Hoe Kaspersky op NSA-geheimen stootte

De Amerikaanse refering stond altijd al wat argwanend tegenover antivirusbedrijf Kaspersky Lab vanwege zijn Russische oorsprong, maar de relatie tussen beiden is momenteel op een absoluut dieptepunt beland.

Offensief

In september vroeg de Amerikaanse regering aan alle overheidsorganisaties om te stoppen met het gebruik van Kaspersky-software wegens een mogelijk spionagerisico. Eerder deze maand kwam daar nog een tweede, meer beschadigend nieuwsfeit bij: de onthulling dat de antivirusfirma effectief een NSA-medewerker zou hebben gehackt en daarbij software stal.

Kasperksy Lab houdt zijn onschuld staande. Het lanceerde eerder deze week een groot transparantie-offensief en kondigde aan dat het inzage zou geven in zijn broncode. “We hebben niets te verbergen,” stelde CEO Eugene Kaspersky. Nu doet het bedrijf ook een boekje open over de vermeende NSA-hacking. Kaspersky Lab geeft toe dat het software van het National Security Agency in handen kreeg, maar dat het een vergissing betrof.

Equation Group

Kaspersky stelt in een rapport dat het op de code stootte in 2014. De consumentenversie van zijn antivirusprogramma duidde een zip-bestand op een Amerikaanse computer aan als mogelijke malware. Het programma verwijderde het bestand, maar stuurde wel een kopie naar Kaspersky ter analyse. Een onderzoeker nam de software onder de loep en ontdekte dat het bestand de broncode bevatte van een gesofisticeerde hacking-tool. Kaspersky zou deze exploit later toeschrijven aan een hackerscollectief dat het de “Equation group” doopte en de NSA zou blijken te zijn.

Terug naar het zip-bestand: de analist bracht zijn ontdekkingen naar Eugene Kaspersky. Die zou vervolgens opdracht hebben gegeven om de kopie van de software te vernietigen, aldus het bedrijf. Het stelt dat het de informatie niet met derden heeft gedeeld. “We vernietigden het archief omdat we de broncode niet nodig hebben om onze beveiligingstechnologieën te verbeteren, en vanwege zorgen over het behandelen van geclassificeerd materiaal,” stelt Kaspersky-woordvoerster Sarah Kitsos. Het bedrijf onderstreept ook dat het nooit zijn software heeft gebruikt om te scannen op bestanden op basis van sleutelwoorden als ‘top secret’ of ‘classified’.

Vertrouwenscrisis

Kaspersky uitleg klinkt plausibel, maar het blijft natuurlijk moeilijk om uit te maken of het ook de correcte versie van de feiten is. De NSA wilde geen commentaar leveren op het verhaal, de Russische regering ontkent alle betrokkenheid. De collega-antivirusbedrijven houden zich eveneens gedeisd over de hele affaire. Het is maar de vraag of er überhaupt een manier is voor Kasperksy om het vertrouwen te herstellen. Het bedrijf kan nog zoveel details geven over werkwijze en voorvallen, een definitieve bevestiging van zijn onschuld blijft buiten bereik.

Bovendien belicht het hele verhaal nog een ander zorgwekkend aspect. Om effectief te zijn heeft een antivirusprogramma verregaande toegang nodig tot je computer en je bestanden. Dat de software er een bestand uitlicht en terugstuurt naar het hoofdkwartier ter inspectie is normaal. Zoals The Verge terecht opmerkt, is alleen al het feit dat een antivirusprogramma zoiets kan reden genoeg om wantrouwig te zijn. En wanneer het vertrouwen wankelt, kan je beter het zekere voor het onzekere nemen. Zoals de Amerikaanse regering dus heeft gedaan.