Cựu hacker NSA hô biến phần mềm diệt virus Kaspersky thành công cụ gián điệp

Bằng cách đánh sập phần mềm diệt virus Kaspersky Lab và biến nó thành một công cụ tìm kiếm lợi hại với những tài liệu mật, Patrick Wardle, Giám đốc nghiên cứu của Digita Secutiry và là cựu hacker của NSA đã chứng minh được rằng, đôi khi một phần mềm bảo mật vẫn có thể bị lợi dụng và trở thành một công cụ gián điệp hữu hiệu.

Đôi khi một phần mềm bảo mật vẫn có thể bị lợi dụng và trở thành một công cụ gián điệp hữu hiệu

Patrick Wardle cho biết, các sản phẩm diệt virus có nhiều đặc tính chung với các mã độc gián điệp mà nó đang tìm kiếm. Do vậy, ông mốn thử xem liệu cơ chế này có thể bị lợi dụng để thực hiện các vụ tấn công ngược hay không. Ví dụ như nếu một nhà sản xuất phần mềm diệt virut muốn, hoặc bị bắt ép, bị hack hoặc vì một lý do nào đó thì họ liệu có thể tạo ra một ký hiệu để đánh dấu và tìm kiếm các tài liệu tuyệt mật không?

Tổ̉ng thống Mỹ Donald Trump đã ký dự luật cấm sử dụng các sản phẩm và dịch vụ của Kaspersky Lab trong toàn bộ các cơ quan liên bang vào hồi tháng 12 năm ngoáI.

Một bản báo cáo tuyệt mật của cựu nhân viên NSA Edward J. Snowden bị tung lên mạng cho thấy, NSA đã nhắm tới phần mềm diệt virus (như Checkpoint và Avast) để thu thập những thông tin nhạy cảm lưu trữ trong các cỗ máy mục tiêu từ năm 2008.

 Patrick Wardle, Giám đốc nghiên cứu của Digita Secutiry và là cựu hacker của NSAPatrick Wardle, Giám đốc nghiên cứu của Digita Secutiry và là cựu hacker của NSA.

Để khai thác khả năng lợi dụng phần mềm diệt virus Kaspersky Lab trong các mục đích tình báo, Wardle đã thực hiện một quy trình đảo ngược trên phần mềm này. Ông mong muốn có thể tạo ra một ký hiệu chèn vào Kaspersky Lab để tìm kiếm và phát hiện tài liệu mật.

Mã nguồn của Kaspersky Antivirus cực kỳ phức tạp nhưng các chữ ký định nghĩa malware của Kaspersky lại rất dễ để cập nhật. Wardle đã nhận ra rằng, tính năng này có thể bị lợi dụng để tự động quét máy tính nạn nhân và thực hiện các hoạt động gián điệp, đánh cắp các tài liệu tuyệt mật.

Nhận thấy các quan chức thường đánh dấu các tài liệu tuyệt mật với ký hiệu "TS/SCI" (Top Secret/Sensitive Compartmented Information), chuyên gia này đã thêm một quy luật quét vào trình antivirus của Kaspersky để đánh dấu bất kỳ tài liệu nào có ký hiệu "TS/SCI".

Một trình antivirus có thể bị biến thành một công cụ tìm kiếm cực kỳ mạnh mẽ

Để kiểm tra thử quy luật quét mới này, Wardle đã thêm ký hiệu TS/SCI vào đầu một văn bản có nội dung về chú gấu Winnie the Pooh và lưu trong máy tính của mình. Ngay sau khi văn bản được lưu trên ổ cứng, trình antivirus của Kaspersky đã lập tức đánh dấu, cách ly nó và gửi dữ liệu này về công ty để phân tích sâu hơn.

Kaspersky Lab cho rằng nghiên cứu của Wardle là không đúng bởi mọi chữ ký đều luôn được mở cho mọi người dùng chứ không thể phân phối một chữ ký cụ thể hoặc cập nhật chữ ký cho một người dùng duy nhất một cách bí mật. Ngoài ra, các bản cập nhật đều được ký điện tử nên không thể làm giả được.

Nhưng dù sao nghiên cứu của Wardle cũng cho chúng ta thấy được một trình antivirus có thể bị biến thành một công cụ tìm kiếm cực kỳ mạnh mẽ.

Thứ Tư, 10/01/2018 08:19
41 👨 1.480
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng