現在,據新近披露的來自愛德華·斯諾登(Edward Snowden)的文件透露,美國國家安全局(NSA)以及英國政府通信總部(GCHQ)開展此類活動的時間早于以色列數年,他們展開的行動不僅僅針對卡巴斯基的軟件,還包括其他安全公司的反病毒軟件,此類活動最早開始于2008年。
這些文件沒有透露具體被入侵的安全公司名單,只是描述了一種有組織的入侵手法,對軟件進行反向工程,找出漏洞所在,以便為情報機構所用。英國情報機構就將卡巴斯基的軟件視作入侵行動中的一種阻礙,他們打算找到方法來克服。
文檔中有如下記載:“如卡巴的反病毒軟件這類個人安全產品持續對GCHQ的行動能力構成挑戰,而SRE(軟件反向工程)的目的就是要抑制此類軟件的能力,防止我們的行為被檢測到。”
而一份來自NSA的幻燈片對稱之為“CAMBERDADA”的項目進行了描述,其上列出了至少23家進入情報機構視線的反病毒以及安全公司名稱,包括芬蘭的F-Secure、斯洛伐克的Eset、捷克的Avast以及羅馬尼亞的Bit-Defender。值得指出的是,美國的賽門鐵克、McAfee以及英國的Sophos并不在名單上。
但是,反病毒軟件并非上述兩家情報機構的唯一目標。他們同樣將反向工程技術應用到了CheckPoint——來自以色列的防火墻軟件上。來自不同公司的商業加密軟件也在被關注的范圍內。GCHQ就對來自Exlade的CrypticDisk以及宏碁的eDataSecurity進行了反向工程。在線論壇系統vBulletin以及Invision Power Board亦在被盯上的名單中,后兩款軟件被包括索尼影業、藝電以及NBC環球在內的公司廣泛采用。名單中還有用于管理和配置服務器的CPanel以及管理Postfix電郵服務器的PostfixAdmin。同時,GCHQ還對思科路由器進行了反向工程,這使得該情報機構能夠對位于巴基斯坦的任何網絡用戶進行監視,并且將任意數據直接重定向發送到該機構的系統中。
GCHQ的行動在法律上獲得了支持,英國外交部長根據1994年頒布的英國情報機構法案的條款向該機構頒發了行動許可,授權范圍包括對商業軟件進行修改,以便執行攔截、解密以及其他相關任務。被用于卡巴斯基軟件反向工程的許可有效期為6個月,始于2008年7月7日。其后,該機構成功申請對期限進行了延長。
如果沒有上述許可,該機構擔心此舉會違反卡巴斯基的用戶協議或版權法。軟件開發商通常會在代碼中植入防范反向工程的機制,以防止其他人竊取公司技術機密,同時會在用戶許可協議中明確禁止此類行為。
據一份GCHQ的備忘錄透露,在沒有取得此類許可的前提下展開行動,則會存在被法庭認定為非法行為的風險。
本月早些時候,卡巴斯基透露,其于去年被臭名昭著的震網以及Duqu成員入侵。入侵者在公司的網絡中存在數月之久,對卡巴斯基的運作機制進行了分析,以便在今后的行動中繞開軟件的檢測。卡巴斯基據稱在全球范圍內擁有超過4億用戶。
入侵者對卡巴斯基的安全網絡亦表示出興趣,該系統針對新出現的威脅從用戶的計算機上收集數據。一旦在用戶的機器上檢測到未知或可疑的文件,數據將會自動被發送回卡巴斯基的服務器,分析人員便開始著手相關的研究和追蹤。公司亦通過上述系統勾勒出新的威脅傳播和爆發的路徑,這同時也是對NSA和GCHQ這種情報機構發起的國家級黑客行動進行追蹤的重要工具。
而最新揭露的NSA文件則反映了一種完全不同的手法。該機構似乎對用戶發送回卡巴斯基以及其他反病毒廠商的數據報告非常感興趣。通過攔截這些可疑文件樣本,該機構可以從中發現那些能夠繞開病毒檢測的文件的特則,接下來,NSA的黑客便可以對這些文件改頭換面,用于自己的目的。他們同時會進行周期性檢測,就最新版本的卡巴斯基軟件能否對這些惡意軟件進行識別的情況隨時進行掌握。
下一篇:小心偽裝后的皮塔餅