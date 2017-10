We hadden het van de week al over de PR-nachtmerrie waar Kaspersky zich in bevindt, met Amerikaanse winkelketens als Office Depot die aanbieden om de AV van het bedrijf te deïnstalleren om te vervangen voor McAfee. Gezien nieuwe onthullingen deze week, wil ik daar graag nog één keertje op terugkomen, omdat we te maken hebben met een overkoepelend en groeiend vertrouwensprobleem in de IT-sector.

Zaak tegen Kaspersky

Omdat beveiligingssoftware hoge rechten heeft en diep op het systeem moet kunnen ingrijpen op ze te beschermen tegen onverkwikkelijke software, moet ons vertrouwen in de leverancier enorm zijn. Dat vertrouwen wordt nu stevig onderuit gehaald, met onthullingen van de New York Times over hoe de Israëlische geheime dienst servers van Kaspersky veroverde en daar reeds Russen aantrof die de back-end van de AV-leverancier gebruikten om te spioneren.

Dat was koren op de molen van de mensen die een harde campagne voeren tegen het gebruik van Kaspersky voor gevoelige doeleinden. Opvallend genoeg is deze blijkbaar ingezet nadat verkopers van Kaspersky de FBI hadden gepitcht dat de software gebruikt kon worden om terroristen op te sporen. Op dat moment viel het muntje bij de Amerikaanse diensten dat dit dus ook andersom geldt: tegenstanders kunnen de software gebruiken om Amerikanen te monitoren.

De ultieme backdoor

Een vreemde paradox in de hele paniek is de houding ten opzichte van antimalwaresoftware. Tegenstanders merken - overigens niet helemaal onterecht - op dat AV een gatekeeper is voor alles wat er op het systeem gebeurt en hoge rechten heeft om in te kunnen grijpen. Politici omschreven Kaspersky-software daarom als 'de ultieme backdoor'. Onderzoekers als Tavis Ormandy trekken om die reden al jaren ten strijde tegen zulke software.

Maar als dat de vrees is, waarom wordt dan het ene AV-pakket verruilt voor het andere? Het enige verschil is dan dat die 'ultieme backdoor' van een andere leverancier is. En dát is een probleem. Welke beveiligingssoftware willen we nog dat grote vertrouwen geven; moeten we soms kiezen tussen producten waarmee de geheime dienst wordt meegeleverd die we het minst wantrouwen (NSA, NBÚ of SVR, afhankelijk van je pakket)?

Ondermijnen security

Met andere woorden, het op deze wijze ondermijnen van een beveiligingsproduct of -dienst, ondermijnt het vertrouwen in de hele industrie - voor zover dat er nog was nadat we een paar jaar geleden hoorden dat hardware wordt onderschept door geheime diensten om onze bakken alvast van malafide firmware of zelfs chips te voorzien.

Persoonlijk ben ik er niet overtuigd van de filosofie van Ormandy en enkele IDG-collega's dat AV niet werkt is en je systeem onveiliger maakt. In theorie is dat laatste zeker waar - en we hebben tal van voorbeelden gezien van antimalwareproducten die door fouten in het ontwerp juist een aanvalsvector vormden - maar in de praktijk zie je hoe stokoude trojans nog steeds gigantische aantallen pc's wereldwijd in botnets trekken.

Malware is malware

En dit staat allemaal nog los van de vraag of de nieuwe onthullingen deel zijn van een venijnige campagne richting Kaspersky, of dat het hele verhaal inderdaad waar is. Wat niet geheel ondenkbaar is, we weten post-Snowden dat geheime diensten in de hele infrastructuur veroveren: van autonome systemen tot endpoints en alles daartussen.

Met de vraag 'Wat wist Kasperky er zelf van?' is het ook belangrijk om te weten dat het beveiligingsbedrijf al eerder schreef over een aanval op de eigen servers en dat het regelmatig onthullingen doet over door de eigen beveiligingsonderzoekers ontdekte digitale spionage, of het nou om Amerikanen, Russen of Chinezen gaat. Malware is malware.