3min

De geheime inlichtingendiensten NSA en het Britse GCHQ hebben in het verleden hun pijlen gericht op Kaspersky Antivirus. De software van het Russische bedrijf is via reverse engineering helemaal uitgeplozen om kwetsbaarheden en informatie te achterhalen zodat de spionagesoftware van de geheime diensten onzichtbaar zou blijven. Dat blijkt uit documenten van Edward Snowden die in handen zijn van The Intercept.

Van de documenten die in handen zijn van The Intercept blijkt onder andere dat GCHQ zich bezig hield met reverse engineering, iets wat wettelijk verboden is in het Verenigd Koninkijk, maar waarvoor de Britse geheime dienst ontheffing aan vroeg. Om precies te zijn verlenging van de ontheffing uit 2008.

De software van Kaspersky werd door de geheime diensten gezien als obstakel om hun werkzaamheden uit te voeren. Ze waren bang dat Kaspersky de spionagesoftware van de geheime diensten zou ontdekken. Niet geheel ondenkbaar gezien Kaspersky de afgelopen jaren veel grote ontdekkingen heeft gedaan en criminele activiteiten heeft blootgelegd. Uit de informatie blijkt niet in hoeverre de GCHQ is geslaagd in het het reverse engineeren en hoeveel informatie daarmee is buitgemaakt door de geheime diensten.

Ook de Amerikaanse NSA zou zich hebben gericht op de antivirussoftware van Kaspersky. Zo zou de geheime dienst hebben ontdekt dat de communicatie tussen de gebruiker en de servers van Kaspersky niet geheel anoniem is en dat bepaalde informatie is terug te herleiden naar de gebruiker. Uit testen van The Intercept blijkt dat Kaspersky soms hardware-informatie onversleuteld naar zijn servers stuurt. In hoeverre dat te herleiden is naar een gebruiker blijft moeilijk vast te stellen. Heel verstandig is het in elk geval niet om dat onversleuteld te doen. Kaspersky zelf laat weten dat het onmogelijk is de informatie terug te herleiden naar de gebruikers.

Verder richtte de NSA zich op de interne communicatie tussen de beveiligingsbedrijven. Iets wat veel mensen niet weten is dat er van echte concurrentie niet sprake is in de beveiligingswereld. Op een bepaald niveau wordt alle data met elkaar gedeeld om zo snel mogelijk patches voor malware te kunnen ontwikkelen en uitrollen. Uiteraard wordt er op verkoopgebied wel gewoon met elkaar geconcurreerd, maar op de achtergrond wordt dus ook zeer intensief samengewerkt. De e-mails die de beveiligingsbedrijven aan elkaar verstuurden en de informatie die werd uitgewisseld is voor geheime diensten erg interessant, omdat hier zogenaamde zero-day lekken tussen zitten. Lekken die nog niet eerder zijn aangetroffen en waarvoor nog patches moeten worden ontwikkeld. Het ontwikkelen van een patch kan zomaar 6 maanden duren, wat de geheime diensten de mogelijkheid biedt om systemen te infecteren en zichzelf toegang te verschaffen.

Wat voor informatie er is bemachtigd is onduidelijk, wel zullen de beveiligingsbedrijven naar aanleiding van deze berichtgeving ongetwijfeld gaan kijken hoe ze deze informatie beter kunnen beveiligen. Opmerkelijk is ook dat verschillende andere antivirusbedrijven worden genoemd als mogelijk doelwit, maar dat het Amerikaanse McAfee en Symantec en het Britse Sophos ontbreken op die lijst. Zijn die antivirusbedrijven niet interessant genoeg omdat ze niet in aanmerking komen om overheidssystemen van bijvoorbeeld China of Rusland te beschermen of omdat de overheden al toegang hebben tot alle informatie van die bedrijven?

Kaspersky heeft in elk geval laten weten niet verbaasd zijn, maar het bedrijf vind het wel zorgwekkend dat de geheime diensten nu ook beveiligingsbedrijven gaan aanvallen. Het is geen goede zaak als beveiligingsbedrijven gehinderd worden in hun werk, daar is de gebruiker de dupe van. Kaspersky maakte op 10 juni bekend dat het bedrijfsnetwerk was gehackt en dat er een variant van het Duqu-virus was aangetroffen. Er zouden drie zero-days en een gestolen beveiligingscertificaat van Foxconn zijn gebruikt om binnen te dringen. Kaspersky stelt de situatie nu onder controle te hebben.