Obveščevalne službe rade napadajo proizvajalce protivirusnikov
Napad na Kaspersky Lab, o katerem smo poročali v začetku meseca, ni bil naključen. Najnovejši sveženj Snowdnovnih dokumentov namreč razkriva, da ameriška NSA in britanska GCHQ redno in sistematično napadata proizvajalce protivirusne programske opreme.
Če dobro pomislimo, je takšna izbira tarče zelo logična. V igri mačke z mišjo so protivirusni programi tisti prvi in v primeru običajnih uporabnikov pogosto tudi zadnji branik pred vdori. Če zlonamerna koda uspe pretentati oziroma se izmuzniti protivirusnemu programu, ima neoviran dostop do sistema. Dodaten bonus je dejstvo, da tečejo protivirusni programi pogosto v rezerviranem področju z višjimi privilegiji kakor ostali programi.
NSA in GCHQ iščeta ranljivosti v protivirusnih programih, hkrati pa prestrezata tudi interno komunikacijo v podjetju in obvestila oziroma poročila o virusih, ki jih prejemajo. Tako se namreč naučijo precej novega o obstoječih in še neznanih luknjah, ki jih proizvajalci nikoli ne morejo zakrpati takoj. V vmesnem času NSA in GCHQ na veliko izrabljata te luknje.
Obstaja program Camberdada, ki natančno opisuje seznam 23 podjetij, vrednih podrobnejše analiza in vdorov. Gre v glavnem za največje svetovne proizvajalce programske opreme za zaščito pred virusi, na njem pa sta – zanimivo – izostala ameriško podjetje McAfee in britansko podjetje Sophos. To seveda ne pomeni, da nista pod nadzorom, a očitno sta deležna drugačne obravnave kot tuja podjetja. Mogoče imata kar lasten program nadzora ali pa ju res pustijo bolj pri miru – kdo bi vedel.
Kadar ne uspejo pridobiti ustreznih informacij s prestrezanjem prometa, se lotevajo tudi vzvratnega inženiringa programske opreme. To načeloma ni legalno, a na primer GCHQ vsake pol leta pridobi novo odredbo, ki ji to dovoljuje. Vzvratni inženiring razkriva podatke o delovanju programa, kolikor jih je pač mogoče dobiti iz izvorne kode, kar je običajno precej.