Vorige week was het groot nieuws dat documenten van de NSA waren ontvreemd door Russische spionnen via software van het eveneens Russische beveiligingsbedrijf Kaspersky. De Washington Post meldde als eerste dat deze software het doelwit was van aanvallers en de New York Times meldt dat het om een medewerker ging van de hackafdeling Tailored Access Operations (TAO) van de NSA.

De New York Times is ook de eerste die de link tussen Kaspersky en de Russische hack belicht, wat vervolgens door diverse publicaties is herhaald. De relatie 'Russische overheid - Kaspersky' is nergens daadwerkelijk hardgemaakt, maar begint wel aan te komen in de volksgeest, getuige dit soort voorbeelden:

A friend found this. Wow. — Gadi Evron (@gadievron)8 October 2017

Koude IT-oorlog

Het is volstrekt onduidelijk of het hier gaat om een man-in-the-middle-aanval of het misbruik van een fout in de software zelf - laat staan dat Kaspersky bewust toegang verleende voor de Russische hackers.

Dat laatste is iets wat Amerikaanse functionarissen wel beweren - waar we overigens geen schrijntje bewijs van hebben gezien - en het nieuws van vorige week is koren op de molen van de partijen die er al voor hebben gezorgd dat producten van Kaspersky worden geweerd bij overheidsdiensten. Eugene Kaspersky heeft ook aangegeven zelf graag meer te horen over de potentiële exploit:

Seriously: we're very concerned about possible breach of our products. If anon sources from WSJ article want to investigate let's do it ASAP — Eugene Kaspersky (@e_kaspersky)6 October 2017

Het doet allemaal erg denken aan de ophef een paar jaar geleden over de apparatuur van netwerkleverancier Huawei die door verschillende landen werd geboycot uit vrees voor Chinese spionage. Huawei benoemde vaker - tegelijkertijd ontkennend dat er backdoors bestonden in de apparatuur - de hypocrisie die heerst, omdat producten vrijwel allemaal uit landen komen die er nare spionagepraktijken op nahouden.

Politiek en IT-middelen

Nou ging het toen nog om 'gewone' hardware, maar nu dezelfde paniek ontstaat bij beveiligingsproducten, beginnen we een serieus probleem te ontwikkelen. Want als we zélfs de producten die als doel hebben onverlaten uit onze systemen te houden niet meer kunnen vertrouwen, waar houdt het dan op?

Dat is een punt dat Eugene Kaspersky opvoert: we moeten er harder aan werken dat IT-producten neutraal gebied zijn in een geopolitieke strijd. Wat er nu gebeurt met Kaspersky schept een vervelend precedent. Vandaag wordt Kaspersky teruggedrongen naar Rusland, morgen Cisco naar de VS en TomTom naar Nederland.

Wat was de ingang?

Daarom zou het fijn zijn als het inderdaad zo is dat Kaspersky Labs hulp biedt aan overheden - wat het bedrijf overigens veelvuldig en expliciet ontkent - we daar iets meer over zouden horen. Ging het in dit geval om een ingebouwde backdoor, een exploit in de code of een heel andere aanvalsmethode, waardoor het eigenlijk niet eens zo relevant meer is om welke software het precies ging? Zonder de feiten kunnen we alleen maar voorzichtig concluderen dat we te maken hebben met een geniepige FUD-campagne.

Dat is fnuikend voor de security van onze systemen. We proberen belangrijke beslissingen over onze tools te nemen op basis van feiten, maar dat wordt heel lastig te verkopen als C-level in de pers dit soort artikelen leest. Als IT de beslissing zou nemen om dit AV-product krijg je al snel de vraag: "Was dat niet die software waar de Russen bij kunnen?" Winkelketen Best Buy haalde de software zelfs uit zijn winkels vanwege alle verhalen hierover.

Tests versus FUD

De software van Kaspersky kwam vorige maand nog als beste koop qua antimalwareproduct uit de bus in de test van het Duitse AV-test, hoewel het in de regel elke maand weer stuivertje wisselen is in de top 10. Elk halfjaar heb je min of meer dezelfde toplijst van beste producten, maar dan in een iets andere volgorde. Wat zou relevanter zijn voor de mensen die daadwerkelijk de portemonnee trekken voor software - tests en gebruikerservaringen, of het imago in de media?