卡巴斯基被证实可改装成间谍工具，美国联邦机构已叫停使用

最近一位美国国家安全局（NSA）前工作人员成功改装了卡巴斯基，把它变成了一个监测软件。纽约时报记者Nicole Perlroth在报道里写道，“长期以来被情报机构熟知却不被用户知晓的事实是，安全软件也可以成为一个强大的间谍工具”。

美国国土安全部门叫停使用卡巴斯基

卡巴斯基实验室是国际知名的专业从事反病毒研究和反病毒软件开发的公司，总部设在莫斯科，它旗下的卡巴斯基安全软件因性能优良而为人们所熟知。

过去一年，美国和俄罗斯针对俄黑客入侵美国系统、干扰美国总统大选等问题多次发生纠纷。很多媒体认为，这些黑客入侵的渠道是安全软件。这是因为安全软件通常具有极高的权限，可以浏览电脑上几乎所有文件，因此容易被犯罪分子利用。当然，这一切并不是空穴来风。

去年10月，华尔街日报扔出了一个重磅炸弹：有知情人士爆料，NSA一名临时工把高度机密资料放在了自己家的电脑上之后，为俄政府工作的黑客通过卡巴斯基的安全软件侵入他的电脑并窃取了这些资料。此后，纽约时报和华盛顿邮报又曝出，俄黑客受到了来自以色列的间谍攻击，而这些间谍在盗窃时就隐藏在卡巴斯基实验室的公司网络中。

这一系列报道把卡巴斯基推到了风口浪尖。卡巴斯基实验室随即发表声明，坚决否认知晓和参与任何政府行为，并表示愿意协助美国政府进行调查。

其实，美国国土安全部（DHS）早在去年9月就发布了约束操作指令17-01，要求联邦机构在90天内清除联邦网络中的所有卡巴斯基产品。

声明中明确提到，俄法律规定允许情报机构要求或强制卡巴斯基提供帮助，因无论俄政府是单独行动还是与卡巴斯基合作，都可能利用卡巴斯基产品侵入联邦系统。

对于卡巴斯基实验室的安全产品为俄情报机构提供“后门”的怀疑一直都存在。“棱镜门”主角Edward Snowden披露的一份最高机密文件显示，卡巴斯基不是NSA唯一怀疑的对象，以色列的Checkpoint和捷克的Avast等20多个杀毒软件开发商都赫然在列。

就在上个月，卡巴斯基实验室正式对DHS提起诉讼，指责其未能就联邦机构停止使用卡巴斯基产品一事提供充分正当的理由，而是依赖主观的、非技术性的公开信息源，比如未经核实的匿名媒体报道。“DHS已经对卡巴斯基实验室的名誉和商业运作造成了损害，而且还是在没有证据证明公司做错了的前提下”。

卡巴斯基杀毒软件可被改装用于检测机密文件

这场扑朔迷离的政府、企业之战引起了NSA前工作人员Patrick Wardle的注意。作为一个技术专家，他无意参与这场战争，他感兴趣的是，无论在主动还是被动的情况下，通过卡巴斯基读取机密文件是否真的可行？经过实验，他得出了肯定的答案。

“在与恶意代码的抗争中，杀毒软件是最主要的工具。但讽刺的是，杀毒软件与它们的目标——网络间谍工具有许多共同点”，Wardle于1月1日发表的博文指出，和病毒类似，杀毒软件具有持续运行、扫描全部文件、自我防御等特性。这一发现也为Wardle之后成功改装卡巴斯基杀毒软件埋下了伏笔。

Wardle提到，和其他杀毒软件不同的是，卡巴斯基采用“数字签名”探测恶意代码。这些签名不但可以被更新，其代码还可以被篡改，用于自动扫描和窃取机密文件。也就是说，理论上，如果创建一个新签名，卡巴斯基就能够根据签名里的关键词找出相关文件。

比如，美国政府的高度机密文件会被标记为“TS/SCI（Top Secret/Sensitive Compartmented Information）”。于是，Wardle为一本维尼熊电子书中打上了TS/SCI的标记，而卡巴斯基果然在随后的扫描中顺利识别出来了。

“这就证明了杀毒软件也可以偷偷地被用来检测机密文件”，Wardle说。有意思的是，卡巴斯基曾在官网一个相关问题下回答称，他们的反病毒签名很难被篡改。

那么，这些被检测到的文件会被如何处理？如果卡巴斯基真的被改装成间谍工具，是否意味着它检测到的机密文件都会被发送至卡巴斯基实验室？

卡巴斯基在这个问题上的用词较为模糊，只声称“可能会上传相关文件”。

由于Wardle在实验过程中关闭了网络，所以没能证实这一点。不过，Wardle笃定地认为，任何具有收集功能的杀毒软件都可以随意收集、过滤由其产品标记的文件。他认为，在不被察觉的情况下在卡巴斯基杀毒软件里植入签名完全可以达成一桩“完美的网络犯罪”。

“我的实验成功并不代表真的会有安全软件公司这么做”，Wardle强调，“我只希望能够证明，杀毒软件和完美的网络间谍工具之间，只差一个‘签名’的距离。”