Хакер #305. Многошаговые SQL-инъекции
В результате утечки в публичный доступ попали исходные коды продуктов
"Лаборатории Касперского". И компания, и ознакомившиеся с архивом эксперты,
утверждают, что в нем содержится "фрагмент устаревшей версии антивирусного
ядра", ранее уже имевший хождение на закрытых хакерских ресурсах.
На бесплатном файловом хостинге Mlfat4arab выложены исходные коды продукта
"Лаборатории Касперского" - Kaspersky Internet Security.
Rar-архив размером 182 МБ 26 января 2011 г. загрузил на хостинг неизвестный
пользователь, и к моменту написания этого материала файл был скачан 2071 раз.
Архив содержит коллекцию файлов с кодом, написанным на C++ в инструменте Visual
C, и сборочных файлов.
Судя по названиям папок в архиве, в нем содержится исходный код движка KLAVA,
работы над которым в "Лаборатории Касперского" вошли в заключительную фазу в
2008 г. На KLAVA основаны все последующие поколения продуктов компании, начиная
с линейки 2009 г., вышедшей на рынок осенью 2008 г.
Эксперты российского дистрибутора ESET (производителя антивируса NOD32),
получили возможность изучить утекший архив, рассказал CNews Александр Чачава,
президент Leta Group, которой принадлежит дистрибутор. По его словам,
специалисты компании пришли к выводу, что архив содержит части кода ядра в
версиях 2006 г. и 2007 г. Чачава полагает, что "вряд ли при их изучении
конкуренты и злоумышленники смогут узнать какие-то ноу-хау, поскольку эвристика
у "Касперского" с тех пор изменилась".
Выложенные на хостинг файлы в полноценный продукт собрать нельзя, подчеркнул
он. Однако они содержат слепки сигнатур нескольких вирусов, по которым
злоумышленникам и конкурентам можно понять принципы работы "Антивируса
Касперского".
По мнению Чачавы, основной ущерб, нанесенный "Лаборатории Касперского" этим
инцидентом будет репутационным, поскольку, несмотря на невысокое качество
утечки, этот случай все равно можно назвать беспрецедентным для компании,
которая занимается безопасностью. Ядро антивируса — это краеугольный камень
бизнеса любой секьюрити-компании, "и его исходники она старается защитить
сильнее, чем свою финансовую документацию".
Комментируя источник утечки, Александр Чачава вспомнил о некоем недовольном
разработчике "Лаборатории Касперского", который, уйдя из компании, выложил
исходники на нескольких закрытых ресурсах. Вероятно, сейчас этот архив всплыл на
общедоступном файл-сервере.
Член совета директоров и руководитель направления конкурентной разведки
"Диалог Наука" Андрей Масалович рассказал CNews, что, прежде чем появиться в
публичном доступе, утекший код предлагался к продаже на "черном рынке", причем
первые предложения относились к апрелю 2009 г.
Он говорит, что в Сети легко найти документы любого антивирусного
разработчика под грифом "конфиденциально", но это не дает оснований бить
тревогу: компаний, которые совершенно не допускают подобных утечек, исчезающе
мало. Однако, публикация ядра антивируса может составить серьезную проблему для
безопасности интернета, поскольку после включения в защитные программы
эвристических алгоритмов, кибер-преступники и кибер-разведчики начали настоящую
охоту за их описанием.
Масалович напомнил, что крупнейшей в истории утечкой исходников стала
несанкционированная публикация кодов ОС Windows NT4 и Windows 2000, которую
Microsoft признала в феврале 2004 г.
В "Лаборатории Касперского" признают утечку кода, содержащую "фрагмент
устаревшей версии антивирусного ядра, которое после этого было серьезно
доработано и обновлено". В компании-разработчике нынешнюю утечку связывают с
инцидентом, имевшим место в начале 2008 г.
Пресс-служба "Лаборатории" сообщила CNews, что "бывший сотрудник компании, в
свое время имевший правомерный доступ к исходному коду продуктов 2008 г.,
разместил в интернете объявление о его продаже". После обращения компании в
правоохранительные органы виновник утечки был задержан и приговорен к 3 годам
лишения свободы условно с испытательным сроком 3 года по статье 183 Уголовного
кодекса РФ.
По данным "Лаборатории Касперского", в ноябре 2010 г. тот же исходный код был
опубликован на нескольких закрытых форумах.
"Лаборатория Касперского" заверяет, что инцидент не представляет угрозы
безопасности пользователей продуктов, решений и услуг компании, поясняя, что
украденный код относится к устаревшей продуктовой линейке. По сообщению
компании, в ее современные продукты входит "крайне малая часть" опубликованного
кода, которая не относится к защитным функциям. Кроме того, "Лаборатория
Касперского" предупредила, что исходный код ее продуктов защищен авторским
правом, и "размещение в интернете, скачивание, распространение или использование
кода без согласия компании являются незаконными".