美國國土安全部(DHS)對政府機(jī)構(gòu)使用卡巴斯基實(shí)驗室安全產(chǎn)品的禁令,引發(fā)了安全行業(yè)陣陣回響。關(guān)注重點(diǎn)不是簡單地落在這家俄國安全公司是否與俄羅斯情報機(jī)構(gòu)勾結(jié),而在于還有多少家安全公司,會通過自己的產(chǎn)品,與本國情報機(jī)構(gòu)勾連。
對安全而言,這是個壞消息,因為安全就是建立在信任上的,沒有信任就沒有安全。卡巴斯基實(shí)驗室否認(rèn)了勾結(jié)指控,并愿意全力配合,自證清白。無論是接受國會質(zhì)詢,還是第三方代碼審核,都愿意。同時,并沒有切實(shí)的證據(jù)表明該公司與俄羅斯情報機(jī)構(gòu)的勾結(jié),只是有種說法認(rèn)為,這種可能性應(yīng)引起關(guān)注。
尤金·卡巴斯基
11月28日,倫敦的一場媒體簡報上,尤金·卡巴斯基稱,他從未接到過俄羅斯政府的間諜活動請求。
如果俄羅斯政府找到我,讓我或我的雇員做什么壞事,我會把公司搬離俄羅斯。我們從未幫助過間諜機(jī)關(guān),無論是俄羅斯的還是其他國家的。
DHS對卡巴斯基實(shí)驗室產(chǎn)品的禁令中稱:“無論是自行實(shí)施還是與卡巴斯基合作,俄羅斯政府可通過卡巴斯基產(chǎn)品提供的訪問權(quán)損害聯(lián)邦信息及信息系統(tǒng)的風(fēng)險,直接涉及了美國國家安全。”
問題就出在這里。在開發(fā)殺毒軟件并成立卡巴斯基實(shí)驗室之前,尤金·卡巴斯基是在克格勃和國防贊助的學(xué)校學(xué)習(xí)的加密,然后又在俄羅斯國防部當(dāng)了一名密碼破譯員。于是,其間聯(lián)系,也就是風(fēng)險,出現(xiàn)了。但同時,隨便瞟一眼LinkedIn上美國安全公司職員的簡歷,都會發(fā)現(xiàn)一大波曾經(jīng)在NSA、CIA、FBI或國務(wù)院工作過的高級雇員,還有很多美國安全公司鼓吹雇到了前政府和軍隊人員。僅有這點(diǎn)聯(lián)系,并不能證明二者就有勾結(jié)。
《華爾街日報》(WSJ)單獨(dú)發(fā)表了一份未經(jīng)證實(shí)的斷言,稱一名NSA雇員被俄羅斯支持的黑客入侵,黑客用的就是卡巴斯基實(shí)驗室產(chǎn)品中的一個漏洞;且正是因為該承包商使用卡巴斯基實(shí)驗室的殺毒軟件,黑客才得以在發(fā)現(xiàn)那些文件后鎖定該雇員。
沒有任何證據(jù)可以證明該斷言,但其中蘊(yùn)含的意思就是,卡巴斯基實(shí)驗室沒有直接將機(jī)密文件傳給俄羅斯情報機(jī)構(gòu),而僅僅是通告了他們該雇員電腦上有這些文件。
然而,如果卡巴斯基與俄羅斯情報機(jī)構(gòu)之間的聯(lián)系是擔(dān)憂之源,那用戶也得擔(dān)心邁克菲、賽門鐵克與NSA的關(guān)系,Sophos和GCHQ的關(guān)系了。
為防止對安全產(chǎn)品潛在的信任喪失,F-Secure首席研究官米科·西博能,在11月30號講述了他的公司是怎么處理機(jī)密用戶信息的。
米科·西博能
對他的話,有2個地方需要注意。首先,F(xiàn)-Secure是卡巴斯基實(shí)驗室的競爭對手;其次,F(xiàn)-Secure不是卡巴斯基實(shí)驗室。盡管如此,剖析主流殺軟公司是怎么運(yùn)作的,無疑會帶來對其他主要?dú)④浌具\(yùn)作機(jī)制的洞見。
西博能避開,或者說模糊了他對卡巴斯基實(shí)驗室與俄羅斯間聯(lián)系的看法。比如說,他講到,“我們不妨說,這是家很棒的公司,一款很好的安全產(chǎn)品。這些人也是世界級的研究人員。”
當(dāng)被問到他是否認(rèn)為卡巴斯基實(shí)驗室“與俄羅斯情報機(jī)構(gòu)勾結(jié),他們是不是被黑了?”西博能回答稱,“我不知道。這全都是猜測,所有關(guān)于此的討論都是猜測。目前每個人都僅僅是在猜。”但是,與司法部門的聯(lián)系是很普遍的現(xiàn)象。司法機(jī)構(gòu)經(jīng)常請安全公司輔助對抗網(wǎng)絡(luò)犯罪,研究人員也常常將發(fā)現(xiàn)的C&C服務(wù)器數(shù)據(jù)傳給他們。
西博能確實(shí)解釋了F-Secure對待用戶文件信息的方法。首先,幾乎所有安全公司都收集此數(shù)據(jù),這是安全公司運(yùn)轉(zhuǎn)的基礎(chǔ)。需要進(jìn)行分析以保證用戶安全的數(shù)據(jù)量,若在本地計算機(jī)上操作,會慢到難以忍受。殺毒軟件和網(wǎng)絡(luò)異常產(chǎn)品傾向于在收集數(shù)據(jù)后發(fā)送至云服務(wù)器,利用強(qiáng)大的機(jī)器學(xué)習(xí)算法進(jìn)行分析。
但F-Secure,還有幾乎所有其他安全供應(yīng)商,竭盡全力匿名化所收集的信息,保護(hù)用戶隱私。這當(dāng)然是一個很好的操作,但很多司法轄區(qū)的隱私規(guī)定也會導(dǎo)致嚴(yán)重的糾紛。比如說,GDPR。該條例要求僅收集必要的數(shù)據(jù),而個人數(shù)據(jù)并非可執(zhí)行文件分析必需品。
被收集的文件用于分析是否指征惡意軟件。如果文件是良性的,就會被直接刪掉。這與卡巴斯基實(shí)驗室在WSJ報道之后的評論相一致。其軟件發(fā)現(xiàn)該雇員電腦上有NSA文件,未在其中看出良性因素,便上傳文件以進(jìn)行進(jìn)一步分析。分析裁定文件性質(zhì)為“敏感”,然后便刪除了。
然而,不幸的是,這并不能證明卡巴斯基實(shí)驗室有人秘密通報俄羅斯情報機(jī)構(gòu)的可能性。但若真有人報信說“嘿,哥們兒,你們可能需要仔細(xì)看看這家伙的電腦哦”,那卡巴斯基實(shí)驗室就難免收集個人數(shù)據(jù)和匿名化的文件了。
西博能無法直言卡巴斯基這么干了,但他的意思已經(jīng)表達(dá)得很清楚了。他的意見與DHS一致:“我不會推薦美國機(jī)構(gòu)采用外國安全產(chǎn)品,尤其是俄羅斯產(chǎn)品。但對家庭用戶和其他類似性質(zhì)的用戶而言,這還是很不錯的產(chǎn)品。”
最終,問題落腳在你最信任誰:你自己的政府,還是依存于信任的安全公司。
謹(jǐn)慎選擇你的供應(yīng)商,因為,理論上,他們知道你做的所有事。運(yùn)行底層軟件,比如安全軟件的時候,你必須信任他們。
但西博能個人并不認(rèn)為卡巴斯基實(shí)驗室有什么惡意行為。因為這么做是非常短視的。一旦被踢爆,公司就完了。這是個糟糕透頂?shù)纳虡I(yè)決策。如果是俄羅斯政府利用本地安全公司作為獲取信息的渠道,那同樣短視。因為卡巴斯基實(shí)驗室是俄羅斯方塊之后,俄羅斯最大的軟件成功故事。
京公網(wǎng)安備 11010502049343號