从许多方面来看,卡巴斯基反病毒工具是个人和企业确保安全的利器。不过研究人员周四声称,这家俄罗斯公司的安全软件实际上可帮助黑客和间谍为非作歹,这大大出乎人们的意料。
研究人员表示,他们已找到了一种方法,迫使反病毒产品帮助窥探者从分段的网络(并不连接到更广泛互联网的网络)窃取数据。而卡巴斯基表示自己不会解决这个问题,尽管被发现存在同样问题的另外三家厂商已决定改变产品中的技术,杜绝这种攻击发生。
此事恰逢发生在敏感时期:美国情报界正在严格审查政府使用安全软件的情况,担心安全软件嵌入到美国政府网络,而对于首席执行官尤金·卡巴斯基(Eugene Kaspersky)与克里姆林宫有关联的嫌疑仍没有得到排除。目前国会正在审议的一项法案要求国防部对卡巴斯基下禁令。据一名熟悉法案拟订工作的消息灵通人士称,由于得到了两党的支持,这部拟议的法案很有希望在年底前通过。该消息灵通人士指出,这道禁令可能会推广到与国防部网络有任何关联的所有政府机构。
帮助黑客的反病毒软件?
来自网络安全初创公司SafeBreach的研究人员将于本周在拉斯维加斯召开的黑帽大会和DEF CON大会上介绍这一发现。他们已成功实施了一次隐蔽的攻击,充分利用了多款现代反病毒工具的一项功能,包括Avira Antivirus Pro、ESET NOD32、卡巴斯基Total Security 2017和Comodo Client Security。
SafeBreach的研究副总裁阿米特·克莱因(Amit Klein)特别指出,不过有一个很重要的方面需要注意:他们立足于这个前提,即没有连接到更广泛互联网的隔离网络上的计算机含有恶意软件。通常来说,出于安全方面的原因,关键系统(比如国防网络或基础设施网络)并不连接到互联网,使用所谓的“气隙”(airgap)来隔离,但是还是可以用U盘或其他硬件以及其他无数攻击手法来感染它们。
SafeBreach的黑客利用这个优势从网络窃取了数据,然后将数据放到被他们称为“卫星恶意软件”的另一个文件。这做了一番手脚,有意被研究人员测试的多款反病毒系统检测出来。然后,每个反病毒工具将该文件送到各自的服务器,在所谓的“沙盒”里面执行进一步的检查;正是从沙盒里面,克莱因发现他可以开始将窃取而来的数据从卫星恶意软件发送到自己的计算机。这是从本该安全的网络窃取数据的一种新颖方法,这归因于云系统并不阻止通过各种协议建立的出站连接。
克莱因说:“我们可以外泄任何随意的数据。可以收集哪些种类的数据,这没有限制。只要发出一个HTTP请求,就似乎很容易往外发送数百千字节的数据,没人阻止得了你。”
SafeBreach的首席技术官兼联合创始人伊特齐克·科特勒(Itzik Kotler)补充道:“所以,在你的计算机上安装某些厂商的反病毒软件可能会让安全状况反而比什么都不安装还要来得糟糕。它让你不大安全。”
