Kaspersky i inne oprogramowanie z Rosji: jak mu dziś ufać?
Świat odwraca się od Rosji w ramach odpowiedzi na rozpoczęcie wojny w Ukrainie. Ze sklepów znikają rosyjskie produkty, handel zamiera, giełda zawiesza działalność. Rosyjskie oprogramowanie wciąż jednak działa. Czy można go bezpiecznie używać?
Polityka, w tym taka prowadzona z użyciem czołgów, nie jest dziedziną możliwą do analizowania w izolacji. Wbrew preferencjom niektórych, by "nie mieszać tematu z polityką", trudno o kwestię, która jest całkowicie odporna na wpływ polityki. Zdecydowanie kwestią taką nie jest oprogramowanie komputerowe i jest to stan właściwy tej dziedzinie w zasadzie od początku - wystarczy przypomnieć sobie sylwetkę pana Von Neumanna.
Oprogramowanie zawsze będzie związane z polityką i nie trzeba tu żadnych "teorii spiskowych", czy innych dyskredytujących epitetów, by o tym mówić. Na formę, jakość, metodykę rozwoju i dostępność oprogramowania wpływają państwowe regulacje prawne. Łatwo o przykłady, w ogłuszającej liczbie.
Politycznie mimo woli
Niemiecki rząd zmierza na przykład do tego, by każdy program tworzony na potrzeby administracji publicznej miał otwarte źródła. Pandemia koronawirusa i brak łatwych do utrzymania, otwartych rozwiązań sprawiły, że polskie szkolnictwo dwa lata temu przemigrowało na Microsoft Teams. To efekt decyzji politycznych, nie technicznych, a na pewno już nie rezultat jakichś bezwładnych "okoliczności", zachodzących samorzutnie i bez niczyjego wpływu.
To samo tyczy się oprogramowania rozwijanego w Rosji. W szczególności chodzi tu o oprogramowanie komunikacyjne. Kraj ten dysponuje ciałem nadzorczym, zarządzającym łącznością internetową, zwanym Роскомнадзор. Jest on połączeniem kompetencji odpowiadającym polskim urzędom takim, jak Urząd Komunikacji Elektronicznej, Rada Mediów Narodowych i dawny Główny Urząd Kontroli Prasy, Publikacji i Widowisk.
Niewątpliwie efektem tego stanu rzeczy jest rola komunikatora ICQ w Rosji. Teoretycznie jest otwartym oprogramowaniem (kod leży na GitHubie), ale tego, co dzieje się w infrastrukturze usługi, nie wiemy. Władze rosyjskie zachęcają do używania ICQ zamiast szyfrowanego i bezpieczniejszego Telegrama, opozycyjna Новая газета pisze, że rosyjskie służby mogą czytać wiadomości wysyłane przez ICQ. Komunikator ten należy do VK, rosyjskiej firmy rozwijającej także VKontakte oraz usługę Mail.ru.
Rosyjskiego oprogramowania jest więcej. Słusznie zwraca na to uwagę Ivan Kwiatkowski, jeden z badaczy w Kaspersky Lab, na swoim blogu. Pisze tam także o tym, jak bardzo samobójczą byłaby próba wykorzystania ich produktu do ataku.
Jak zatem sprawa ma się z rosyjskim oprogramowaniem antywirusowym? Jest to software wymagający sporej dozy zaufania, ze względu na stosowanie skanera, przeglądającego wszystkie pliki, niemal w czasie rzeczywistym! Wszak jego ojczyzna ma apetyt na szpiegowanie, kontroluje rozwijane u siebie programy, tamtejsze "prywatne firmy" przestają być tak naprawdę "prywatne" gdy stają się odpowiednio duże, a kraj toczy właśnie wojnę…
Antywirus może wszystko
To ciekawe pytanie. Łatwo odpowiedzieć na nie w sposób złośliwy i stwierdzić, że opis z akapitu powyżej pasuje zarówno do Rosji, jak i do Stanów Zjednoczonych. Byłoby to jednak zgrywanie durnia i uchylanie się od oceny, na ile rosyjski antywirus jest niebezpieczny dla użytkowników na Zachodzie (w tym u nas). Zwłaszcza, gdy Rosja prowadzi wojnę zaraz obok nas i ma w tej wojnie interesy radykalnie odmienne od naszych.
Aby oszacować ryzyko, konieczne jest stworzenie modelu zagrożenia: jednoznaczne zdefiniowanie co nam zagraża i co chcemy poddawać ochronie. Bez tego będziemy zdani na odpowiedzi chaotyczne, jak "Kaspersky łączy się z rosyjskimi adresami IP!". A po pierwsze nic z tego nie wynika, a po drugie - to niekoniecznie prawda. Antywirus Kaspersky'ego łączy się z infrastrukturą zlokalizowaną w Szwajcarii. Z IP w Moskwie istotnie łączy się jednak instalator produktu oraz sam silnik. Adres ten należy do dedykowanego rosyjskiego ISP, o nazwie "Kaspersky Lab AO". Szwajcarskich adresów nie stwierdzono. Jest Londyn, Sztokholm... nawet Arkansas.
Jeżeli boimy się, że Rosjanie będą podglądać nasze pliki, to należy mieć na uwadze fakt, że jest to zagrożenie ze strony dosłownie każdego antywirusa, z definicji. Technicznie tak samo możliwe jest szukanie antyrosyjskiej propagandy przez Kaspersky'ego, jak i wyciekłych dokumentów NATO przez Defendera. Zupełnie inną kwestią jest to, jakie jest prawdopodobieństwo któregokolwiek i każdego z tych scenariuszy (nie są równe, bez wątpienia). Ale jeżeli nie chcemy, by ktokolwiek miał dostęp do naszych plików, sens ma jedynie zrezygnowanie ze wszystkich antywirusów.
Podobnie sprawa ma się z potencjalnie nadmiernym wysyłaniem skanowanych plików "do analizy" lub permanentna inwigilacja w postaci przechwytywania audio/wideo (choć to prędko wyszłoby na jaw z racji objętości). Technicznie takimi możliwościami dysponuje każda infrastruktura antywirusowa. Pozostaje pytanie, na ile opłacalnym jest z niej korzystać i czy ktokolwiek ma do tego motywację.
A botnet?
Mniej nieukierunkowaną wątpliwością jest obawa o to, czy komputer nie zostanie zaciągnięty do botnetu na potrzeby rosyjskich działań wojennych. Ponieważ oprogramowanie to nie jest otwarte, a aktualizacje otrzymuje kilka razy dziennie, nie możemy mieć pewności, że nie jest do tego zdolny.
Wykorzystanie komputerów z Kasperskym jako botnetu to potencjalnie jednorazowa sztuczka: raz wykryty "spali" całe przedsięwzięcie, nieodwracalnie rujnując całą firmę. Botnet musiałby być więc niezwykle wyrafinowany technicznie, by uniknąć wykrycia. Na ile jest to wykonalne technicznie? Trudno powiedzieć. Na pewno nie jest niemożliwe.
Mogą też zajść okoliczności, w których zrujnowana reputacja po prostu nie ma znaczenia. W takiej sytuacji program może zostać uzbrojony w botnet, ransomware, a nawet gorsze niszczycielskie oprogramowanie uszkadzające dane. Gdy sięga się po takie narzędzia, nie dba się o dobrą opinię.
To akt wojny
Tylko, że wykorzystanie infrastruktury informatycznej na terenie innego kraju do przeprowadzenia takiej operacji trudno interpretować inaczej niż akt wojny. Choć Rosja nie miała skrupułów, by wypowiedzieć wojnę Ukrainie, może mieć opory przed wywołaniem wojny z całym światem. Musiałyby to być więc działania ściśle ukierunkowane, a zarazem na tyle wyrafinowane, by uniknąć wykrycia. To bardzo droga impreza. Droga, ale wykonalna.
Krótko mówiąc, możliwości techniczne i potencjalne szkody są nieskończone. Pozostaje pytanie, na ile prawdopodobne jest skorzystanie z owych możliwości. Dotychczas było to niejasne. W przykład, w 2017 roku amerykańska prasa, powtarzając to samo źródło i ten sam donośny głos, pisała o tym, że oprogramowanie Kaspersky'ego zostało wykorzystane do kradzieży sekretów NSA.
To bardzo poważny zarzut. W zestawieniu z hałaśliwymi deklaracjami o "niezaprzeczalnych związkach Kasperskiego z Kremlem" stał się podstawą do usunięcia produktów firmy z amerykańskich urzędów. Tymczasem historia ta była o wiele bardziej kosmiczna: o narzędziach NSA u Kaspersky'ego Stany Zjednoczone dowiedziały się od… izraelskich hakerów, którzy włamali się do moskiewskiego biura firmy!
Kto szpieguje szpiegów?
Fakt, że producent antywirusa pracuje nad szpiegowskimi narzędziami wywiadowczymi powinien być raczej powodem do chwały, a nie krytyki. Być może więc Amerykanie przestrzegli Rosjan, by ci nie byli zbyt dokładni w wyszukiwaniu narzędzi ich wywiadu, bo wtedy te przestaną być skuteczne (lub odnajdą się w zaskakujących miejscach)? Kto wie?
O wiele mniej nobliwa była historia, w której sprzedawcy Kaspersky'ego próbowali sprzedać swojego antywirusa amerykańskim instytucjom federalnym, reklamując go jako potencjalne narzędzie podsłuchowe…
To także bardzo poważny zarzut. Tylko, że obie te historie dzielą dwa lata (!) Kaspersky jest zatem graczem w rozgrywkach politycznych, to nie ulega wątpliwości. Trochę trudniej jest określić, kto tu kogo rozgrywa.
Wiele instytucji rządowych postanowiło nie odpowiadać na to pytanie i po prostu usunąć wątpliwości. W Holandii wydano zakaz stosowania oprogramowania Kaspersky'ego. W Polsce już od pięciu lat obowiązuje rekomendacja zaprzestania użycia produktów firmy. Bo choć nie ma dowodów na szkodliwe działanie, w przypadku innych produktów jakoś nie trzeba się nad tym tak mocno zastanawiać.
Cui Bono?
Taka powinna być zatem konkluzja rozważań dotyczących modelu zagrożenia. Wszystkie antywirusy posiadają pełne możliwości permanentnej inwigilacji i przeprowadzania szkodliwych działań. Kaspersky był o to podejrzewany wielokrotnie i choć nie dostarczono na to żadnych jednoznacznych dowodów, wiele osób i instytucji woli nie podejmować ryzyka.
Produkt nie jest jednak wycofany ze sprzedaży. Jest dopuszczony do obrotu, umie i robi to samo, co wcześniej. Sklepy z aplikacjami mobilnymi, jak Apple App Store, także nie usuwają aplikacji Kaspersky'ego. Na sprzedaż takiego oprogramowania nie są nałożone sankcje.
W prawdziwym życiu rzadko mamy do czynienia z kreskówkowymi zbirami, złymi "po prostu", całkowicie i bez powodu. Trwa wojna, ale nie jest ona wojną totalną. Wykorzystanie infrastruktury antywirusowej do przeprowadzenia ataku lub do działalności zaczepnej byłoby płomienną eskalacją o nieprzewidzianych konsekwencjach, obniżającą szanse moskiewskiego reżimu na osiągnięcie swoich celów militarnych.
Na pewno sytuacji nie zmieni żadne oświadczenie firmy Kaspersky - jej centrali, prezesa, regionalnych spółek ani sprzedawców. W analizie ryzyka nie bierze się pod uwagę tego, czy pan trzymający kij jest dżentelmenem, co obiecuje i ile są warte jego obietnice. Liczy się to, że ma kij. W przypadku Kaspersky'ego nie mamy póki co dowodu na to, żeby pan owym kijem wymachiwał. Zarówno dziś, jak i w przeszłości.
Ale tu nawet nie chodzi o zaufanie, prawdopodobieństwo, wizerunek. A o ochronę. Gdy musimy się zastanawiać nad bezpieczeństwem rozwiązania, któremu z definicji musimy ufać bezgranicznie - czy coś nie jest tutaj nie w porządku? Czy jest sens używać czegoś wątpliwego, tylko dlatego, że "nie znaleziono dowodów"? Nie znaleziono, bo pewnych rzeczy przecież nie da się sprawdzić. A jak uczył towarzysz Dzierżyński, największy z czekistów: "ufaj, ale sprawdzaj".
Pozostaje jeszcze jedna kwestia: Kaspersky nie jest projektem hobbystycznym, a produktem. Warto zastanowić się, kogo wspieramy używając go (w wersji darmowej "płacimy" swoimi danymi i telemetrią). Pan Eugene Kaspersky być może nie uchodzi za przyjaciela Władimira Putina, ale w swoich wypowiedziach trwającą wojnę nazywa "bieżącą sytuacją". Zresztą, każdy ma swoją cenę, zwłaszcza ktoś, kto ma dzieci (a syna Kasperskiego już raz porwano).
Oby nie przyszło nam przeżyć najczarniejszego z możliwych w tej historii scenariuszy.