知識星球自從美國政府封殺卡巴斯基防毒軟體之後,雙方也進行了多次拉鋸戰。前段時間卡巴斯基已經正式提起上訴,而近期前NSA駭客證實,卡巴斯基殺軟可以成為一種強大的間諜工具。
詳細事件發展可查看回顧:
卡巴斯基關於勒索軟體的總結:2017年勒索軟體的故事
http://www.freebuf.com/articles/neopoints/155731.html
前NSA駭客,演示瞭如何逆向卡巴斯基實驗室防毒軟體,並將其轉變為一個強大的機密檔案搜尋工具。
卡巴斯基的案例表明,安全軟體可以被情報機構利用,作為一種強大的間諜工具。迪米塔安全公司首席研究官、前NSA駭客Patrick Wardle透過逆向卡巴斯基實驗室反病毒軟體,將其變成了一種強大的機密檔案搜尋工具,展示了這一點。
“在與惡意程式碼的戰鬥中,防毒軟體是一種主要的產品”,Patrick Wardle告訴《紐約時報》。
“但具有諷刺意味的是,這些產品與他們試圖尋找的先進的網路間諜收集裝置有很多共同之處。我想知道這是不是一種可行的攻擊機制,”Wardle補充說,“我不想捲入複雜的指控。”
但從技術的角度來看,如果一個防毒軟體製造商想要或者說被強制、被駭客入侵或被逆向,那麼它是否能建立一個簽名來標記機密檔案呢?
去年12月,美國總統唐納德•特朗普簽署了一項法案,禁止在聯邦機構使用卡巴斯基實驗室產品和服務。根據斯諾登洩露的一份絕密報告的草稿,NSA至少從2008年起就針對反病毒軟體(即Checkpoint和Avast)收集儲存在標的機器中的敏感資訊。
Wardle對卡巴斯基實驗室防毒軟體進行了逆向工程,以探索濫用它用來獲取情報的可能性。專家的標的是編寫一個能夠檢測機密檔案的簽名。
Wardle發現,這段程式碼非常複雜,不像傳統的反病毒軟體,卡巴斯基的惡意軟體簽名很容易更新,可以對這個功能進行調整,自動掃描受害者的機器,竊取機密檔案。
“現代反病毒產品是非常複雜的軟體,而卡巴斯基可能是最複雜的軟體之一。因此,僅僅對其簽名和掃描邏輯有一個合理的理解,都是是一項具有挑戰性的任務。”
“儘管安裝了內建簽名的安裝程式,就像任何反病毒程式一樣,卡巴斯基的反病毒引擎會定期檢查,並自動安裝新簽名”,“當有新的簽名時,kav守護行程會從卡巴斯基的更新伺服器下載這些簽名。”
Wardle發現,防毒軟體掃描功能可以用於網路間諜活動。這位專家指出,官員們會例行公事地將絕密檔案標記為“TS/SCI”(絕密/敏感資訊)”,然後他在卡巴斯基的反病毒程式中添加了一條規則,以標記任何包含“TS/SCI”記號的檔案。
為了測試新規則,研究人員在他的電腦上編輯了一份檔案,其中包含了小熊維尼兒童系列叢書的文字,並添加了“TS/SCI”標記。一旦小熊維尼的檔案被儲存到他的機器上,卡巴斯基的反病毒軟體就會標記並隔離檔案。
Wardle的測試的連續階段是發現標記檔案的管理方式,但防毒軟體將資料發回公司進行進一步分析是正常的。
卡巴斯基實驗室解釋稱,Wardle的研究不能糾正,因為該公司不會以一種隱秘的方式向用戶提供特定的簽名或更新。卡巴斯基在一份宣告中表示:“卡巴斯基實驗室不可能以一種秘密的、有針對性的方式向所有使用者提供一個特定的簽名或更新,因為所有的簽名都是面向所有使用者開放的;而且更新是經過數字簽名的,這進一步偽造更新並不可能。”
無論如何,Wardle的研究表明,駭客可以利用防毒軟體作為搜尋工具。然而,任何反病毒公司內部的惡意或自願的內部人士,都可以在策略上部署這樣的簽名,很可能不會被髮現。
當然,在一種假設的情況下,任何被強迫或願意與更大的物體(比如政府部門)合作的反病毒公司,同樣也可以暗地裡利用他們的產品來檢測和刪除任何感興趣的檔案。”
專家總結道:“有時候,善與惡之間的界限,歸結為一個簽名標記。”
*參考來源:SecurityAffairs,FB小編Andy編譯,來自FreeBuf.COM
更多資訊
◈ 看各大科技公司如何處理這次的大規模晶片漏洞問題
http://t.cn/RHntefR
◈ 在 Microsoft Word 的影象連結中進行 UNC路徑註入
http://t.cn/RHntDId
◈ Mozilla 因為 Bug 決定刪除所有收集的崩潰報告
http://t.cn/RHntD1u
◈ “信聯”來了 芝麻信用等八機構各持股8%
http://t.cn/RHntkJp
(資訊來源於網路,安華金和蒐集整理)
