NSA in GCHQ organizirano ciljata na proizvajalce protivirusnih programov
Matej Huš
23. jun 2015 ob 18:38:27
Ameriška NSA in britanska GCHQ se v okviru prisluškovalnih programov načrtno in s posebno pozornostjo lotevata proizvajalcev protivirusne programske opreme, razkriva The Intercept na podlagi najnovejših Snowdnovih dokumentov. Obveščevalne službe se ukvarjajo tako z vzvratnim inženiringom komercialne protivirusne opreme kakor tudi s prestrezanjem komunikacije s proizvajalci in aktivnim vdiranjem vanje.
Še posebej so pozorni na rusko podjetje Kaspersky Lab, ki je odigralo ključno vlogo pri odkrivanju Stuxneta, Flama in nekaterih drugih vladnih trojancev ter enote Equation Group. Februarsko razkritje slednje je bilo največje odkritje Kaspersky Laba, saj so pokazali, da so vladni hekerji več kot desetletje uspešno vohunili s programi, skritimi v servisnem področju diskov. Ta mesec je Kaspersky lab odkril, da so bili tudi oni sami žrtve zelo organiziranega napada.
NSA in GCHQ se protivirusnih programov lotevata zato, ker so idealni vektor vstop v sisteme. Po eni strani jih je treba dobro poznati in biti sposoben obiti, da lahko sistem sploh okužijo. Po drugi strani pa so protivirusni programi bolj luknjičasti od na primer brskalnikov, saj je za slednje splošno znano, da jih poizkuša premagati vsak heker. Dodatni problem je dejstvo, da protivirusni programi često tečejo z višjimi privilegiji kakor druga programska oprema, zato lahko napadalcu nudijo direkten dostop do sistema.
GCHQ se je že leta 2008 pridušala, da ji Kaspersky Lab predstavlja težavo pri razvoju vohunskih programskih orodij. Zaradi tega so redno izvajali vzvratni inženiring njihove programske opreme, za kar so morali vsake pol leta pridobiti novo vladno odredbo. The Intercept poroča, da je bila ta dvomljive pravne podlage. Ni znano, ali je GCHQ dejansko uspela izluščiti kaj pametnega iz kode.
Projekt Camberdada je bil namenjen prisluškovanju komunikaciji med uporabniki in proizvajalci protivirusnih programov ter med zaposlenimi v slednjih. NSA je prestrezala sporočila o ranljivostih, ki so jih odkritelji pošiljali proizvajalcem protivirusnih programov, da je lahko tudi sama izkoristila te luknje. Zakrpali jih namreč nikoli niso isti hip, ko so bili o njej obveščeni, temveč šele čez čas. V vmesnem obdobju pa so jih lahko obveščevalne službe po mili volji izkoriščale. Projekt Camberdada je imel 23 tarč, ki so predstavljale ugledne proizvajalce protivirusne programske opreme, a na seznamu sumljivo manjkata britanski Sophos in ameriški McAfee. Najdemo pa na primer izraelski Check Point, pa čeprav so ameriški zavezniki.