信任你的安全供应商吧 因为他们知道所有的事情
作者:星期二, 十二月 12, 20170

美国国土安全部(DHS)对政府机构使用卡巴斯基实验室安全产品的禁令,引发了安全行业阵阵回响。关注重点不是简单地落在这家俄国安全公司是否与俄罗斯情报机构勾结,而在于还有多少家安全公司,会通过自己的产品,与本国情报机构勾连。

对安全而言,这是个坏消息,因为安全就是建立在信任上的,没有信任就没有安全。卡巴斯基实验室否认了勾结指控,并愿意全力配合,自证清白。无论是接受国会质询,还是第三方代码审核,都愿意。同时,并没有切实的证据表明该公司与俄罗斯情报机构的勾结,只是有种说法认为,这种可能性应引起关注。

尤金·卡巴斯基

11月28日,伦敦的一场媒体简报上,尤金·卡巴斯基称,他从未接到过俄罗斯政府的间谍活动请求。

如果俄罗斯政府找到我,让我或我的雇员做什么坏事,我会把公司搬离俄罗斯。我们从未帮助过间谍机关,无论是俄罗斯的还是其他国家的。

DHS对卡巴斯基实验室产品的禁令中称:“无论是自行实施还是与卡巴斯基合作,俄罗斯政府可通过卡巴斯基产品提供的访问权损害联邦信息及信息系统的风险,直接涉及了美国国家安全。”

问题就出在这里。在开发杀毒软件并成立卡巴斯基实验室之前,尤金·卡巴斯基是在克格勃和国防赞助的学校学习的加密,然后又在俄罗斯国防部当了一名密码破译员。于是,其间联系,也就是风险,出现了。但同时,随便瞟一眼LinkedIn上美国安全公司职员的简历,都会发现一大波曾经在NSA、CIA、FBI或国务院工作过的高级雇员,还有很多美国安全公司鼓吹雇到了前政府和军队人员。仅有这点联系,并不能证明二者就有勾结。

《华尔街日报》(WSJ)单独发表了一份未经证实的断言,称一名NSA雇员被俄罗斯支持的黑客入侵,黑客用的就是卡巴斯基实验室产品中的一个漏洞;且正是因为该承包商使用卡巴斯基实验室的杀毒软件,黑客才得以在发现那些文件后锁定该雇员。

没有任何证据可以证明该断言,但其中蕴含的意思就是,卡巴斯基实验室没有直接将机密文件传给俄罗斯情报机构,而仅仅是通告了他们该雇员电脑上有这些文件。

然而,如果卡巴斯基与俄罗斯情报机构之间的联系是担忧之源,那用户也得担心迈克菲、赛门铁克与NSA的关系,Sophos和GCHQ的关系了。

为防止对安全产品潜在的信任丧失,F-Secure首席研究官米科·西博能,在11月30号讲述了他的公司是怎么处理机密用户信息的。

米科·西博能

对他的话,有2个地方需要注意。首先,F-Secure是卡巴斯基实验室的竞争对手;其次,F-Secure不是卡巴斯基实验室。尽管如此,剖析主流杀软公司是怎么运作的,无疑会带来对其他主要杀软公司运作机制的洞见。

西博能避开,或者说模糊了他对卡巴斯基实验室与俄罗斯间联系的看法。比如说,他讲到,“我们不妨说,这是家很棒的公司,一款很好的安全产品。这些人也是世界级的研究人员。”

当被问到他是否认为卡巴斯基实验室“与俄罗斯情报机构勾结,他们是不是被黑了?”西博能回答称,“我不知道。这全都是猜测,所有关于此的讨论都是猜测。目前每个人都仅仅是在猜。”但是,与司法部门的联系是很普遍的现象。司法机构经常请安全公司辅助对抗网络犯罪,研究人员也常常将发现的C&C服务器数据传给他们。

西博能确实解释了F-Secure对待用户文件信息的方法。首先,几乎所有安全公司都收集此数据,这是安全公司运转的基础。需要进行分析以保证用户安全的数据量,若在本地计算机上操作,会慢到难以忍受。杀毒软件和网络异常产品倾向于在收集数据后发送至云服务器,利用强大的机器学习算法进行分析。

但F-Secure,还有几乎所有其他安全供应商,竭尽全力匿名化所收集的信息,保护用户隐私。这当然是一个很好的操作,但很多司法辖区的隐私规定也会导致严重的纠纷。比如说,GDPR。该条例要求仅收集必要的数据,而个人数据并非可执行文件分析必需品。

被收集的文件用于分析是否指征恶意软件。如果文件是良性的,就会被直接删掉。这与卡巴斯基实验室在WSJ报道之后的评论相一致。其软件发现该雇员电脑上有NSA文件,未在其中看出良性因素,便上传文件以进行进一步分析。分析裁定文件性质为“敏感”,然后便删除了。

然而,不幸的是,这并不能证明卡巴斯基实验室有人秘密通报俄罗斯情报机构的可能性。但若真有人报信说“嘿,哥们儿,你们可能需要仔细看看这家伙的电脑哦”,那卡巴斯基实验室就难免收集个人数据和匿名化的文件了。

西博能无法直言卡巴斯基这么干了,但他的意思已经表达得很清楚了。他的意见与DHS一致:“我不会推荐美国机构采用外国安全产品,尤其是俄罗斯产品。但对家庭用户和其他类似性质的用户而言,这还是很不错的产品。”

最终,问题落脚在你最信任谁:你自己的政府,还是依存于信任的安全公司。

谨慎选择你的供应商,因为,理论上,他们知道你做的所有事。运行底层软件,比如安全软件的时候,你必须信任他们。

但西博能个人并不认为卡巴斯基实验室有什么恶意行为。因为这么做是非常短视的。一旦被踢爆,公司就完了。这是个糟糕透顶的商业决策。如果是俄罗斯政府利用本地安全公司作为获取信息的渠道,那同样短视。因为卡巴斯基实验室是俄罗斯方块之后,俄罗斯最大的软件成功故事。

相关阅读

FBI:卡巴斯基是国家安全威胁 请立即启用
卡巴斯基实验室是怎么与美国政府交恶的

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章