6月23日消息,據(jù)國(guó)外媒體報(bào)道,俄羅斯安全公司卡巴斯基實(shí)驗(yàn)室于近期被曝遭到入侵,據(jù)信黑客來(lái)自以色列,自去年某個(gè)時(shí)候起就盤踞于公司的網(wǎng)絡(luò)中。
該公司同時(shí)聲稱,這些入侵者的意圖在于學(xué)習(xí)反病毒軟件,進(jìn)而找到漏洞,以便在消費(fèi)者的計(jì)算機(jī)上活動(dòng)時(shí)避免被檢測(cè)到。
現(xiàn)在,據(jù)新近披露的來(lái)自愛(ài)德華·斯諾登(Edward Snowden)的文件透露,美國(guó)國(guó)家安全局(NSA)以及英國(guó)政府通信總部(GCHQ)開(kāi)展此類活動(dòng)的時(shí)間早于以色列數(shù)年,他們展開(kāi)的行動(dòng)不僅僅針對(duì)卡巴斯基的軟件,還包括其他安全公司的反病毒軟件,此類活動(dòng)最早開(kāi)始于2008年。
這些文件沒(méi)有透露具體被入侵的安全公司名單,只是描述了一種有組織的入侵手法,對(duì)軟件進(jìn)行反向工程,找出漏洞所在,以便為情報(bào)機(jī)構(gòu)所用。英國(guó)情報(bào)機(jī)構(gòu)就將卡巴斯基的軟件視作入侵行動(dòng)中的一種阻礙,他們打算找到方法來(lái)克服。
文檔中有如下記載:“如卡巴的反病毒軟件這類個(gè)人安全產(chǎn)品持續(xù)對(duì)GCHQ的行動(dòng)能力構(gòu)成挑戰(zhàn),而SRE(軟件反向工程)的目的就是要抑制此類軟件的能力,防止我們的行為被檢測(cè)到。”
而一份來(lái)自NSA的幻燈片對(duì)稱之為“CAMBERDADA”的項(xiàng)目進(jìn)行了描述,其上列出了至少23家進(jìn)入情報(bào)機(jī)構(gòu)視線的反病毒以及安全公司名稱,包括芬蘭的F-Secure、斯洛伐克的Eset、捷克的Avast以及羅馬尼亞的Bit-Defender。值得指出的是,美國(guó)的賽門鐵克、McAfee以及英國(guó)的Sophos并不在名單上。
但是,反病毒軟件并非上述兩家情報(bào)機(jī)構(gòu)的唯一目標(biāo)。他們同樣將反向工程技術(shù)應(yīng)用到了CheckPoint——來(lái)自以色列的防火墻軟件上。來(lái)自不同公司的商業(yè)加密軟件也在被關(guān)注的范圍內(nèi)。GCHQ就對(duì)來(lái)自Exlade的CrypticDisk以及宏碁的eDataSecurity進(jìn)行了反向工程。在線論壇系統(tǒng)vBulletin以及Invision Power Board亦在被盯上的名單中,后兩款軟件被包括索尼影業(yè)、藝電以及NBC環(huán)球在內(nèi)的公司廣泛采用。名單中還有用于管理和配置服務(wù)器的CPanel以及管理Postfix電郵服務(wù)器的PostfixAdmin。同時(shí),GCHQ還對(duì)思科路由器進(jìn)行了反向工程,這使得該情報(bào)機(jī)構(gòu)能夠?qū)ξ挥诎突固沟娜魏尉W(wǎng)絡(luò)用戶進(jìn)行監(jiān)視,并且將任意數(shù)據(jù)直接重定向發(fā)送到該機(jī)構(gòu)的系統(tǒng)中。
GCHQ的行動(dòng)在法律上獲得了支持,英國(guó)外交部長(zhǎng)根據(jù)1994年頒布的英國(guó)情報(bào)機(jī)構(gòu)法案的條款向該機(jī)構(gòu)頒發(fā)了行動(dòng)許可,授權(quán)范圍包括對(duì)商業(yè)軟件進(jìn)行修改,以便執(zhí)行攔截、解密以及其他相關(guān)任務(wù)。被用于卡巴斯基軟件反向工程的許可有效期為6個(gè)月,始于2008年7月7日。其后,該機(jī)構(gòu)成功申請(qǐng)對(duì)期限進(jìn)行了延長(zhǎng)。
如果沒(méi)有上述許可,該機(jī)構(gòu)擔(dān)心此舉會(huì)違反卡巴斯基的用戶協(xié)議或版權(quán)法。軟件開(kāi)發(fā)商通常會(huì)在代碼中植入防范反向工程的機(jī)制,以防止其他人竊取公司技術(shù)機(jī)密,同時(shí)會(huì)在用戶許可協(xié)議中明確禁止此類行為。
據(jù)一份GCHQ的備忘錄透露,在沒(méi)有取得此類許可的前提下展開(kāi)行動(dòng),則會(huì)存在被法庭認(rèn)定為非法行為的風(fēng)險(xiǎn)。
本月早些時(shí)候,卡巴斯基透露,其于去年被臭名昭著的震網(wǎng)以及Duqu成員入侵。入侵者在公司的網(wǎng)絡(luò)中存在數(shù)月之久,對(duì)卡巴斯基的運(yùn)作機(jī)制進(jìn)行了分析,以便在今后的行動(dòng)中繞開(kāi)軟件的檢測(cè)。卡巴斯基據(jù)稱在全球范圍內(nèi)擁有超過(guò)4億用戶。
入侵者對(duì)卡巴斯基的安全網(wǎng)絡(luò)亦表示出興趣,該系統(tǒng)針對(duì)新出現(xiàn)的威脅從用戶的計(jì)算機(jī)上收集數(shù)據(jù)。一旦在用戶的機(jī)器上檢測(cè)到未知或可疑的文件,數(shù)據(jù)將會(huì)自動(dòng)被發(fā)送回卡巴斯基的服務(wù)器,分析人員便開(kāi)始著手相關(guān)的研究和追蹤。公司亦通過(guò)上述系統(tǒng)勾勒出新的威脅傳播和爆發(fā)的路徑,這同時(shí)也是對(duì)NSA和GCHQ這種情報(bào)機(jī)構(gòu)發(fā)起的國(guó)家級(jí)黑客行動(dòng)進(jìn)行追蹤的重要工具。
而最新揭露的NSA文件則反映了一種完全不同的手法。該機(jī)構(gòu)似乎對(duì)用戶發(fā)送回卡巴斯基以及其他反病毒廠商的數(shù)據(jù)報(bào)告非常感興趣。通過(guò)攔截這些可疑文件樣本,該機(jī)構(gòu)可以從中發(fā)現(xiàn)那些能夠繞開(kāi)病毒檢測(cè)的文件的特則,接下來(lái),NSA的黑客便可以對(duì)這些文件改頭換面,用于自己的目的。他們同時(shí)會(huì)進(jìn)行周期性檢測(cè),就最新版本的卡巴斯基軟件能否對(duì)這些惡意軟件進(jìn)行識(shí)別的情況隨時(shí)進(jìn)行掌握。
京公網(wǎng)安備 11010502049343號(hào)