俄罗斯安全公司卡巴斯基实验室于近期被曝遭到入侵,据信黑客来自以色列,自去年某个时候起就盘踞于公司的网络中。该公司同时声称,这些入侵者的意图在于学习反病毒软件,进而找到漏洞,以便在消费者的计算机上活动时避免被检测到。现在,据新近披露的来自爱德华·斯诺登(Edwar Snowden)的文件透露,美国国家安全局(NSA)以及英国政府通信总部(GCHQ)开展此类活动的时间早于以色列数年,他们展开的行动不仅仅针对卡 巴斯基的软件,还包括其他安全公司的反病毒软件,此类活动最早开始于2008年。
这些文件没有透露具体被入侵的安全公司名单,只是描述了一种有组织的入侵手法,对软件进行反向工程,找出漏洞所在,以便为情报机构所用。英国情报机构就将卡巴斯基的软件视作入侵行动中的一种阻碍,他们打算找到方法来克服。
文档中有如下记载:“如卡巴的反病毒软件这类个人安全产品持续对GCHQ的行动能力构成挑战,而SRE(软件反向工程)的目的就是要抑制此类软件的能力,防止我们的行为被检测到。”
而一份来自NSA的幻灯片对称之为“CAMBERDADA”的项目进行了描述,其上列出了至少23家进入情报机构视线的反病毒以及安全公司名称,包括芬兰的F-Secure、斯洛伐克的Eset、捷克的Avast以及罗马尼亚的Bit-Defender。值得指出的是,美国的赛门铁克、McAfee以及英国的Sophos并不在名单上。
但是,反病毒软件并非上述两家情报机构的唯一目标。他们同样将反向工程技术应用到了CheckPoint——来自以色列的防火墙软件上。来自不同公司的商业加密软件也在被关注的范围内。GCHQ就对来自Exlade的CrypticDisk以及宏碁的eDataSecurity进行了反向工程。在线论坛系统vBulletin以及Invision Power Board亦在被盯上的名单中,后两款软件被包括索尼影业、艺电以及NBC环球在内的公司广泛采用。名单中还有用于管理和配置服务器的CPanel以及管理Postfix电邮服务器的PostfixAdmin。同时,GCHQ还对思科路由器进行了反向工程,这使得该情报机构能够对位于巴基斯坦的任何网络用户进行监视,并且将任意数据直接重定向发送到该机构的系统中。
GCHQ的行动在法律上获得了支持,英国外交部长根据1994年颁布的英国情报机构法案的条款向该机构颁发了行动许可,授权范围包括对商业软件进行修改,以便执行拦截、解密以及其他相关任务。被用于卡巴斯基软件反向工程的许可有效期为6个月,始于2008年7月7日。其后,该机构成功申请对期限进行了延长。
如果没有上述许可,该机构担心此举会违反卡巴斯基的用户协议或版权法。软件开发商通常会在代码中植入防范反向工程的机制,以防止其他人窃取公司技术机密,同时会在用户许可协议中明确禁止此类行为。
据一份GCHQ的备忘录透露,在没有取得此类许可的前提下展开行动,则会存在被法庭认定为非法行为的风险。
本月早些时候,卡巴斯基透露,其于去年被臭名昭著的震网以及Duqu成员入侵。入侵者在公司的网络中存在数月之久,对卡巴斯基的运作机制进行了分析,以便在今后的行动中绕开软件的检测。卡巴斯基据称在全球范围内拥有超过4亿用户。
入侵者对卡巴斯基的安全网络亦表示出兴趣,该系统针对新出现的威胁从用户的计算机上收集数据。一旦在用户的机器上检测到未知或可疑的文件,数据将会自动被发送回卡巴斯基的服务器,分析人员便开始着手相关的研究和追踪。公司亦通过上述系统勾勒出新的威胁传播和爆发的路径,这同时也是对NSA和GCHQ这种情报机构发起的国家级黑客行动进行追踪的重要工具。
而最新揭露的NSA文件则反映了一种完全不同的手法。该机构似乎对用户发送回卡巴斯基以及其他反病毒厂商的数据报告非常感兴趣。通过拦截这些可疑文件样本,该机构可以从中发现那些能够绕开病毒检测的文件的特则,接下来,NSA的黑客便可以对这些文件改头换面,用于自己的目的。他们同时会进行周期性检测,就最新版本的卡巴斯基软件能否对这些恶意软件进行识别的情况随时进行掌握。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。