警告,卡巴斯基帮助黑客窃取你的数据!

华盟学院山东省第二期线下学习计划

kaspersky-lab

从许多方面来看,卡巴斯基反病毒工具是个人和企业确保安全的利器。不过研究人员周四声称,这家俄罗斯公司的安全软件实际上可帮助黑客和间谍为非作歹,这大大出乎人们的意料。

研究人员表示,他们已找到了一种方法,迫使反病毒产品帮助窥探者从分段的网络(并不连接到更广泛互联网的网络)窃取数据。而卡巴斯基表示自己不会解决这个问题,尽管被发现存在同样问题的另外三家厂商已决定改变产品中的技术,杜绝这种攻击发生。

此事恰逢发生在敏感时期:美国情报界正在严格审查政府使用安全软件的情况,担心安全软件嵌入到美国政府网络,而对于首席执行官尤金·卡巴斯基(Eugene Kaspersky)与克里姆林宫有关联的嫌疑仍没有得到排除。目前国会正在审议的一项法案要求国防部对卡巴斯基下禁令。据一名熟悉法案拟订工作的消息灵通人士称,由于得到了两党的支持,这部拟议的法案很有希望在年底前通过。该消息灵通人士指出,这道禁令可能会推广到与国防部网络有任何关联的所有政府机构。

帮助黑客的反病毒软件?

来自网络安全初创公司SafeBreach的研究人员将于本周在拉斯维加斯召开的黑帽大会和DEF CON大会上介绍这一发现。他们已成功实施了一次隐蔽的攻击,充分利用了多款现代反病毒工具的一项功能,包括Avira Antivirus Pro、ESET NOD32、卡巴斯基Total Security 2017和Comodo Client Security。

SafeBreach的研究副总裁阿米特·克莱因(Amit Klein)特别指出,不过有一个很重要的方面需要注意:他们立足于这个前提,即没有连接到更广泛互联网的隔离网络上的计算机含有恶意软件。通常来说,出于安全方面的原因,关键系统(比如国防网络或基础设施网络)并不连接到互联网,使用所谓的“气隙”(airgap)来隔离,但是还是可以用U盘或其他硬件以及其他无数攻击手法来感染它们。

SafeBreach的黑客利用这个优势从网络窃取了数据,然后将数据放到被他们称为“卫星恶意软件”的另一个文件。这做了一番手脚,有意被研究人员测试的多款反病毒系统检测出来。然后,每个反病毒工具将该文件送到各自的服务器,在所谓的“沙盒”里面执行进一步的检查;正是从沙盒里面,克莱因发现他可以开始将窃取而来的数据从卫星恶意软件发送到自己的计算机。这是从本该安全的网络窃取数据的一种新颖方法,这归因于云系统并不阻止通过各种协议建立的出站连接。

克莱因说:“我们可以外泄任何随意的数据。可以收集哪些种类的数据,这没有限制。只要发出一个HTTP请求,就似乎很容易往外发送数百千字节的数据,没人阻止得了你。”

SafeBreach的首席技术官兼联合创始人伊特齐克·科特勒(Itzik Kotler)补充道:“所以,在你的计算机上安装某些厂商的反病毒软件可能会让安全状况反而比什么都不安装还要来得糟糕。它让你不大安全。”

在被发现易受攻击的那些厂商中,Avira、Comodo和ESET都着手解决了这个问题,不过Avira和ESET表示,它们认为这种攻击不太可能在现实世界中发生。卡巴斯基同意这一观点,不过拒绝解决问题。

发言人表示,“现实世界中发生这种事的风险非常低”,这主要是由于在上述情况下,没有连接至互联网的PC需要运行原始的恶意软件,而反病毒软件当初很可能检测得出来。“如果客户担心这种情况,可以相应地配置设备和安全设置。使用我们消费级产品的用户可以禁用发送到云沙盒的文件,又不影响检测效果。使用企业级产品的用户可以安装卡巴斯基Private Security Network,这是卡巴斯基Security Network的本地版,或者安装专用修复程序,禁用发送到云沙盒的文件。”

SafeBreach并不赞同卡巴斯基的这番观点。尤其是,克莱因对卡巴斯基声称很难将卫星恶意软件发送到云端这一说法极为生气。“我们最终轻松触发了卡巴斯基的产品,让它将我们的恶意软件发送到云端,以便在使用开放互联网连接的沙盒里面执行。这是一种屡试不爽的、简单的手法,所以恶意软件编写者将它整合到未来版本中不会有任何问题。”

“四家反病毒软件厂商中只有卡巴斯基以这样的方式回应,这是表明其风险分析存在错误的的另一个证据。”

立法对卡巴斯基下禁令

这一发现结果对于消除外界对卡巴斯基的怀疑无助于事。

戴夫·艾泰尔(Dave Aitel)以前是美国国家安全局(NSA)的科学家,现在是网络安全公司Immunity的负责人。他表示,情报机构可能掌握了表明卡巴斯基有理由受到怀疑的信息,但并未透露。“如果政府说我们有证据表明你越界了,那意味着你再也无法做生意了。”

至于尤金·卡巴斯基,他在竭力为公司辩护,驳斥了公司与俄罗斯政府偷偷摸摸合作的说法。彭博社上的一篇文章列出了这位CEO涉嫌与克林姆林政府部门有关联的几个证据,卡巴斯基为此写道:“我们与任何政府没有关系;外界称我们从事不当活动或行为,实际情况显然不是这样。”本周,他宣布发布免费的卡巴斯基反病毒工具,此举表明了其坚定立场。

不过,并非只有美国人担心总部位于莫斯科的这家反病毒厂商。连一些俄罗斯人也担心。取证分析技术提供商Elcomsoft的首席执行官弗拉基米尔•卡塔洛夫(Vladimir Katalov)表示,反病毒软件过于深入到PC的内部,对里面的文件拥有太大的控制权。

www.idc126.com

卡塔洛夫补充道:“所以首先,它可以全面访问我拥有的一切数据。其次,驱动程序中的任何漏洞意味着我的PC对其他任何人都是敞开的。”当然,许多反病毒产品也是如此。

本文由 华盟网 作者:congtou 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论