3 zarzuty niemieckich służb ds. bezpieczeństwa wobec antywirusów Kaspersky

17 marca, 2022

Niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) „ostrzega przed używaniem produktów antywirusowych firmy Kaspersky” i zaleca „zastąpienie aplikacji z portfolio oprogramowania antywirusowego firmy Kaspersky alternatywnymi produktami” – czytamy w oficjalnym oświadczeniu. Informacja przekazana do mediów, zdaniem specjalistów ds. bezpieczeństwa, nie jest podparta faktami, a polityczną oceną sytuacji. Oświadczenie chyba najlepiej wpisuje się w terminologię analizy ryzyka i tego się trzymajmy, bo z punktu widzenia niemieckich służb oprogramowanie Kaspersky nie powinno być używane w instytucjach rządowych na terenie kraju.

BSI pisze o  Kaspersky
"poziom zagrożenia jest wysoki"

Zarzut 1: Szyfrowane i bezpieczne połączenie z serwerami Kaspersky

BSI: Oprogramowanie antywirusowe i powiązane usługi chmurowe działaj w czasie rzeczywistym, w tym posiadają rozbudowane uprawnienia systemowe. Ze względu na system (przynajmniej w zakresie aktualizacji) oprogramowanie musi utrzymywać stałe, szyfrowane i nieweryfikowalne połączenie (podkreślenie redakcyjne) z serwerami producenta.

Komentarz: Oprogramowanie Kaspersky nie różni się niczym pod tym względem od innych produktów bezpieczeństwa dla Windows, macOS, Linux, czy Android. Szyfrowane połączenie – nieweryfikowalne, jak zaznacza BSI, jest konieczne z uwagi na możliwość ataku sieciowego, skutkującego tym, że antywirus pobiera z serwera hakera fałszywe aktualizacje.

Eksperci wieszali psy na oprogramowaniu Malwarebytes za taki błąd. Przypomnijmy ten incydent, bo jest on ważny w kontekście zarzutów niemieckich służb. W roku 2016 światowej sławy badacz bezpieczeństwa, white-hat hacker o nazwisku Tavis Ormandy, pracujący dla Google Project Zero, odkrył, że Malwarebytes pobiera aktualizacje za pośrednictwem nieszyfrowanego protokołu HTTP, podatnego na ataki man-in-the-middle. W konsekwencji atakujący mógłby sprawić, że antywirus w systemie ofiary pobierze aktualizacje z innego serwera HTTP i uruchomi złośliwy kod z najwyższymi uprawnieniami.

Kaspersky Endpoint Security Cloud
Podglądowe zdjęcie - Kaspersky Endpoint Security Cloud.

Zarzut 2: Wysokie uprawnienia systemowe

BSI: Oprogramowanie Kaspersky posiada rozbudowane uprawnienia systemowe.

Komentarz: Jest to niezbędne, by przeprowadzać głębokie skanowanie i nowoczesną analizę zainstalowanych aplikacji oraz sterowników dla urządzeń i peryferii, które mogą być pobrane przez użytkownika z fałszywej strony. A nawet z prawdziwej strony dewelopera aplikacji, bo hakerzy obierają sobie za cele legalne firmy, dokonując włamania na ich serwery i podrzucają zmodyfikowane instalatory. W konsekwencji nawet świadomy zagrożeń użytkownik, jeżeli nie będzie posiadał oprogramowania antywirusowego, mógłby zainstalować sobie backdoora z uprawnieniami systemowymi. Wysokie uprawnienia są niezbędne do działania niektórych programów i sterowników.

Kaspersky nie odbiega od innych produktów bezpieczeństwa w zakresie wysokich uprawnień systemowych.

Celowo wspominamy jeszcze o TDT (Threat Detection Technology), technologii Intela w biznesowych laptopach popularnych producentów, gdyż tam na jeszcze niższym poziomie niż system operacyjny, bo w procesorze, zastosowano ochronę przed ransomware i ochronę przed koparkami kryptowalut. Intelowska technologia TDT (Threat Detection Technology) wykorzystuje niskopoziomowe dane telemetryczne z procesora i przekazuje je do systemu operacyjnego, gdzie zainstalowany produkt bezpieczeństwa może posiłkować się informacjami o anomaliach, aby lepiej wykrywać zagrożenia. Tę technologię wspierają popularne produkty bezpieczeństwa dla biznesu np. Microsoft, Eset, CrowdStrike, a także oprogramowanie typu HIDS, SIEM, EDR.

Zastosowanie zabezpieczeń na coraz niższym poziomie nie jest niczym nowym ani złym. Kluczowa jest zatem analiza ryzyka.

Zarzut 3: Zaufanie do producenta

BSI: Mając na uwadze powyższe zarzuty, zaufanie do niezawodności oprogramowania ma kluczowe znaczenie dla bezpiecznego użytkowania systemów. W przypadku wątpliwości co do wiarygodności producenta oprogramowanie antywirusowe stanowi szczególne zagrożenie dla chronionej infrastruktury IT.

Ze względu na wojnę, działania sił wojskowych i wywiadowczych Rosji oraz groźby wobec UE, NATO i Republiki Federalnej Niemiec wiążą się ze znacznym ryzykiem powodzenia ataku informatycznego.

Rosyjski producent IT może sam przeprowadzać ofensywne operacje, zostać zmuszony do atakowania docelowych systemów wbrew swojej woli, być szpiegowanym bez jego wiedzy jako ofiara cyberoperacji lub być niewłaściwie wykorzystywanym jako narzędzie do ataków na własnych klientów.

Takie operacje mogą mieć wpływ na wszystkich użytkowników oprogramowania antywirusowego. Szczególnie zagrożone są firmy i władze oraz operatorzy infrastruktury krytycznej.

Odpowiedź firmy Kaspersky

Pełna odpowiedź polskiego biura prasowego Kaspersky znajduje się pod tym linkiem, lecz warto napisać jeszcze o trzech aspektach:

1. Kaspersky dostarcza bardzo szczegółowych, rzetelnych i na światowym poziomie analiz technicznych. Zdobywa liczne nagrody za najlepsze udokumentowane badania. Współpracuje z firmami i mediami na całym świecie, dlatego może szybko ostrzegać o nowych kampaniach.

2. W odpowiedzi na zarzuty polityków w 2018 roku Kaspersky przeniósł infrastrukturę przetwarzania danych do Szwajcarii. Od tego czasu szkodliwe i podejrzane pliki przekazywane dobrowolnie przez użytkowników firmy Kaspersky z Europy, Stanów Zjednoczonych, Kanady i kilku krajów z obszaru Azji i Pacyfiku, są przetwarzane w dwóch centrach danych w Zurychu.

3. Dodatkowo uruchomione zostały przez Kaspersky tzw. Centra Transparentności (dostępne także online), gdzie klienci końcowi, rządy i inne zainteresowane organizacje mogą:

  • przeglądać dokumentację wewnętrzną firmy, łącznie z danymi dot. analizy zagrożeń oraz procesami testowania aplikacji,
  • przeglądać kod źródłowy najważniejszych produktów firmy Kaspersky, łączne z Kaspersky Internet Security (KIS), Kaspersky Endpoint Security (KES) oraz Kaspersky Security Center (KSC),
  • przeglądać wszystkie wersje kompilacji oraz uaktualnień antywirusowych baz danych, a także wszystkie rodzaje informacji wysyłanych przez produkty firmy Kaspersky do chmury Kaspersky Security Network (KSN),
  • samodzielnie kompilować kod źródłowy, by przekonać się, czy efekt jest zgodny z produktami udostępnianymi klientom,
  • przeglądać wyniki niezależnego audytu wewnętrznych procesów firmy, przeprowadzonego przez globalną organizację audytorską.

Stanowisko szefa Jewgienija Kasperskiego

Pełna wypowiedź znajduje się na blogu firmy Kaspersky pod tym linkiem. Zacytujemy tylko kilka ważniejszych fragmentów:

W ciągu ostatnich trzech tygodni wojna w Ukrainie zniszczyła świat, który znaliśmy. W jej efekcie ucierpiały rodziny, relacje, partnerstwa i więzi na całym świecie. Lawina tych tragicznych wydarzeń dotyka nas wszystkich.

Dotknęła również moje przedsiębiorstwo — największą na świecie prywatną firmę zajmującą się cyberbezpieczeństwem, która nosi moje nazwisko. W tym tygodniu niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) wydał ostrzeżenie dotyczące korzystania z produktów i rozwiązań firmy Kaspersky, powołując się na potencjalne zagrożenia dla bezpieczeństwa IT.

Nie wdając się w szczegóły, mogę stwierdzić, że są to spekulacje — tezy te nie są poparte żadnymi obiektywnymi dowodami ani szczegółami technicznymi. Powód jest prosty. W ciągu 25-letniej historii firmy nigdy nie przedstawiono żadnych dowodów, które potwierdzałyby zasadność niezliczonych oskarżeń, jakoby była ona wykorzystywana do szkodliwych celów lub jej działalność była w jakikolwiek sposób nadużywana.

[…]

Pomimo nieustannych propozycji ze strony firmy Kaspersky do przeprowadzenia szczegółowego audytu naszego kodu źródłowego, aktualizacji, architektury i procesów w naszych centrach transparentności w Europie, BSI nigdy tego nie zrobiło. […]

Analiza ryzyka oprogramowania, usług i sprzętu

Oprogramowanie Kaspersky już wcześniej było banowane m.in. przez Donalda Trumpa, Komisję Europejską oraz szefa polskiego, byłego już ministerstwa MSWiA. Od co najmniej dekady, pomimo politycznego embargo, nikt nie przedstawił dowodów szpiegowania i backdoorów w oprogramowaniu Kaspersky. Nawet zapowiadany po wybuchu wojny wyciek kodu okazał się banialukiem.

Firmy oraz organizacje powinny rozważyć za i przeciw używania produktów danego producenta w swojej infrastrukturze informatycznej. W odniesieniu do programów antywirusowych samo BSI oświadcza, że tymczasowe wyłączenie ochrony bez przygotowania się, naraża organizację na ataki z Internetu. Dlatego przejście na inny produkt ochronny musi być starannie zorganizowane, ponieważ wiąże się to z tymczasową utratą bezpieczeństwa, jak i dodatkowe funkcjonalności, jakie zapewniają firmom produkty antywirusowe.

Nie pozostaje nic innego jak zachęcić do przeprowadzania indywidualnej oceny. W razie pytań dotyczących ochrony, możemy w Fundacji AVLab dla Cyberbezpieczeństwa służyć rozmową online, konsultacjami. Bezpieczeństwo jest fundamentem, ale jest też nieustannie ewoluującym procesem, ktory wymaga zmian i adaptacji do nowych cyberwojen.

Czy ten artykuł był pomocny?

Oceniono: 18 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]