安裝了殺毒軟件就萬事大吉?未必。你的殺軟有可能背著你窺探你電腦上的一切。殺軟對電腦的掃描探測行為可能是刻意但合法的,但從殺毒軟件變身網絡間諜工具,也只需要惡念一閃而已。而且,殺軟作為網絡間諜工具簡直完美!
因為信任殺毒軟件會幫我們擋住惡意軟件,我們往往毫不猶豫地放任殺軟查看電腦上所有文件。無論是個人文件還是工作文檔,殺毒軟件都能毫無阻礙地訪問,這也是殺軟工作所需。
大眾認知中,安全產品確實就是這么個工作機制,因為絕大部分安全產品都是通過掃描系統中所有文件來檢測潛在威脅的。我們早就默認掃描行為是計算機防護機制的一部分了。
如果本應保護我們免受侵害的安全功能自己就是個威脅會怎樣?反病毒應用程序有沒有可能被用作間諜工具?會不會被用于標記敏感文檔并滲漏出去?答案似乎是肯定的。
殺軟(AV)只有深入系統才能正常工作,它能看到并控制系統能做的任何操作,比如內存分配、磁盤讀寫、通信等等。也就是說,操作系統內所有事務處理都在AV的眼皮底下。因此,AV是個絕佳的入侵備選目標,接管了AV就相當于在受害主機上擁有了上帝視角。
某些情況下,合法的數據滲出行為也可能造成非故意的信息泄露,安全軟件向谷歌VirusTotal之類基于云的多功能掃描器上傳文件樣本,就可能無意地泄露信息。這些安全工具為更好地評估文件是否惡意而向多功能掃描器提交文件樣本,但只要多功能掃描器的訂閱用戶可以訪問被分析文件,提交樣本的舉動反而最終會導致數據泄露。
但如果你的殺毒軟件不是非故意地泄露信息,而是有意變身為監視你的間諜軟件呢?有沒有可能壓根兒不用修改殺軟本身就能達到變身效果呢?安全研究員帕特里克·沃德爾認為這是有可能的。
為證明這一點,沃德爾采用《殺毒軟件黑客手冊》里的方法,篡改了卡巴斯基實驗室的互聯網安全軟件macOS版病毒特征碼,達到了自動、標記并收集檢測機密文檔的效果。通過修改特征碼而非直接修改殺毒引擎的方式,他并沒有改變該安全應用的主要用途。
沃德爾在卡巴斯基產品上做此實驗是有原因的:去年有報道稱,這家俄羅斯安全公司的軟件曾被用于從NSA承包商的電腦中偷取機密文件。這名承包商明顯是被黑客盯上了,當他把包含NSA漏洞利用程序的敏感數據帶回了家,他家用電腦上安裝的卡巴斯基產品就將這些文件標記為惡意,并上傳到了該公司的服務器上做進一步分析。
2017年12月,越南裔NSA承包商馮義黃對自己從NSA帶走絕密文件的罪行供認不諱。今年1月初,另一名NSA承包商承認在自己家中和車里囤積了50TB的NSA數據,作案時間跨度長達20年。
2017年9月,美國國土安全部(DHS)禁止政府部門使用卡巴斯基產品,給出的理由是擔心該公司與俄羅斯情報機構關系緊密。12月,立陶宛宣稱,出于安全考慮,將在管理著能源、金融和交通運輸系統的電腦上禁用卡巴斯基實驗室的產品。
卡巴斯基實驗室一直以來都堅稱自己與俄羅斯政府沒有任何聯系,甚至還發起了新一輪透明度倡議以挽回聲譽。12月,該公司就產品禁令問題狀告美國政府。
截至目前,沒有任何證據表明卡巴斯基實驗室與俄羅斯政府之間存在不正當聯系。
去年發布的一份技術分析報告中,卡巴斯基認為美國人所說的機密文件竊取可能指的是2014年的一起事件。當時卡巴斯基殺軟有意標記了一臺個人電腦上貌似“方程式”惡意軟件源代碼的文件。卡巴斯基宣稱已在其服務器上刪除了這些文件,但無法確認該NSA承包商是否涉入此事。
沃德爾的意圖是確認卡巴斯基實驗室的產品到底能不能被用于標記并滲漏機密文件。盡管卡巴斯基產品采用了很復雜的過程來更新和部署用戶計算機上的病毒特征碼,沃德爾還是成功修改了其中一個特征碼。
雖然他的特征碼修改僅局限于本地,但該實驗也證明了濫用殺軟程序監視用戶是切實可行的。通過修改病毒特征碼,殺毒軟件可轉變為非常完美的網絡間諜工具。而且,這一結論不僅僅適用于卡巴斯基的產品,其他安全公司的產品同樣存在該問題。
殺軟公司簡單地添加一個新的特征碼,就可以選擇客戶(目標)以長期檢測此類文件。我很確信,任何有收集功能的殺毒軟件產品,都絕對會收集(滲漏)被標記的文件。
當然,文件收集能力是用于支持殺軟產品的合法功能的。因此,一款殺軟產品變身為間諜工具,其背后一定會有惡意黑客存在。
任何殺軟公司里的惡意內部員工,都有可能技巧性地部署此類特征碼還不被發現。而且,在假設性場景中,被迫或自愿與政府合作的任意殺軟公司,同樣有可能秘密利用其產品檢測并滲漏任何感興趣的文件。
沃德爾的發現并不令人吃驚。就在1月初,卡巴斯基自己也稱,獲得主機管理員權限的任何惡意黑客,理論上都可以在該主機上進行文件搜索活動,或者破壞該主機上運行的幾乎任意應用程序。卡巴斯基實驗室產品就是為檢測并阻止此類破壞活動而設計的。
安全專家也認同:如果有黑客操縱的話,殺軟產品有被用于惡意活動的可能性。雖然大多數人都覺得即便殺軟在監視用戶,用戶也未必會知道,但這并不意味著殺軟公司就參與了此類惡意間諜活動。可以確認的僅僅是這些公司的產品有可能被這么使用。
AV廠商必須特別小心,要確保自己不被黑。試想一下,如果有人可以控制一家公司安裝的全部AV,這家公司所有電腦被編入黑客的僵尸網絡真不是什么天方夜譚,要通過AV往這些電腦上加載額外的代碼(如勒索軟件)也不是什么難事。這在理論上是完全可行的,因為殺毒引擎和病毒特征碼本就是可以通過更新過程加以修改的。
AV廠商,以及在網絡及終端上執行惡意軟件掃描的很多安全提供商,都有用戶系統的管理員權限。他們用來掃描文件以檢測惡意代碼的掃描引擎,同樣可以被用來查找敏感文件并上傳到云分析引擎。最有可能做出此類行徑的,就是安全廠商內部的惡意人士。
有云分析功能的安全提供商必須特別小心,一定要實現恰當的安全控制措施以保證不給客戶帶來新的安全漏洞。大多數廠商在確保過程安全方面做得很好,不會給客戶帶來麻煩。這確實意味著客戶要給安全提供商一定的信任,且應該要求安全提供商描述清楚自家檢測過程是怎么工作的。
卡巴斯基不是唯一一款暗中傷害客戶利益的安全工具。過去幾年中,多款終端檢測工具被曝存在病毒識別問題,且包含可能有損用戶利益的管理技術。
沒錯,卡巴斯基軟件確實“可以”被操縱來針對特定目標,個中機制無可辯駁,但“意圖”才是重點。該殺軟是否被用于刺探公司企業情報?這一點眾說紛紜,尚無定論。去年年末,英國緊跟美國腳步,宣布禁用卡巴斯基軟件。但老實說,市面上大量終端檢測/操作/管理工具中,50%都存在有同樣的安全問題,無法切實保護其用戶。
市面上絕大多數安全軟件都要求可以訪問主機上存儲的所有文件,這是普遍現象,不是僅卡巴斯基一家的個案。其他廠商不過是盡力避免被曝光,希望用戶不會突然醒悟過來,發現本應保護自身安全的東西同時也是可以挖出自己最深秘密的東西……
當然,沒有任何證據證明已經有殺毒軟件被惡意使用,盡管它們明顯“可以”用作惡意用途。我們不應該簡單粗暴地下結論說,卡巴斯基就是在偷取用戶文件,或者其他什么殺軟公司真的這么干了。
卡巴斯基實驗室一直都在否認與俄羅斯情報機構存在任何不正當聯系;也沒有公開的證據表明它與俄情報機構勾結。然而不幸的是,對這家位于莫斯科的安全公司而言,被扣上這頂帽子就是地緣政治對網絡安全領域產生影響的結果。