英美情報機(jī)構(gòu)致力于尋找繞開安全軟件的方法

責(zé)任編輯:editor004

作者:汪天盈

2015-06-23 10:57:46

摘自:網(wǎng)易科技報道

據(jù)國外媒體報道,俄羅斯安全公司卡巴斯基實(shí)驗(yàn)室于近期被曝遭到入侵,據(jù)信黑客來自以色列,自去年某個時候起就盤踞于公司的網(wǎng)絡(luò)中。該公司同時聲稱,這些入侵者的意圖在于學(xué)習(xí)反病毒軟件,進(jìn)而找到漏洞,以便在消費(fèi)者的計算機(jī)上活動時避免被檢測到。

英美情報機(jī)構(gòu)致力于尋找繞開安全軟件的方法

6月23日消息,據(jù)國外媒體報道,俄羅斯安全公司卡巴斯基實(shí)驗(yàn)室于近期被曝遭到入侵,據(jù)信黑客來自以色列,自去年某個時候起就盤踞于公司的網(wǎng)絡(luò)中。

該公司同時聲稱,這些入侵者的意圖在于學(xué)習(xí)反病毒軟件,進(jìn)而找到漏洞,以便在消費(fèi)者的計算機(jī)上活動時避免被檢測到。

現(xiàn)在,據(jù)新近披露的來自愛德華·斯諾登(Edward Snowden)的文件透露,美國國家安全局(NSA)以及英國政府通信總部(GCHQ)開展此類活動的時間早于以色列數(shù)年,他們展開的行動不僅僅針對卡巴斯基的軟件,還包括其他安全公司的反病毒軟件,此類活動最早開始于2008年。

這些文件沒有透露具體被入侵的安全公司名單,只是描述了一種有組織的入侵手法,對軟件進(jìn)行反向工程,找出漏洞所在,以便為情報機(jī)構(gòu)所用。英國情報機(jī)構(gòu)就將卡巴斯基的軟件視作入侵行動中的一種阻礙,他們打算找到方法來克服。

文檔中有如下記載:“如卡巴的反病毒軟件這類個人安全產(chǎn)品持續(xù)對GCHQ的行動能力構(gòu)成挑戰(zhàn),而SRE(軟件反向工程)的目的就是要抑制此類軟件的能力,防止我們的行為被檢測到。”

而一份來自NSA的幻燈片對稱之為“CAMBERDADA”的項(xiàng)目進(jìn)行了描述,其上列出了至少23家進(jìn)入情報機(jī)構(gòu)視線的反病毒以及安全公司名稱,包括芬蘭的F-Secure、斯洛伐克的Eset、捷克的Avast以及羅馬尼亞的Bit-Defender。值得指出的是,美國的賽門鐵克、McAfee以及英國的Sophos并不在名單上。

但是,反病毒軟件并非上述兩家情報機(jī)構(gòu)的唯一目標(biāo)。他們同樣將反向工程技術(shù)應(yīng)用到了CheckPoint——來自以色列的防火墻軟件上。來自不同公司的商業(yè)加密軟件也在被關(guān)注的范圍內(nèi)。GCHQ就對來自Exlade的CrypticDisk以及宏碁的eDataSecurity進(jìn)行了反向工程。在線論壇系統(tǒng)vBulletin以及Invision Power Board亦在被盯上的名單中,后兩款軟件被包括索尼影業(yè)、藝電以及NBC環(huán)球在內(nèi)的公司廣泛采用。名單中還有用于管理和配置服務(wù)器的CPanel以及管理Postfix電郵服務(wù)器的PostfixAdmin。同時,GCHQ還對思科路由器進(jìn)行了反向工程,這使得該情報機(jī)構(gòu)能夠?qū)ξ挥诎突固沟娜魏尉W(wǎng)絡(luò)用戶進(jìn)行監(jiān)視,并且將任意數(shù)據(jù)直接重定向發(fā)送到該機(jī)構(gòu)的系統(tǒng)中。

GCHQ的行動在法律上獲得了支持,英國外交部長根據(jù)1994年頒布的英國情報機(jī)構(gòu)法案的條款向該機(jī)構(gòu)頒發(fā)了行動許可,授權(quán)范圍包括對商業(yè)軟件進(jìn)行修改,以便執(zhí)行攔截、解密以及其他相關(guān)任務(wù)。被用于卡巴斯基軟件反向工程的許可有效期為6個月,始于2008年7月7日。其后,該機(jī)構(gòu)成功申請對期限進(jìn)行了延長。

如果沒有上述許可,該機(jī)構(gòu)擔(dān)心此舉會違反卡巴斯基的用戶協(xié)議或版權(quán)法。軟件開發(fā)商通常會在代碼中植入防范反向工程的機(jī)制,以防止其他人竊取公司技術(shù)機(jī)密,同時會在用戶許可協(xié)議中明確禁止此類行為。

據(jù)一份GCHQ的備忘錄透露,在沒有取得此類許可的前提下展開行動,則會存在被法庭認(rèn)定為非法行為的風(fēng)險。

本月早些時候,卡巴斯基透露,其于去年被臭名昭著的震網(wǎng)以及Duqu成員入侵。入侵者在公司的網(wǎng)絡(luò)中存在數(shù)月之久,對卡巴斯基的運(yùn)作機(jī)制進(jìn)行了分析,以便在今后的行動中繞開軟件的檢測。卡巴斯基據(jù)稱在全球范圍內(nèi)擁有超過4億用戶。

入侵者對卡巴斯基的安全網(wǎng)絡(luò)亦表示出興趣,該系統(tǒng)針對新出現(xiàn)的威脅從用戶的計算機(jī)上收集數(shù)據(jù)。一旦在用戶的機(jī)器上檢測到未知或可疑的文件,數(shù)據(jù)將會自動被發(fā)送回卡巴斯基的服務(wù)器,分析人員便開始著手相關(guān)的研究和追蹤。公司亦通過上述系統(tǒng)勾勒出新的威脅傳播和爆發(fā)的路徑,這同時也是對NSA和GCHQ這種情報機(jī)構(gòu)發(fā)起的國家級黑客行動進(jìn)行追蹤的重要工具。

而最新揭露的NSA文件則反映了一種完全不同的手法。該機(jī)構(gòu)似乎對用戶發(fā)送回卡巴斯基以及其他反病毒廠商的數(shù)據(jù)報告非常感興趣。通過攔截這些可疑文件樣本,該機(jī)構(gòu)可以從中發(fā)現(xiàn)那些能夠繞開病毒檢測的文件的特則,接下來,NSA的黑客便可以對這些文件改頭換面,用于自己的目的。他們同時會進(jìn)行周期性檢測,就最新版本的卡巴斯基軟件能否對這些惡意軟件進(jìn)行識別的情況隨時進(jìn)行掌握。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號