杀毒软件如何成为完美间谍工具 卡巴斯基并非唯一-卡巴斯基授权文件

安装了杀毒软件就万事大吉?未必。你的杀软有可能背着你窥探你电脑上的一切。杀软对电脑的扫描探测行为可能是刻意但合法的,但从杀毒软件变身网络间谍工具,也只需要恶念一闪而已。而且,杀软作为网络间谍工具简直完美!

杀毒软件如何成为完美间谍工具 卡巴斯基并非唯一

因为信任杀毒软件会帮我们挡住恶意软件,我们往往毫不犹豫地放任杀软查看电脑上所有文件。无论是个人文件还是工作文档,杀毒软件都能毫无阻碍地访问,这也是杀软工作所需。

大众认知中,安全产品确实就是这么个工作机制,因为绝大部分安全产品都是通过扫描系统中所有文件来检测潜在威胁的。我们早就默认扫描行为是计算机防护机制的一部分了。

如果本应保护我们免受侵害的安全功能自己就是个威胁会怎样?反病毒应用程序有没有可能被用作间谍工具?会不会被用于标记敏感文档并渗漏出去?答案似乎是肯定的。

杀软(AV)只有深入系统才能正常工作,它能看到并控制系统能做的任何操作,比如内存分配、磁盘读写、通信等等。也就是说,操作系统内所有事务处理都在AV的眼皮底下。因此,AV是个绝佳的入侵备选目标,接管了AV就相当于在受害主机上拥有了上帝视角。

某些情况下,合法的数据渗出行为也可能造成非故意的信息泄露,安全软件向谷歌VirusTotal之类基于云的多功能扫描器上传文件样本,就可能无意地泄露信息。这些安全工具为更好地评估文件是否恶意而向多功能扫描器提交文件样本,但只要多功能扫描器的订阅用户可以访问被分析文件,提交样本的举动反而最终会导致数据泄露。

但如果你的杀毒软件不是非故意地泄露信息,而是有意变身为监视你的间谍软件呢?有没有可能压根儿不用修改杀软本身就能达到变身效果呢?安全研究员帕特里克·沃德尔认为这是有可能的。

为证明这一点,沃德尔采用《杀毒软件黑客手册》里的方法,篡改了卡巴斯基实验室的互联网安全软件macOS版病毒特征码,达到了自动、标记并收集检测机密文档的效果。通过修改特征码而非直接修改杀毒引擎的方式,他并没有改变该安全应用的主要用途。

沃德尔在卡巴斯基产品上做此实验是有原因的:去年有报道称,这家俄罗斯安全公司的软件曾被用于从NSA承包商的电脑中偷取机密文件。这名承包商明显是被黑客盯上了,当他把包含NSA漏洞利用程序的敏感数据带回了家,他家用电脑上安装的卡巴斯基产品就将这些文件标记为恶意,并上传到了该公司的服务器上做进一步分析。

2017年12月,越南裔NSA承包商冯义黄对自己从NSA带走绝密文件的罪行供认不讳。今年1月初,另一名NSA承包商承认在自己家中和车里囤积了50TB的NSA数据,作案时间跨度长达20年。

2017年9月,美国国土安全部(DHS)禁止政府部门使用卡巴斯基产品,给出的理由是担心该公司与俄罗斯情报机构关系紧密。12月,立陶宛宣称,出于安全考虑,将在管理着能源、金融和交通运输系统的电脑上禁用卡巴斯基实验室的产品。

卡巴斯基实验室一直以来都坚称自己与俄罗斯政府没有任何联系,甚至还发起了新一轮透明度倡议以挽回声誉。12月,该公司就产品禁令问题状告美国政府。

截至目前,没有任何证据表明卡巴斯基实验室与俄罗斯政府之间存在不正当联系。

去年发布的一份技术分析报告中,卡巴斯基认为美国人所说的机密文件窃取可能指的是2014年的一起事件。当时卡巴斯基杀软有意标记了一台个人电脑上貌似“方程式”恶意软件源代码的文件。卡巴斯基宣称已在其服务器上删除了这些文件,但无法确认该NSA承包商是否涉入此事。

沃德尔的意图是确认卡巴斯基实验室的产品到底能不能被用于标记并渗漏机密文件。尽管卡巴斯基产品采用了很复杂的过程来更新和部署用户计算机上的病毒特征码,沃德尔还是成功修改了其中一个特征码。

虽然他的特征码修改仅局限于本地,但该实验也证明了滥用杀软程序监视用户是切实可行的。通过修改病毒特征码,杀毒软件可转变为非常完美的网络间谍工具。而且,这一结论不仅仅适用于卡巴斯基的产品,其他安全公司的产品同样存在该问题。

杀软公司简单地添加一个新的特征码,就可以选择客户(目标)以长期检测此类文件。我很确信,任何有收集功能的杀毒软件产品,都绝对会收集(渗漏)被标记的文件。

当然,文件收集能力是用于支持杀软产品的合法功能的。因此,一款杀软产品变身为间谍工具,其背后一定会有恶意黑客存在。

任何杀软公司里的恶意内部员工,都有可能技巧性地部署此类特征码还不被发现。而且,在假设性场景中,被迫或自愿与政府合作的任意杀软公司,同样有可能秘密利用其产品检测并渗漏任何感兴趣的文件。

沃德尔的发现并不令人吃惊。就在1月初,卡巴斯基自己也称,获得主机管理员权限的任何恶意黑客,理论上都可以在该主机上进行文件搜索活动,或者破坏该主机上运行的几乎任意应用程序。卡巴斯基实验室产品就是为检测并阻止此类破坏活动而设计的。

安全专家也认同:如果有黑客操纵的话,杀软产品有被用于恶意活动的可能性。虽然大多数人都觉得即便杀软在监视用户,用户也未必会知道,但这并不意味着杀软公司就参与了此类恶意间谍活动。可以确认的仅仅是这些公司的产品有可能被这么使用。

AV厂商必须特别小心,要确保自己不被黑。试想一下,如果有人可以控制一家公司安装的全部AV,这家公司所有电脑被编入黑客的僵尸网络真不是什么天方夜谭,要通过AV往这些电脑上加载额外的代码(如勒索软件)也不是什么难事。这在理论上是完全可行的,因为杀毒引擎和病毒特征码本就是可以通过更新过程加以修改的。

AV厂商,以及在网络及终端上执行恶意软件扫描的很多安全提供商,都有用户系统的管理员权限。他们用来扫描文件以检测恶意代码的扫描引擎,同样可以被用来查找敏感文件并上传到云分析引擎。最有可能做出此类行径的,就是安全厂商内部的恶意人士。

有云分析功能的安全提供商必须特别小心,一定要实现恰当的安全控制措施以保证不给客户带来新的安全漏洞。大多数厂商在确保过程安全方面做得很好,不会给客户带来麻烦。这确实意味着客户要给安全提供商一定的信任,且应该要求安全提供商描述清楚自家检测过程是怎么工作的。

卡巴斯基不是唯一一款暗中伤害客户利益的安全工具。过去几年中,多款终端检测工具被曝存在病毒识别问题,且包含可能有损用户利益的管理技术。

没错,卡巴斯基软件确实“可以”被操纵来针对特定目标,个中机制无可辩驳,但“意图”才是重点。该杀软是否被用于刺探公司企业情报?这一点众说纷纭,尚无定论。去年年末,英国紧跟美国脚步,宣布禁用卡巴斯基软件。但老实说,市面上大量终端检测/操作/管理工具中,50存在有同样的安全问题,无法切实保护其用户。

市面上绝大多数安全软件都要求可以访问主机上存储的所有文件,这是普遍现象,不是仅卡巴斯基一家的个案。其他厂商不过是尽力避免被曝光,希望用户不会突然醒悟过来,发现本应保护自身安全的东西同时也是可以挖出自己最深秘密的东西……

当然,没有任何证据证明已经有杀毒软件被恶意使用,尽管它们明显“可以”用作恶意用途。我们不应该简单粗暴地下结论说,卡巴斯基就是在偷取用户文件,或者其他什么杀软公司真的这么干了。

卡巴斯基实验室一直都在否认与俄罗斯情报机构存在任何不正当联系;也没有公开的证据表明它与俄情报机构勾结。然而不幸的是,对这家位于莫斯科的安全公司而言,被扣上这顶帽子就是地缘政治对网络安全领域产生影响的结果。

推荐阅读