返回
威尼斯888手机版
分类

【威尼斯888手机版】内阁的情报机构在一再的寻求安全公司软件的宿疾,还满含其余安全集团的反病毒软件

日期: 2020-04-21 17:01 浏览次数 : 197

英美情报机构致力于寻找绕开安全软件的方法

• 作者 汪天盈 • 2015年06月23日08:21 • 网易

威尼斯888手机版 1

  6月23日消息,据国外媒体报道,俄罗斯安全公司卡巴斯基实验室于近期被曝遭到入侵,据信黑客来自以色列,自去年某个时候起就盘踞于公司的网络中。

  该公司同时声称,这些入侵者的意图在于学习反病毒软件,进而找到漏洞,以便在消费者的计算机上活动时避免被检测到。

威尼斯888手机版,  现在,据新近披露的来自爱德华·斯诺登(Edward Snowden)的文件透露,美国国家安全局(NSA)以及英国政府通信总部(GCHQ)开展此类活动的时间早于以色列数年,他们展开的行动不仅仅针对卡巴斯基的软件,还包括其他安全公司的反病毒软件,此类活动最早开始于2008年。

  这些文件没有透露具体被入侵的安全公司名单,只是描述了一种有组织的入侵手法,对软件进行反向工程,找出漏洞所在,以便为情报机构所用。英国情报机构就将卡巴斯基的软件视作入侵行动中的一种阻碍,他们打算找到方法来克服。

  文档中有如下记载:“如卡巴的反病毒软件这类个人安全产品持续对GCHQ的行动能力构成挑战,而SRE(软件反向工程)的目的就是要抑制此类软件的能力,防止我们的行为被检测到。”

  而一份来自NSA的幻灯片对称之为“CAMBERDADA”的项目进行了描述,其上列出了至少23家进入情报机构视线的反病毒以及安全公司名称,包括芬兰的F-Secure、斯洛伐克的Eset、捷克的Avast以及罗马尼亚的Bit-Defender。值得指出的是,美国的赛门铁克、McAfee以及英国的Sophos并不在名单上。

  但是,反病毒软件并非上述两家情报机构的唯一目标。他们同样将反向工程技术应用到了CheckPoint——来自以色列的防火墙软件上。来自不同公司的商业加密软件也在被关注的范围内。GCHQ就对来自Exlade的CrypticDisk以及宏碁的eDataSecurity进行了反向工程。在线论坛系统vBulletin以及Invision Power Board亦在被盯上的名单中,后两款软件被包括索尼影业、艺电以及NBC环球在内的公司广泛采用。名单中还有用于管理和配置服务器的CPanel以及管理Postfix电邮服务器的PostfixAdmin。同时,GCHQ还对思科路由器进行了反向工程,这使得该情报机构能够对位于巴基斯坦的任何网络用户进行监视,并且将任意数据直接重定向发送到该机构的系统中。

  GCHQ的行动在法律上获得了支持,英国外交部长根据1994年颁布的英国情报机构法案的条款向该机构颁发了行动许可,授权范围包括对商业软件进行修改,以便执行拦截、解密以及其他相关任务。被用于卡巴斯基软件反向工程的许可有效期为6个月,始于2008年7月7日。其后,该机构成功申请对期限进行了延长。

  如果没有上述许可,该机构担心此举会违反卡巴斯基的用户协议或版权法。软件开发商通常会在代码中植入防范反向工程的机制,以防止其他人窃取公司技术机密,同时会在用户许可协议中明确禁止此类行为。

  据一份GCHQ的备忘录透露,在没有取得此类许可的前提下展开行动,则会存在被法庭认定为非法行为的风险。

  本月早些时候,卡巴斯基透露,其于去年被臭名昭著的震网以及Duqu成员入侵。入侵者在公司的网络中存在数月之久,对卡巴斯基的运作机制进行了分析,以便在今后的行动中绕开软件的检测。卡巴斯基据称在全球范围内拥有超过4亿用户。

  入侵者对卡巴斯基的安全网络亦表示出兴趣,该系统针对新出现的威胁从用户的计算机上收集数据。一旦在用户的机器上检测到未知或可疑的文件,数据将会自动被发送回卡巴斯基的服务器,分析人员便开始着手相关的研究和追踪。公司亦通过上述系统勾勒出新的威胁传播和爆发的路径,这同时也是对NSA和GCHQ这种情报机构发起的国家级黑客行动进行追踪的重要工具。

  而最新揭露的NSA文件则反映了一种完全不同的手法。该机构似乎对用户发送回卡巴斯基以及其他反病毒厂商的数据报告非常感兴趣。通过拦截这些可疑文件样本,该机构可以从中发现那些能够绕开病毒检测的文件的特则,接下来,NSA的黑客便可以对这些文件改头换面,用于自己的目的。他们同时会进行周期性检测,就最新版本的卡巴斯基软件能否对这些恶意软件进行识别的情况随时进行掌握。

6月23日讯,调查新闻网站The Intercept已经获得了斯诺登最新的泄密文件,该文件显示,美国国家安全局曾对世界最大杀毒软件公司卡巴斯基和其他大的网络安全公司进行窥探行动。

据路透社报道,总部位于莫斯科的反病毒软件厂商卡巴斯基实验室周三发表声明,承认其安全软件产品曾从美国一台个人电脑上截获了一款秘密的美国黑客工具的源代码。

文件中称,NSA和GCHQ曾将俄罗斯卡巴斯基实验室当做重点针对目标,利用所谓“软件逆向工程”来获取该实验室数据。NSA在对卡巴斯基实验室窥探的过程中,能够得到通过卡巴斯基网络传输的用户信息、发给卡巴斯基的私人电子邮件、卡巴斯基发现和标记的最新恶意软件名单等等信息。

针对此前有媒体报道称,俄罗斯政府使用卡巴斯基的反病毒软件来搜集美国国家安全局的机密数据,卡巴斯基展开了内部调查,而上述声明基于内部调查的初步结果。

这一举措可谓非常有效,因为在操作系统上运行的安全软件通常可以获得电脑的最高权限,黑客可以利用这种安全软件获得更多的控制授权,从而得到更多数据。

尽管一些安全专家认为卡巴斯基的这一解释貌似合理,但美国官员一直反对在敏感电脑上使用卡巴斯基的反病毒软件,并下达禁令,要求所有美国政府电脑禁止使用卡巴斯基安全产品。他们可能会抓住这一机会,以证明禁令是正确的做法。出于对卡巴斯基与俄罗斯情报部门之间存在联系,以及卡巴斯基反病毒软件具备嗅探和移除文件能力的担忧,在过去的一年时间里,美国当局不断对使用卡巴斯基安全软件发出警告,打压态势逐步升级。上个月,美国国土安全部门下令禁止政府机构使用卡巴斯基的安全软件产品。

类似的网络间谍行为并不罕见,安全软件和杀毒公司一直都在和政府机构周旋。政府的情报机构在不断的寻求安全公司软件的弱点,公司也在不断防范着恶意侵袭的威胁。

神秘ZIP文件

目前政府机构对于他们秘密对卡巴斯基实验室等网络安全公司实施的“软件逆向工程”正在积极的寻求法律的支持,试图保证该工程的合法性。

卡巴基斯公司在一份声明中表示,在2014年——比早先的报道早了一年时间,该公司无意中发现了这一代码。卡巴斯基表示,一款消费者版本的卡巴斯基杀毒软件产品的日志显示,该软件一直对美国一台电脑上的可疑软件进行分析,并发现了一个被标记为恶意代码的神秘ZIP文件。

然而卡巴斯基方面对此发表声明称:政府利用卡巴斯基窃取用户信息并非用于打击真正的网络犯罪,这种行为令人担忧。卡巴斯基会在日后更加努力,确保用户免受网络犯罪和国家网络间谍行为的威胁。

分析师在查看相关文件内容时,发现其包含一种黑客工具的源代码,后来卡巴斯基将该黑客项目称作“方程式组”。该公司称,分析师遂将此事汇报给了卡巴斯基首席执行官尤金·卡巴斯基,他命令公司销毁了源代码的拷贝。

该公司表示:“在首席执行官的要求下,我们删除了系统中所有的存档。”卡巴斯基称,没有第三方看到这段代码。不过有媒体此前报道称,这一间谍工具最终落入了俄罗斯政府的手中。

《华尔街日报》10月5日报道称,俄罗斯政府雇佣的黑客,似乎通过使用卡巴斯基杀毒软件来识别并窃取了国家安全局的机密数据。另据《纽约时报》10月10日的报道称,以色列官员入侵了卡巴斯基的网络后,向美国报告了这一行动。

卡巴斯基没有指出这台电脑是否属于一名NSA工作人员,而美国官方则称,这名NSA工作人员违反规定将秘密文件带回家,随后被卡巴斯基安全软件截获。不过卡巴斯基否认了《华尔街日报》称其在这过程中曾搜索了包括“绝密”在内的关键字。

卡巴斯基公司表示,没有任何证据表明,该公司曾遭到俄罗斯间谍或除以色列人以外的任何人的入侵。该公司还表示,其他人可能通过后门侵入到美国电脑的方式获取这些工具。

NSA项目

2014年,这一新的时间点令该事件变得十分有趣,因为在2015年2月,卡巴斯基才宣布发现了名为“方程式组”间谍活动项目。当时路透社援引前NSA雇员的说法称,“方程式组”是NSA项目。

卡巴斯基针对“方程式组”的报告是其最着名的发现之一,因为该组织发动的黑客活动可能会感染大多数计算机固件。

卡巴斯基随后通过电子邮件向路透社证实,该公司的确是在2014年春天首次发现了所谓的“方程式组”项目。但卡巴斯基没有说明它有多长时间能够从用户电脑中获取一次未受感染的、不可执行的文件,这些文件通常不会存在威胁。

今年7月,卡巴斯基前雇员曾表示,该公司利用这一技术帮助识别可疑的黑客。当时,卡巴斯基一位发言人没有明确否认这一说法,但普遍抱怨称这是“虚假指控”。

自此以后,断断续续事态发展表明,卡巴斯基成为攻击美国间谍活动有意或无意的合作伙伴。

卡巴基斯消费者版的反病毒软件赢得了市场普遍赞誉。该公司周一表示,将把其软件的源代码和未来更新提交至独立方进行检查。