卡巴斯基CEO:说我们和俄罗斯政府联手窃取NSA机密信息,你们在拍C级片吗?

标签:俄罗斯卡巴斯基NSA

访客:8328  发表于:2017-10-12 10:11:50

国庆期间,华尔街日报(WSJ)发了一篇文章,这篇文章声称俄罗斯安全公司卡巴斯基(Kaspersky Lab)和俄罗斯政府之间存在关联——等等,美国人不是整天这么说么?这次华尔街日报宣称终于有了这两个单位间存在直接关联的“首个证据”。而且:

“据多个有关人员所说,一名 NSA 雇员(contractor)将高度机密材料放到自己家中的计算机中。此后为俄罗斯政府工作的黑客窃取了这些材料,材料相关美国渗透国外计算机网络、防御网络攻击。

“而且这些人还说,这名雇员使用卡巴斯基的反病毒软件,攻击者正是利用这一点,以该雇员为攻击目标。”

这份报道指出,俄罗斯政府支持的黑客早在 2015 年窃取到 NSA 的高度机密文档,关键在于窃取这些文档依靠的是卡巴斯基的帮助。有兴趣的同学可以去读一读这份报道。但在报道发布后不久,包括 The Hacker News、Security Week 等国外媒体就相继发表评论文章,直指华尔街日报根本没有提供证据,而且消息源还是匿名的,这就有点尴尬了。

卡巴斯基:又是匿名消息源,惊不惊喜?

其实美国人说卡巴斯基与俄罗斯政府之间有关系已经不是一天两天了,之前 FreeBuf 的很多文章都有过类似的报道,只不过美国方面也从未给出强有力的证据,最终事情都以卡巴斯基否认告终,这次的情形也不例外。在这份报道刊发后不久,卡巴斯基 CEO Eugene Kaspersky 当天就立即做出回应:

“作为一家私营企业,卡巴斯基和任何政府机构都没有不正当关联,包括俄罗斯。对此唯一的解释就是,卡巴斯基似乎不幸卷进了地缘政治斗争之中。

“这份声明很像是 C 级片剧本(the script of C movie),而且这次又是匿名消息源(惊不惊喜)。”

维基百科中对 C movie 的解释是 B 级电影的低端货,算是对制作质量的一种描述,这类片子涌现于上世纪 80 年代有线电视蓬勃发展之际。说起来,这个“片子”的“剧本”仍在反复续写。Eugene Kaspersky 还说,华尔街日报也没有提供有关指控卡巴斯基与政府合作的任何证据。

如果我们假定华尔街日报的这种主流解释是真的,那么最大的可能性应该有两种:

其一,卡巴斯基的反病毒产品原本就会将某些可疑文件(恶意程序可执行文件)上传到服务器供分析,服务器当然是位于俄罗斯的,那么卡巴斯基可能将服务器的访问权给了俄罗斯政府;这样一来,华尔街日报提到攻击者从 NSA 雇员家用电脑获取到机密数据就解释得通了。

其二,还有一种可能,攻击者可能利用了卡巴斯基反病毒产品中的漏洞,以此来窃取那名 NSA 雇员电脑中藏着的机密数据。

鉴于 Edward Snowden 和 Harold Martin 这两位著名的泄露人士“珠玉在前”,或许俄罗斯情报机构向 NSA 雇员的家用电脑下手也存在较大可能。Security Week 在评论文章中提到,以俄罗斯的实力,攻击者或许早就已经渗透到这名 NSA 雇员的电脑中了,而卡巴斯基反病毒产品出现在电脑上可能只是个巧合罢了。

卡巴斯基CEO:说我们和俄罗斯政府联手窃取NSA机密信息,你们在拍C级片吗?

Eugene Kaspersky 本人

而针对第二点,即可能是俄罗斯政府储备了卡巴斯基反病毒产品的 0day 漏洞,就像 CCleaner 事件那样。卡巴斯基在声明中则提到:

“如果我们假定报道是真的:俄罗斯黑客利用我们产品中的漏洞——用户将产品安装到 PC 之上,且宣称要保护国家安全的政府知道了这件事,那为什么他们不把漏洞上报给我们?

“我们很快就能修复最严重的漏洞;把漏洞上报给我们不是能让这个世界更安全吗?我无法想象,他们没有这么做是基于何种道德的标准。”

早年卡巴斯基的确有遭遇入侵的先例,比如去年春,卡巴斯基测试一款检测 APT 威胁技术的原型产品,结果在内部系统中检测到了入侵踪迹。当时 Eugene Kaspersky 解释说攻击者可能对卡巴斯基内部技术感兴趣,但实际上公司内部网络“真的没有什么顶级机密的东西,可能是要窃取我们的技术、源码,以更好地进行攻击工具开发”。

华尔街日报的报道无凭无据?

其实我们说 NSA 雇员,可能不够准确,实际上这里的雇员是指 NSA 的 contractor 承包人——早年著名的泄露者斯诺登就是 NSA 的 contractor。华尔街日报这次的报道并未指明是哪个 contractor 的家用电脑遭遇数据泄露,报道中只是进行事件陈述:某个未具名的 NSA 雇员从 NSA 拿到敏感数据后存储在自己的家用电脑中,而这台电脑上还安装了卡巴斯基的软件。卡巴斯基反病毒软件会扫描所有新的文件,并对未知文件进行收集,作进一步扫描。俄罗斯政府因此获取到了 NSA 文档。

至少就华尔街日报现在公布的信息来看,这个事件的真实性是令人怀疑的。或许美国的情报机构还有其它证据,只不过尚未公布。外媒也普遍对此事持怀疑态度。

这篇报道的确只是在指控俄罗斯黑客从 NSA 雇员计算机中获取数据,并说:“本次入侵,是卡巴斯基软件被俄罗斯黑客利用,针对美国政府进行间谍行动,已知的第一例。”

卡巴斯基CEO:说我们和俄罗斯政府联手窃取NSA机密信息,你们在拍C级片吗?

实际上,华尔街日报的报道还能够引发更多的思考。比如说美国政府怎么会让内部人员频繁带走高度机密数据,斯诺登、Martin 和最近这位把自己带到自己电脑上的内部人员。连 NSA 内部风控都做得如此之差,那还能指望商业公司在安全方面做些什么?

外媒甚至猜测,此事是否可能与神秘黑客组织 Shadow Brokers 公开 NSA 内部 exploits 有关。因为华尔街日报评论称,Harold Martin 先前泄露大量机密信息,但他并不是 Shadow Brokers 获取 NSA 内部数据的源头。那么这次公开的事件是不是呢?因为在时间上恰好契合。

虽然此事是前几天才曝出的,但实际上数据泄露是发生在 2015 年,NSA 获悉此事故则要等到去年春季。Shadow Brokers 正是在这个时间点开始发声,并对外公开、出售 NSA 的漏洞利用工具。而且华尔街日报在本次报道中也说,此次事件泄露的是“有关 NSA 渗透国外计算机网络的细节,以及用于进行窃听的计算机代码、在美国国内如何进行网络防御”等。

如果这个猜测属实,那么 Shadow Brokers 已经公开了部分工具、出售了部分工具,这些数据对俄罗斯政府的价值也就不大了。但这些都只是推测而已。

卡巴斯基CEO:说我们和俄罗斯政府联手窃取NSA机密信息,你们在拍C级片吗?

由来已久的指控

我们先前也报道过,美国 DHS(国土安全部)已经禁止任何政府机构采用卡巴斯基的软件。不过美国方面从来没有给出过卡巴斯基和俄罗斯政府暗地合作的证据。DHS 在声明中说:“俄罗斯政府无论是否和卡巴斯基合作,利用卡巴斯基产品入侵获取联邦信息与信息系统的风险,都直接对美国国家安全造成了影响。”主语在风险,而非证据。

所以控制风险是合理行为,包括政府不在采用卡巴斯基软件,这都是合理的。要知道,在这个时代,民营企业,尤其是科技行业内的安全企业,已经具备了相当的震慑力,比如 FireEye 随便发一篇 APT28 分析报告,就足以引起两国政府的关注;卡巴斯基如果也发一篇,则已经上升到大国间网络空间角力的程度。

但在没有证据的情况下就贸然站队并不理智,安全产品的“地缘政治斗争”都来都没有停息。

作者:欧阳洋葱

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");