圖片來源: 

CC_S_2.0_by_Yuri_Samoilov

資安廠商卡巴斯基(Kaspersky)是否協助俄羅斯政府從事駭客攻擊與網路間諜活動,這件事情越演越烈,不只美國大動作抵制卡巴斯基的行動,也讓大眾對防毒軟體的信任開始動搖。卡巴斯基甚至最近承諾,願意明年第一季時把產品原始碼提供給第三方獨立機構檢查。

卡巴遭利用的內建機制是Silent signature,這是資安實驗室慣用來蒐集病毒樣本的慣用手法,自動將病毒碼回傳,但不會跳出警告來通知使用者。

有多少防毒軟體也是使用同樣的手法來暗中蒐集樣本?可能成為被利用的管道?美國一家媒體集團ISMG在10中向17家防毒公司詢問,來了解各家防毒軟體是否會有同樣的風險。

ISMG對防毒軟體公司的6個提問

  1. 當從使用者PC回傳樣本檔案給你們的研究人員時,採取了哪些安全措施?
  2. 外部攻擊者可能竊聽這個通訊過程嗎?若是,你們如何預防這類攻擊?
  3. 是否曾分享檔案到VirusTotal、執法機構或調查機構,不論國內或境外?
  4. 使用者能否選擇,要不要分享惡意檔案?預設要或預設不要?
  5. 回傳的惡意檔案原始檔會匿名處理嗎?
  6. 自家行銷活動是否曾暗示卡巴斯基有疑慮?

目前已有8家防毒軟體回應了,包括2家拒絕回答者,回應重點如下:

Avira回應重點:所有回傳過程均加密,只有惡意程式可疑樣本會回傳,使用者個資會匿名儲存在資料庫中。不會把資料分享到VirusTotal,執法機關或調查機構。

Bitdefender回應重點:回傳均採TLS加密,不會和任何第三方分享,也去識別化到無法追蹤使用者。

Emsisoft回應重點:預設不會回傳原始檔案到雲端分析,只回傳Hashes特徵值,也預設匿名化。但允許使用者上傳,會記錄上傳者,以利後續回應說明。不會和執法或調查機構分享。

F-Secure回應重點:回傳會加密,去除部分識別特徵,如IP、用戶名、路徑。使用者可選擇關閉回傳分享。不會和VirusTotal分享,但會和「信任伙伴」分享沒有機密性的病毒樣本。

Panda回應重點:只回傳可執行的檔(如Word、Excel、PDF檔都不會回傳),回傳會加密。使用者可選擇關閉回傳分享。會和資安公司分享惡意程式樣本,但來自顧客的檔案不會分享與其他資安公司。

Kaspersky Lab回應重點:回傳都用強加密,廣泛地將資料匿名化,如去除來源IP,過濾帳號密碼等。但用戶可自己決定是否要揭露部分分享資訊。另外,會依各地法律要求,提供惡意程式樣本和統計資訊給執法機構。

Trend Micro:表明不回答
Webroot:表明不回答

9家還沒回應:Avast (Czech Republic)、Bullguard (United Kingdom)、ESET (Slovakia)、Malwarebytes (United States)、McAfee (United States)、Microsoft (United States)、Sophos (United Kingdom)、Symantec (United States)、VIPRE (United States)

各家防毒軟體完整回應網址
https://www.govinfosecurity.com/surveying-17-anti-virus-firms-on-their-security-practices-a-10393


Advertisement

更多 iThome相關內容