TECHin

Kaspersky Lab: Έλεγχοι εν όψει προς αποκατάσταση της αξιοπιστίας της


Η Kaspersky Lab επιδιώκει να κερδίσει την χαμένη εμπιστοσύνη μετά από τις καταγγελίες σχετικά με κατασκοπεία.

Η μοσχοβίτικη εταιρεία κατηγορήθηκε για συνεργασία με τη ρωσική κυβέρνηση σε ζητήματα κατασκοπείας πελατών της. Για να αποδείξουν την αθωότητα της, οι ιθύνοντες καλούν τους ειδικούς σε ελέγχους, ώστε να αποδειχθεί το αντίθετο.

Η Kaspersky Lab έχει υποσχεθεί να συνεργαστεί με ανεξάρτητες εταιρείες για τη διεξαγωγή ελέγχων στον κώδικα του προϊόντος, μελλοντικά, σε μια προσπάθεια να αποκατασταθεί το κύρος της, λόγω της υποτιθέμενης εμπλοκής στην κλοπή δεδομένων της κυβέρνησης των ΗΠΑ. 

Σύμφωνα με ανακοίνωση, που εξέδωσε η εταιρία, πριν λίγες ήμερες, υπόσχεται ότι μέχρι το πρώτο τρίμηνο του 2018, μια "διεθνώς αναγνωρισμένη αρχή" θα διενεργήσει ανεξάρτητες αναθεωρήσεις κώδικα και θα επαληθεύσει την ακεραιότητα της.

Ο ανεξάρτητος ελεγκτής δεν έχει κατονομαστεί ακόμα, με την Kaspersky να αναφέρει στο πρακτορείο Reuters ότι η επιλεγμένη εταιρεία έχει ισχυρά διαπιστευτήρια στον τομέα της ασφάλειας λογισμικού και δοκιμών για προϊόντα ασφάλειας στον κυβερνοχώρο. 

Τον περασμένο μήνα, το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ, διέταξε όλες τις ομοσπονδιακές υπηρεσίες να σταματήσουν να χρησιμοποιούν τα προϊόντα της Kaspersky, μέσα στις επόμενες 90 ημέρες, λόγω ύποπτων σχέσεων με τη ρωσική κυβέρνηση.

Το υπουργείο ανακοίνωσε ότι τα εν λόγω προϊόντα αντιπροσώπευαν "κινδύνους ασφάλειας πληροφοριών" εξαιτίας ρωσικών νόμων που θα μπορούσαν να χρησιμοποιηθούν για να στηρίξουν την cybersecurity για λόγους κυβερνοκατασκοπείας και ως εκ τούτου θα μπορούσαν να "διακυβεύσουν τα ομοσπονδιακά συστήματα πληροφόρησης και πληροφοριών που εμπλέκουν άμεσα την αμερικανική εθνική ασφάλεια". 

Η διακυβέρνηση Τραμπ έχει επίσης διακόψει οποιαδήποτε πιθανή συναλλαγή με την Kaspersky, καθώς η εταιρία πωλούσε εξοπλισμό και υπηρεσίες στην αμερικανική κυβέρνηση.

Το λογισμικό Kaspersky κατηγορήθηκε ρητά για την κλοπή ευαίσθητων εγγράφων που ανήκαν στον αμερικανικό Οργανισμό Εθνικής Ασφάλειας. Σύμφωνα με την έκθεση, τα αρχεία εντοπίστηκαν μέσω του λογισμικού προστασίας από ιούς της Kaspersky. Η Kaspersky αρνείται αυτούς τους ισχυρισμούς, χαρακτηρίζοντας τους ψευδείς και βασιζομένους σε ανακρίβειες.

Η εταιρεία που κατοικοεδρεύει στη Μόσχα δήλωσε ότι υπάρχουν σχέδια για τη δημιουργία τριών «κέντρων διαφάνειας» παγκοσμίως και πιο συγκεκριμένα στην Ασία, την Ευρώπη και τις Ηνωμένες Πολιτείες τα επόμενα τρία χρόνια. Τα κέντρα αυτά θα συγκεντρώσουν τα σχέδια για την αναθεώρηση του κώδικα και των εσωτερικών διαδικασιών, καθώς και να τροποποιήσουν τους κανόνες κωδικοποίησης και ανίχνευσης απειλών, όπως είναι απαραίτητο. Το πρώτο κέντρο θα τεθεί σε λειτουργία το 2018 και τα άλλα αναμένεται να ολοκληρωθούν έως το 2020. Παράλληλα, οι ιθύνοντες της δήλωσαν πως η εταιρία θα συνεργαστεί με τους εμπλεκόμενους φορείς και την κοινότητα για την ασφάλεια των πληροφοριών στο μέλλον για να ενισχύσει περαιτέρω τα σχέδια για την αύξηση της διαφάνειας και την ενίσχυση της αξιοπιστίας.

Το Kaspersky θα προσφέρει επίσης έως και 100.000 δολάρια ως επιβράβευση για τους ερευνητές που θα βρουν και θα αναφέρουν ευπάθειες στα προϊόντα της εταιρείας μέσω του προγράμματος συντονισμένης αποκάλυψης ευπάθειας, μέχρι τα τέλη του 2017.

"Πρέπει να αποκαταστήσουμε την εμπιστοσύνη στις σχέσεις μας με εταιρείες, κυβερνήσεις και πολίτες", δήλωσε ο διευθύνων σύμβουλος Eugene Kaspersky. "Γι 'αυτό πήραμε αυτή την πρωτοβουλία διαφάνειας και θέλουμε να δείξουμε πως είμαστε απόλυτα ανοιχτοί και διαφανείς".

Εντούτοις, αυτά τα μετρά μπορεί να μην είναι αρκετά. Ο Amit Serper, ο οποίος είναι επικεφαλής της έρευνας ασφαλείας στο Cybereason της Βοστόνης, έγραψε στο Twitter πως η πρόσβαση στον κώδικα μπορεί να κάνει ελάχιστα, επειδή αυτό δεν μπορεί να είναι το πραγματικό ζήτημα.

"Η αναθεώρηση κώδικα είναι άνευ σημασίας", τουίταρε ο Serper. "Όλα όσα χρειάζονται οι μυστικές υπηρεσίες της Ρωσίας, είναι μια πρόσβαση στο δίκτυο ασφαλείας Kaspersky (KSN) και τα δεδομένα του Kaspersky, τα οποία είναι ένας θησαυρός δεδομένων". Το KSN, είναι ένα εθελοντικό δίκτυο που λειτουργεί στο cloud, για τη συλλογή δεδομένων σχετικά με απειλές. Το σύστημα μπορεί να συλλέγει τα αθροίσματα ελέγχου των επεξεργασμένων αρχείων, τις πληροφορίες URL, πληροφορίες σχετικά με τον υπολογιστή και το λογισμικό ενός χρήστη και πολλά άλλα.

"Ακόμη και η ανοιχτή ερευνά ολόκληρου του προϊόντος δεν θα αποκαλύψει ούτε και θα βοηθήσει", ανέφερε χαρακτηριστικα ο Serper.