https://techcrunch.com/2017/10/23/kaspersky-fights-spying-claims-with-code-review-plan/?ncid=rss
러시아의 사이버 보안 소프트웨어 제조업체 인 카스퍼 스키 랩 (Kaspersky Labs)은 자사의 바이러스 백신 소프트웨어가 러시아 정부에 의해 해킹 또는 침투되어 미국 정보 수집을위한 루트로 사용되었다는 의심 을 물리 치고 "포괄적 인 투명성 이니셔티브" 를 발표했다.
오늘 모스크바 웹 사이트의 한 게시판 에 따르면 모스크바에 본사를두고있는이 회사는 고객 신뢰를 되찾기 위해 4 점짜리 계획을 발표했다. 2018 년 1 분기부터 독립적 인 검토를 위해 소스 코드를 제출할 것이라고 발표했다. 검토를 실시 할 것이지만 "국제적으로 인정 된 당국과 함께 착수"될 것이라고 밝혔다.
또한 내부 프로세스에 대한 독립적 인 검토 - "솔루션 및 프로세스의 무결성"검증을 목표로 발표했습니다. 또한 "고객, 정부 기관 및 관계 기관이 소스 코드를 검토하고 코드 및 위협 탐지 규칙을 업데이트 할 수 있도록"향후 3 년 내에 가정 외부에 3 개의 "투명성 센터"를 설립 할 것이라고 말했습니다.
그것은 첫 번째 센터가 가동 될 것이고 2018 년에 세 곳이 운영 될 것이고, 세 곳 모두 2020 년까지 운영 될 것이라고 말하고 있습니다. 위치는 일반적으로 아시아, 유럽 및 미국으로 표시됩니다.
마지막으로 버그 상금 (bug bounty rewards)도 증가하고 있으며 카스퍼 스키 랩의 주요 제품에서 발견 된 취약점 당 최대 $ 100K를 지불하게됩니다.
이는 올해 4 월 현재 - 발견 된 원격 코드 실행 버그에 대해 최대 $ 5,000까지 지불 할 수 있는 현재 프로그램의 실질적인 증가 입니다. (그리고 그 전에는 $ 2,000까지만.)
카스퍼 스키의 움직임은 지난 달 카스퍼 스키 당국자와 러시아 정보 기관 및 기타 정부 기관 간의 관계에 대한 우려와 러시아 정보 기관이 러시아 정보 기관에 요청하거나 강요 할 수있는 요구 사항을 언급하면서 지난달 미국 국토 안보부가 소프트웨어에 대해 발표 한 금지 조치를 따릅니다 카스 퍼 스키로부터의 지원과 러시아 네트워크를 통과하는 통신을 가로 채기 위해 "
미국 상원이 신속하게 소송을 따라 연방 정부의 사용으로 카스퍼 스키 소프트웨어를 축출 투표. 3 개월 전 일반 서비스 관리 부서 (General Services Administration) 에서 승인 된 연방 공급 업체 목록에서 카스퍼 스키 랩 을 제거했습니다 .
바이러스 백신 소프트웨어에 대한 시스템 전체의 광범위한 사용 권한은 사용자에게 요구되는 신뢰를 감안할 때 대다수를 감시하고 데이터를 수집하려는 정부 요원에게 매력적인 대상이 될 수 있습니다.
WSJ는 이전에 정부를 위해 일하는 러시아어 해커 카스퍼 스키 소프트웨어를 실행 개인용 컴퓨터에서 저장었던 NSA 직원에서 기밀 문서를 얻을 수 있다고보고했습니다.
이달 초 유진 카스퍼 스키 (Eugene Kaspersky) CEO 는 "미국 언론의 허위 진술"에 대해 반박하고 "우리의 사명은 사용자와 사용자의 데이터를 보호하는 것"이라고 블로깅했다 . 감시, 스누핑, 감시, 도청 ... 모두가 (우리가 때때로 첩보 기관에 의해 이루어집니다 간파 하고 세계에게 약을) 우리를하지. "
그러나 귀하의 비즈니스가 사용자 신뢰에 너무 튼튼하게 의존하고 크렘린 가까이에 본사를두고 부팅 할 때 단어가 분명히 충분하지 않을 수 있습니다. 따라서 카스퍼 스키는 이제 "투명성"동작의 뗏목을 발표합니다.
이러한 조치가 러시아 정부가 만든 소프트웨어로 미국 정부 기관의 신뢰를 회복하기에 충분한 지 여부는 또 다른 문제입니다.
카스퍼 스키는 아직 외부 검토자가 누구인지 밝히지 않았습니다. 그러나 회사 대변인은 "우리는 곧 선정 된 파트너를 발표 할 것입니다. 카스퍼 스키 랩은 소프트웨어 보안에 대한 강력한 자격과 사이버 보안 제품에 대한 보증 테스트를 통해 독립적 인 전문가를 찾는 데 주력합니다. 일부 권장 역량에는 기술 감사, 코드 기반 검토, 취약성 평가, 아키텍처 위험 분석, 보안 개발주기 프로세스 검토 등이 포함 되나 이에 국한되지는 않습니다. 다중 이해 관계자 접근법을 사용하여 이해 관계자의 투명성 과 의견을 환영합니다 @ kaspersky.com "
그녀는 또한 다음과 같은 일반 회사 성명서를 보냈습니다.
카스퍼 스키 랩은 문제의 상황에 관여하지 않았으며 해당 상황에 대한 지식도 갖고 있지 않으며 회사는 자사 제품과 시스템에 대한 모든 우려 사항을 해결하기 위해 미국 당국과 협력 할 의지를 반복합니다.
증거가 제시되지 않았기 때문에 카스퍼 스키 랩은 이러한 입증되지 않은 주장을 조사 할 수 없으며 회사 시스템이 악용되었을 수 있다는 징후가있는 경우 관련 당사자에게 책임감있게 검증 가능한 정보를 제공하도록 정중하게 요청합니다. 이러한 미확인 된 주장이 20 년 역사상 세계의 어떤 정부도 cyberespionage 노력으로 도왔던 적이없는 회사의 서술을 계속 이어 나가는 데는 실망합니다.
또한이 상황이 카스퍼 스키 랩 만이 아닌 정교한 사이버 공격 인 Duqu2와 관련이 있다는 확인되지 않은 주장과 관련하여 해당 사건에서 발생한 모든 감염을 확인하고 제거한 것으로 확신합니다. 또한 카스퍼 스키 랩은 공개적으로이 공격을보고했으며이 위협을 완화하기 위해 영향을 받거나 관심이있는 조직에 도움을 제공했습니다.
잘못된보고와는 달리 카스퍼 스키 랩 기술은 출처 나 목적에 관계없이 국가가 후원하는 멀웨어를 비롯한 모든 종류의 위협을 탐지하는 유일한 목적으로 설계되고 사용됩니다. 이 회사는 100 개가 넘는 고급 위협 요소와 운영을 추적하고 있으며 20 년 동안 카스퍼 스키 랩은 이러한 사이버 위협으로부터 사람과 조직을 보호하는 데 중점을 두었습니다. 본사의 위치는이 사명을 변경하지 않습니다.
"우리는 어떻게 우리가 완전히 개방적이고 투명한지를 보여주고 싶습니다. 우리는 숨길 것이 아무것도 없다 "고 덧붙였다.
흥미롭게 도이 움직임은 미국의 사이버 보안 회사 인 시만텍과는 반대 방향으로 나아가고있다. 시만텍 은 이달 초 정부가 자사 소프트웨어의 소스 코드를 검토하는 것을 허용하지 않을 것이라고 발표했다. 제작품.
주요 이미지 : 세빗 (CeBIT) 호주 / 플리커 (Flickr) 아래에있는 A CC 2.0 BY 라이센스