卡巴斯基CEO：說我們和俄羅斯政府聯手竊取NSA機密信息，你們在拍C級片嗎？

國慶期間，華爾街日報（WSJ）發了一篇文章，這篇文章聲稱俄羅斯安全公司卡巴斯基（Kaspersky Lab）和俄羅斯政府之間存在關聯——等等，美國人不是整天這麼說么？這次華爾街日報宣稱終於有了這兩個單位間存在直接關聯的「首個證據」。而且：

「據多個有關人員所說，一名 NSA 僱員（contractor）將高度機密材料放到自己家中的計算機中。此後為俄羅斯政府工作的黑客竊取了這些材料，材料相關美國滲透國外計算機網路、防禦網路攻擊。

「而且這些人還說，這名僱員使用卡巴斯基的反病毒軟體，攻擊者正是利用這一點，以該僱員為攻擊目標。」

這份報道指出，俄羅斯政府支持的黑客早在 2015 年竊取到 NSA 的高度機密文檔，關鍵在於竊取這些文檔依靠的是卡巴斯基的幫助。有興趣的同學可以去讀一讀這份報道。但在報道發布後不久，包括 The Hacker News、Security Week 等國外媒體就相繼發表評論文章，直指華爾街日報根本沒有提供證據，而且消息源還是匿名的，這就有點尷尬了。

卡巴斯基：又是匿名消息源，驚不驚喜？

其實美國人說卡巴斯基與俄羅斯政府之間有關係已經不是一天兩天了，之前 FreeBuf 的很多文章都有過類似的報道，只不過美國方面也從未給出強有力的證據，最終事情都以卡巴斯基否認告終，這次的情形也不例外。在這份報道刊發後不久，卡巴斯基 CEO Eugene Kaspersky 當天就立即做出回應：

「作為一家私營企業，卡巴斯基和任何政府機構都沒有不正當關聯，包括俄羅斯。對此唯一的解釋就是，卡巴斯基似乎不幸卷進了地緣政治鬥爭之中。

「這份聲明很像是 C 級片劇本（the script of C movie），而且這次又是匿名消息源（驚不驚喜）。」

維基百科中對 C movie 的解釋是 B 級電影的低端貨，算是對製作質量的一種描述，這類片子湧現於上世紀 80 年代有線電視蓬勃發展之際。說起來，這個「片子」的「劇本」仍在反覆續寫。Eugene Kaspersky 還說，華爾街日報也沒有提供有關指控卡巴斯基與政府合作的任何證據。

如果我們假定華爾街日報的這種主流解釋是真的，那麼最大的可能性應該有兩種：

其一，卡巴斯基的反病毒產品原本就會將某些可疑文件（惡意程序可執行文件）上傳到伺服器供分析，伺服器當然是位於俄羅斯的，那麼卡巴斯基可能將伺服器的訪問權給了俄羅斯政府；這樣一來，華爾街日報提到攻擊者從 NSA 僱員家用電腦獲取到機密數據就解釋得通了。

其二，還有一種可能，攻擊者可能利用了卡巴斯基反病毒產品中的漏洞，以此來竊取那名 NSA 僱員電腦中藏著的機密數據。

鑒於 Edward Snowden 和 Harold Martin 這兩位著名的泄露人士「珠玉在前」，或許俄羅斯情報機構向 NSA 僱員的家用電腦下手也存在較大可能。Security Week 在評論文章中提到，以俄羅斯的實力，攻擊者或許早就已經滲透到這名 NSA 僱員的電腦中了，而卡巴斯基反病毒產品出現在電腦上可能只是個巧合罷了。

Eugene Kaspersky 本人

而針對第二點，即可能是俄羅斯政府儲備了卡巴斯基反病毒產品的 0day 漏洞，就像 CCleaner 事件那樣。卡巴斯基在聲明中則提到：

「如果我們假定報道是真的：俄羅斯黑客利用我們產品中的漏洞——用戶將產品安裝到 PC 之上，且宣稱要保護國家安全的政府知道了這件事，那為什麼他們不把漏洞上報給我們？

「我們很快就能修復最嚴重的漏洞；把漏洞上報給我們不是能讓這個世界更安全嗎？我無法想像，他們沒有這麼做是基於何種道德的標準。」

早年卡巴斯基的確有遭遇入侵的先例，比如去年春，卡巴斯基測試一款檢測 APT 威脅技術的原型產品，結果在內部系統中檢測到了入侵蹤跡。當時 Eugene Kaspersky 解釋說攻擊者可能對卡巴斯基內部技術感興趣，但實際上公司內部網路「真的沒有什麼頂級機密的東西，可能是要竊取我們的技術、源碼，以更好地進行攻擊工具開發」。

華爾街日報的報道無憑無據？

其實我們說 NSA 僱員，可能不夠準確，實際上這裡的僱員是指 NSA 的 contractor 承包人——早年著名的泄露者斯諾登就是 NSA 的 contractor。華爾街日報這次的報道並未指明是哪個 contractor 的家用電腦遭遇數據泄露，報道中只是進行事件陳述：某個未具名的 NSA 僱員從 NSA 拿到敏感數據後存儲在自己的家用電腦中，而這台電腦上還安裝了卡巴斯基的軟體。卡巴斯基反病毒軟體會掃描所有新的文件，並對未知文件進行收集，作進一步掃描。俄羅斯政府因此獲取到了 NSA 文檔。

至少就華爾街日報現在公布的信息來看，這個事件的真實性是令人懷疑的。或許美國的情報機構還有其它證據，只不過尚未公布。外媒也普遍對此事持懷疑態度。

這篇報道的確只是在指控俄羅斯黑客從 NSA 僱員計算機中獲取數據，並說：「本次入侵，是卡巴斯基軟體被俄羅斯黑客利用，針對美國政府進行間諜行動，已知的第一例。」

實際上，華爾街日報的報道還能夠引發更多的思考。比如說美國政府怎麼會讓內部人員頻繁帶走高度機密數據，斯諾登、Martin 和最近這位把自己帶到自己電腦上的內部人員。連 NSA 內部風控都做得如此之差，那還能指望商業公司在安全方面做些什麼？

外媒甚至猜測，此事是否可能與神秘黑客組織 Shadow Brokers 公開 NSA 內部 exploits 有關。因為華爾街日報評論稱，Harold Martin 先前泄露大量機密信息，但他並不是 Shadow Brokers 獲取 NSA 內部數據的源頭。那麼這次公開的事件是不是呢？因為在時間上恰好契合。

雖然此事是前幾天才曝出的，但實際上數據泄露是發生在 2015 年，NSA 獲悉此事故則要等到去年春季。Shadow Brokers 正是在這個時間點開始發聲，並對外公開、出售 NSA 的漏洞利用工具。而且華爾街日報在本次報道中也說，此次事件泄露的是「有關 NSA 滲透國外計算機網路的細節，以及用於進行竊聽的計算機代碼、在美國國內如何進行網路防禦」等。

如果這個猜測屬實，那麼 Shadow Brokers 已經公開了部分工具、出售了部分工具，這些數據對俄羅斯政府的價值也就不大了。但這些都只是推測而已。

由來已久的指控

我們先前也報道過，美國 DHS（國土安全部）已經禁止任何政府機構採用卡巴斯基的軟體。不過美國方面從來沒有給出過卡巴斯基和俄羅斯政府暗地合作的證據。DHS 在聲明中說：「俄羅斯政府無論是否和卡巴斯基合作，利用卡巴斯基產品入侵獲取聯邦信息與信息系統的風險，都直接對美國國家安全造成了影響。」主語在風險，而非證據。

所以控制風險是合理行為，包括政府不在採用卡巴斯基軟體，這都是合理的。要知道，在這個時代，民營企業，尤其是科技行業內的安全企業，已經具備了相當的震懾力，比如 FireEye 隨便發一篇 APT28 分析報告，就足以引起兩國政府的關注；卡巴斯基如果也發一篇，則已經上升到大國間網路空間角力的程度。

但在沒有證據的情況下就貿然站隊並不理智，安全產品的「地緣政治鬥爭」都來都沒有停息。

* 參考來源：TheHackerNews,歐陽洋蔥編譯，轉載請註明來自 FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: