美國(guó)國(guó)土安全部(DHS)對(duì)政府機(jī)構(gòu)使用卡巴斯基實(shí)驗(yàn)室安全產(chǎn)品的禁令,引發(fā)了安全行業(yè)陣陣回響。關(guān)注重點(diǎn)不是簡(jiǎn)單地落在這家俄國(guó)安全公司是否與俄羅斯情報(bào)機(jī)構(gòu)勾結(jié),而在于還有多少家安全公司,會(huì)通過(guò)自己的產(chǎn)品,與本國(guó)情報(bào)機(jī)構(gòu)勾連。
對(duì)安全而言,這是個(gè)壞消息,因?yàn)榘踩褪墙⒃谛湃紊系?,沒有信任就沒有安全??ò退够鶎?shí)驗(yàn)室否認(rèn)了勾結(jié)指控,并愿意全力配合,自證清白。無(wú)論是接受國(guó)會(huì)質(zhì)詢,還是第三方代碼審核,都愿意。同時(shí),并沒有切實(shí)的證據(jù)表明該公司與俄羅斯情報(bào)機(jī)構(gòu)的勾結(jié),只是有種說(shuō)法認(rèn)為,這種可能性應(yīng)引起關(guān)注。
尤金·卡巴斯基
11月28日,倫敦的一場(chǎng)媒體簡(jiǎn)報(bào)上,尤金·卡巴斯基稱,他從未接到過(guò)俄羅斯政府的間諜活動(dòng)請(qǐng)求。
如果俄羅斯政府找到我,讓我或我的雇員做什么壞事,我會(huì)把公司搬離俄羅斯。我們從未幫助過(guò)間諜機(jī)關(guān),無(wú)論是俄羅斯的還是其他國(guó)家的。
DHS對(duì)卡巴斯基實(shí)驗(yàn)室產(chǎn)品的禁令中稱:“無(wú)論是自行實(shí)施還是與卡巴斯基合作,俄羅斯政府可通過(guò)卡巴斯基產(chǎn)品提供的訪問(wèn)權(quán)損害聯(lián)邦信息及信息系統(tǒng)的風(fēng)險(xiǎn),直接涉及了美國(guó)國(guó)家安全。”
問(wèn)題就出在這里。在開發(fā)殺毒軟件并成立卡巴斯基實(shí)驗(yàn)室之前,尤金·卡巴斯基是在克格勃和國(guó)防贊助的學(xué)校學(xué)習(xí)的加密,然后又在俄羅斯國(guó)防部當(dāng)了一名密碼破譯員。于是,其間聯(lián)系,也就是風(fēng)險(xiǎn),出現(xiàn)了。但同時(shí),隨便瞟一眼LinkedIn上美國(guó)安全公司職員的簡(jiǎn)歷,都會(huì)發(fā)現(xiàn)一大波曾經(jīng)在NSA、CIA、FBI或國(guó)務(wù)院工作過(guò)的高級(jí)雇員,還有很多美國(guó)安全公司鼓吹雇到了前政府和軍隊(duì)人員。僅有這點(diǎn)聯(lián)系,并不能證明二者就有勾結(jié)。
《華爾街日?qǐng)?bào)》(WSJ)單獨(dú)發(fā)表了一份未經(jīng)證實(shí)的斷言,稱一名NSA雇員被俄羅斯支持的黑客入侵,黑客用的就是卡巴斯基實(shí)驗(yàn)室產(chǎn)品中的一個(gè)漏洞;且正是因?yàn)樵摮邪淌褂每ò退够鶎?shí)驗(yàn)室的殺毒軟件,黑客才得以在發(fā)現(xiàn)那些文件后鎖定該雇員。
沒有任何證據(jù)可以證明該斷言,但其中蘊(yùn)含的意思就是,卡巴斯基實(shí)驗(yàn)室沒有直接將機(jī)密文件傳給俄羅斯情報(bào)機(jī)構(gòu),而僅僅是通告了他們?cè)摴蛦T電腦上有這些文件。
然而,如果卡巴斯基與俄羅斯情報(bào)機(jī)構(gòu)之間的聯(lián)系是擔(dān)憂之源,那用戶也得擔(dān)心邁克菲、賽門鐵克與NSA的關(guān)系,Sophos和GCHQ的關(guān)系了。
為防止對(duì)安全產(chǎn)品潛在的信任喪失,F-Secure首席研究官米科·西博能,在11月30號(hào)講述了他的公司是怎么處理機(jī)密用戶信息的。
米科·西博能
對(duì)他的話,有2個(gè)地方需要注意。首先,F(xiàn)-Secure是卡巴斯基實(shí)驗(yàn)室的競(jìng)爭(zhēng)對(duì)手;其次,F(xiàn)-Secure不是卡巴斯基實(shí)驗(yàn)室。盡管如此,剖析主流殺軟公司是怎么運(yùn)作的,無(wú)疑會(huì)帶來(lái)對(duì)其他主要?dú)④浌具\(yùn)作機(jī)制的洞見。
西博能避開,或者說(shuō)模糊了他對(duì)卡巴斯基實(shí)驗(yàn)室與俄羅斯間聯(lián)系的看法。比如說(shuō),他講到,“我們不妨說(shuō),這是家很棒的公司,一款很好的安全產(chǎn)品。這些人也是世界級(jí)的研究人員。”
當(dāng)被問(wèn)到他是否認(rèn)為卡巴斯基實(shí)驗(yàn)室“與俄羅斯情報(bào)機(jī)構(gòu)勾結(jié),他們是不是被黑了?”西博能回答稱,“我不知道。這全都是猜測(cè),所有關(guān)于此的討論都是猜測(cè)。目前每個(gè)人都僅僅是在猜。”但是,與司法部門的聯(lián)系是很普遍的現(xiàn)象。司法機(jī)構(gòu)經(jīng)常請(qǐng)安全公司輔助對(duì)抗網(wǎng)絡(luò)犯罪,研究人員也常常將發(fā)現(xiàn)的C&C服務(wù)器數(shù)據(jù)傳給他們。
西博能確實(shí)解釋了F-Secure對(duì)待用戶文件信息的方法。首先,幾乎所有安全公司都收集此數(shù)據(jù),這是安全公司運(yùn)轉(zhuǎn)的基礎(chǔ)。需要進(jìn)行分析以保證用戶安全的數(shù)據(jù)量,若在本地計(jì)算機(jī)上操作,會(huì)慢到難以忍受。殺毒軟件和網(wǎng)絡(luò)異常產(chǎn)品傾向于在收集數(shù)據(jù)后發(fā)送至云服務(wù)器,利用強(qiáng)大的機(jī)器學(xué)習(xí)算法進(jìn)行分析。
但F-Secure,還有幾乎所有其他安全供應(yīng)商,竭盡全力匿名化所收集的信息,保護(hù)用戶隱私。這當(dāng)然是一個(gè)很好的操作,但很多司法轄區(qū)的隱私規(guī)定也會(huì)導(dǎo)致嚴(yán)重的糾紛。比如說(shuō),GDPR。該條例要求僅收集必要的數(shù)據(jù),而個(gè)人數(shù)據(jù)并非可執(zhí)行文件分析必需品。
被收集的文件用于分析是否指征惡意軟件。如果文件是良性的,就會(huì)被直接刪掉。這與卡巴斯基實(shí)驗(yàn)室在WSJ報(bào)道之后的評(píng)論相一致。其軟件發(fā)現(xiàn)該雇員電腦上有NSA文件,未在其中看出良性因素,便上傳文件以進(jìn)行進(jìn)一步分析。分析裁定文件性質(zhì)為“敏感”,然后便刪除了。
然而,不幸的是,這并不能證明卡巴斯基實(shí)驗(yàn)室有人秘密通報(bào)俄羅斯情報(bào)機(jī)構(gòu)的可能性。但若真有人報(bào)信說(shuō)“嘿,哥們兒,你們可能需要仔細(xì)看看這家伙的電腦哦”,那卡巴斯基實(shí)驗(yàn)室就難免收集個(gè)人數(shù)據(jù)和匿名化的文件了。
西博能無(wú)法直言卡巴斯基這么干了,但他的意思已經(jīng)表達(dá)得很清楚了。他的意見與DHS一致:“我不會(huì)推薦美國(guó)機(jī)構(gòu)采用外國(guó)安全產(chǎn)品,尤其是俄羅斯產(chǎn)品。但對(duì)家庭用戶和其他類似性質(zhì)的用戶而言,這還是很不錯(cuò)的產(chǎn)品。”
最終,問(wèn)題落腳在你最信任誰(shuí):你自己的政府,還是依存于信任的安全公司。
謹(jǐn)慎選擇你的供應(yīng)商,因?yàn)?,理論上,他們知道你做的所有事。運(yùn)行底層軟件,比如安全軟件的時(shí)候,你必須信任他們。
但西博能個(gè)人并不認(rèn)為卡巴斯基實(shí)驗(yàn)室有什么惡意行為。因?yàn)檫@么做是非常短視的。一旦被踢爆,公司就完了。這是個(gè)糟糕透頂?shù)纳虡I(yè)決策。如果是俄羅斯政府利用本地安全公司作為獲取信息的渠道,那同樣短視。因?yàn)榭ò退够鶎?shí)驗(yàn)室是俄羅斯方塊之后,俄羅斯最大的軟件成功故事。