进行网络监视行动,而他们却没有发言权(棱镜计划)。为什么同样的事情在政府压力相当大的俄罗斯就不可能发生呢?安全研究员格鲁克人讽刺的是,尤金·卡巴斯基没有理由隐瞒可能的俄罗斯黑客的存在,除非他担心“钋茶”……
他确实可以。除非他是同谋,否则他没有理由不揭露这一点。我想除了钋茶之外。
— 撒迪厄斯·E.格鲁克 (@thegrugq)2017 年 10 月 12 日
