Burza rozpętała się pod koniec ubiegłego tygodnia, kiedy to Reuters opublikował artykuł pt. Exclusive: Russian antivirus firm faked malware to harm rivals - Ex-employees. Wynika z niego, że  Kaspersky Lab powołał do życia zespół analityków, który w oparciu o inżynierię wsteczną (ang. reverse engineering) starał się zrozumieć, jak działają rozwiązania konkurencyjnych firm. Kolejnym krokiem miało być tworzenie fałszywych sygnatur złośliwego oprogramowania i podrzucanie ich innym producentom antywirusów, co mogło prowadzić np. do automatycznego kasowania potrzebnych plików na komputerach użytkowników końcowych. Wszystko to w ramach rzekomej zemsty na konkurencji za bezrefleksyjne czerpanie z dorobku firmy.

Ile w tym prawdy? Z oficjalnego stanowiska Kaspersky Lab, które dotarło na adres redakcji, wynika, że niewiele. Z całym komunikatem można zapoznać się poniżej:

W przeciwieństwie do oskarżeń opublikowanych w artykule Reutersa, Kaspersky Lab nigdy nie przeprowadzał żadnej tajnej kampanii mającej na celu oszukanie rozwiązań swoich konkurentów, by generowały fałszywe alarmy, co miałoby zaszkodzić reputacji tych firm. Tego typu działania są nieetyczne, nieszczere oraz nielegalne. Przedstawione przez anonimowych, zawiedzionych byłych pracowników oskarżenia, z których wynika, że firma Kaspersky Lab – lub jej dyrektor generalny – była zaangażowana w takie działania, są pozbawione wartości i fałszywe. Jako członek społeczności bezpieczeństwa IT, dzielimy się naszymi badaniami z innymi producentami, a także otrzymujemy i analizujemy informacje o zagrożeniach od innych. Mimo że konkurencja na rynku bezpieczeństwa IT jest duża, taka zaufana wymiana danych jest jednym z kluczowych elementów dla całego ekosystemu IT i dokładamy wszelkich starań, by zapewnić niezakłócony przebieg informacji między nami a konkurencją.

W 2010 r. Kaspersky Lab przeprowadził jednorazowy eksperyment polegający na umieszczeniu 20 próbek nieszkodliwych programów w multiskanerze VirusTotal, co nie powinno wywoływać żadnych fałszywych alarmów, ponieważ pliki te były całkowicie czyste i nieszkodliwe. Po zakończeniu eksperymentu Kaspersky Lab opublikował oficjalną informację na ten temat i udostępnił wszystkie wykorzystane próbki, by każdy mógł je samodzielnie przetestować. Eksperyment miał na celu zwrócenie uwagi społeczności bezpieczeństwa IT na problem niewystarczającej jakości wykrywania zagrożeń przez multiskanery, a dokładniej na fakt uznawania plików za szkodliwe tylko dlatego, że niektórzy producenci oznaczyli je w ten sposób, bez dodatkowych badań zachowania poszczególnych obiektów. Więcej informacji na ten temat znajduje się na stronie securelist.com.

Po zakończeniu eksperymentu Kaspersky Lab zainicjował dyskusję w branży bezpieczeństwa IT, z której wynikało, że wszyscy uczestnicy są zgodni co do postawionych tez. Więcej informacji na ten temat znajduje się na stronie securelist.com.

W 2012 r. Kaspersky Lab znalazł się w gronie firm dotkniętych umieszczeniem spreparowanych plików przez nieznane źródło w serwisie VirusTotal. Incydent ten wywołał szereg fałszywych alarmów. W celu rozwiązania problemu na konferencji Virus Bulletin w Berlinie w październiku 2013 r. odbyło się prywatne spotkanie między czołowymi producentami rozwiązań bezpieczeństwa IT. Strony wymieniły informacje o incydentach, zastanowiły się nad motywami kierującymi takimi działaniami i opracowały plan działania. W dalszym ciągu nie udało się ustalić, kto stał za wspomnianymi szkodliwymi działaniami.

Warto też zajrzeć na bloga prowadzonego przez Jewgienija Kasperskiego, prezesa i dyrektora generalnego firmy - zob. The abracadabra of anonymous sources.

O komentarz w tej sprawie poprosiłam polskich ekspertów od bezpieczeństwa. Jako pierwszy odpowiedział Piotr Konieczny, szef zespołu bezpieczeństwa niebezpiecznik.pl, firmy zajmującej się włamywaniem do sieci innych firm (i za ich zgodą) w celu namierzenia błędów w zabezpieczeniach.

Żaden z antywirusów nie jest w stanie zagwarantować pełnej ochrony przed złośliwym oprogramowaniem, a tzw. "false positives" to znany problem każdego producenta oprogramowania antywirusowego. Na Niebezpieczniku udokumentowaliśmy wpadki Avasta, Aviry, Sophosa, Symanteca czy McAfee'ego, ale także Kaspersky wielokrotnie miał problemy z oznaczaniem niegroźnych plików jako złośliwych (por. False positive Kaspersky’ego oraz Autofail Kasperskiego czy Wrażliwy Kaspersky i szatan w ikonie). Jeśli więc prawdą jest, że to Kaspersky "podkładał świnie" konkurencji, to najwyraźniej zła karma wraca... Mam nadzieję, że anonimowe źródła Routersa, po burzy, jaką wywołał artykuł, ujawnią więcej dowodów i niebawem będziemy w stanie poznać więcej szczegółów tej sprawy. Jedno jest pewne - pracownicy Kasperky'ego (choć nie tylko oni) na pewno mają wiedzę techniczną, aby wykonać takie działania, jakie się im zarzuca.

Nieco inne zdanie na ten temat ma Adam z serwisu Zaufana Trzecia Strona (warto zresztą zapoznać się z całym jego artykułem na ten temat).

Nie da się ukryć, że w ciągu kilku ostatnich lat wiele firm antywirusowych padło ofiarami zorganizowanych ataków mających na celu sprowokowanie stworzenia błędnych sygnatur na podstawie podrzuconych spreparowanych plików. Ataki te, idące w tysiące indywidualnie tworzonych modyfikacji, wymagały ogromnej wiedzy i zasobów po stronie atakujących i nigdy nie udało się ustalić ich sprawców. Agencja Reutersa winą obarcza Kaspersky'ego, jednak nie przedstawia na to absolutnie żadnych dowodów poza wypowiedziami anonimowych byłych pracowników firmy. Bez jakichkolwiek śladów, stanowiących chociażby poszlaki odpowiedzialności Kaspersky'ego, zarzuty te wydają się być wyssane z palca. Po artykułach z marca tego roku, wskazujących na współpracę Kaspersky'ego z rosyjskimi służbami specjalnymi, trudno oprzeć się wrażeniu, że publikacje te mogą być częścią kampanii nastawionej na dyskredytację rosyjskiej firmy.

W obecnej sytuacji nie widzę powodów, dla których nie mielibyśmy wierzyć wyjaśnieniom firmy Kaspersky Lab, na pewno jednak będę śledzić rozwój sytuacji. Jeśli pojawią się nowe dowody w tej sprawie, poinformuję o nich w kolejnym tekście. A jakie jest Wasze zdanie na ten temat?