警告，卡巴斯基幫助黑客竊取你的數據！

從許多方面來看，卡巴斯基反病毒工具是個人和企業確保安全的利器。不過研究人員周四聲稱，這家俄羅斯公司的安全軟體實際上可幫助黑客和間諜為非作歹，這大大出乎人們的意料。

研究人員表示，他們已找到了一種方法，迫使反病毒產品幫助窺探者從分段的網路（並不連接到更廣泛互聯網的網路）竊取數據。而卡巴斯基表示自己不會解決這個問題，儘管被發現存在同樣問題的另外三家廠商已決定改變產品中的技術，杜絕這種攻擊發生。

此事恰逢發生在敏感時期：美國情報界正在嚴格審查政府使用安全軟體的情況，擔心安全軟體嵌入到美國政府網路，而對於首席執行官尤金·卡巴斯基（Eugene Kaspersky）與克里姆林宮有關聯的嫌疑仍沒有得到排除。目前國會正在審議的一項法案要求國防部對卡巴斯基下禁令。據一名熟悉法案擬訂工作的消息靈通人士稱，由於得到了兩黨的支持，這部擬議的法案很有希望在年底前通過。該消息靈通人士指出，這道禁令可能會推廣到與國防部網路有任何關聯的所有政府機構。

幫助黑客的反病毒軟體？

來自網路安全初創公司SafeBreach的研究人員將於本周在拉斯維加斯召開的黑帽大會和DEF CON大會上介紹這一發現。他們已成功實施了一次隱蔽的攻擊，充分利用了多款現代反病毒工具的一項功能，包括Avira Antivirus Pro、ESET NOD32、卡巴斯基Total Security 2017和Comodo Client Security。

SafeBreach的研究副總裁阿米特·克萊因（Amit Klein）特別指出，不過有一個很重要的方面需要注意：他們立足於這個前提，即沒有連接到更廣泛互聯網的隔離網路上的計算機含有惡意軟體。通常來說，出於安全方面的原因，關鍵系統（比如國防網路或基礎設施網路）並不連接到互聯網，使用所謂的「氣隙」（airgap）來隔離，但是還是可以用U盤或其他硬體以及其他無數攻擊手法來感染它們。

SafeBreach的黑客利用這個優勢從網路竊取了數據，然後將數據放到被他們稱為「衛星惡意軟體」的另一個文件。這做了一番手腳，有意被研究人員測試的多款反病毒系統檢測出來。然後，每個反病毒工具將該文件送到各自的伺服器，在所謂的「沙盒」裡面執行進一步的檢查；正是從沙盒裡面，克萊因發現他可以開始將竊取而來的數據從衛星惡意軟體發送到自己的計算機。這是從本該安全的網路竊取數據的一種新穎方法，這歸因於雲系統並不阻止通過各種協議建立的出站連接。

克萊因說：「我們可以外泄任何隨意的數據。可以收集哪些種類的數據，這沒有限制。只要發出一個HTTP請求，就似乎很容易往外發送數百千位元組的數據，沒人阻止得了你。」

SafeBreach的首席技術官兼聯合創始人伊特齊克·科特勒（Itzik Kotler）補充道：「所以，在你的計算機上安裝某些廠商的反病毒軟體可能會讓安全狀況反而比什麼都不安裝還要來得糟糕。它讓你不大安全。」

在被發現易受攻擊的那些廠商中，Avira、Comodo和ESET都著手解決了這個問題，不過Avira和ESET表示，它們認為這種攻擊不太可能在現實世界中發生。卡巴斯基同意這一觀點，不過拒絕解決問題。

發言人表示，「現實世界中發生這種事的風險非常低」，這主要是由於在上述情況下，沒有連接至互聯網的PC需要運行原始的惡意軟體，而反病毒軟體當初很可能檢測得出來。「如果客戶擔心這種情況，可以相應地配置設備和安全設置。使用我們消費級產品的用戶可以禁用發送到雲沙盒的文件，又不影響檢測效果。使用企業級產品的用戶可以安裝卡巴斯基Private Security Network，這是卡巴斯基Security Network的本地版，或者安裝專用修復程序，禁用發送到雲沙盒的文件。」

SafeBreach並不贊同卡巴斯基的這番觀點。尤其是，克萊因對卡巴斯基聲稱很難將衛星惡意軟體發送到雲端這一說法極為生氣。「我們最終輕鬆觸發了卡巴斯基的產品，讓它將我們的惡意軟體發送到雲端，以便在使用開放互聯網連接的沙盒裡面執行。這是一種屢試不爽的、簡單的手法，所以惡意軟體編寫者將它整合到未來版本中不會有任何問題。」

「四家反病毒軟體廠商中只有卡巴斯基以這樣的方式回應，這是表明其風險分析存在錯誤的的另一個證據。」

立法對卡巴斯基下禁令

這一發現結果對於消除外界對卡巴斯基的懷疑無助於事。

戴夫·艾泰爾（Dave Aitel）以前是美國國家安全局（NSA）的科學家，現在是網路安全公司Immunity的負責人。他表示，情報機構可能掌握了表明卡巴斯基有理由受到懷疑的信息，但並未透露。「如果政府說我們有證據表明你越界了，那意味著你再也無法做生意了。」

至於尤金·卡巴斯基，他在竭力為公司辯護，駁斥了公司與俄羅斯政府偷偷摸摸合作的說法。彭博社上的一篇文章列出了這位CEO涉嫌與克林姆林政府部門有關聯的幾個證據，卡巴斯基為此寫道：「我們與任何政府沒有關係；外界稱我們從事不當活動或行為，實際情況顯然不是這樣。」本周，他宣布發布免費的卡巴斯基反病毒工具，此舉表明了其堅定立場。

不過，並非只有美國人擔心總部位於莫斯科的這家反病毒廠商。連一些俄羅斯人也擔心。取證分析技術提供商Elcomsoft的首席執行官弗拉基米爾?卡塔洛夫（Vladimir Katalov）表示，反病毒軟體過於深入到PC的內部，對裡面的文件擁有太大的控制權。

卡塔洛夫補充道：「所以首先，它可以全面訪問我擁有的一切數據。其次，驅動程序中的任何漏洞意味著我的PC對其他任何人都是敞開的。」當然，許多反病毒產品也是如此。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！