Efter massive tillidsproblemer: schweizere skal kigge Kaspersky efter i sømmene

Illustration: eric1513/Bigstock
Der skal nye boller på suppen, hvis tilliden til antivirusselskaber skal genetableres, lyder det i kor fra branchen.

Kaspersky åbner nu en helt ny afdeling i Schweiz med ét enkelt formål; at scanne selskabets konstant foranderlige kildekode for bagdøre.

»Der er simpelthen opstået et behov for at afmystificere, hvad vores industri laver og vi ønsker at gå i front, blive transparente og tillade kritiske øjne at se helt ind bag gardinerne,« siger Leif Jensen, der er Kasperskys nordiske direktør, til Version2.

Læs også: Medie: Israel fandt russiske hackere i Kasperskys infrastruktur

Mistilliden rammer ikke kun Kaspersky, og derfor forventer Kasperskys øverste kommunikationschef, Anton Shingarev, at andre selskaber må tage de samme skidt for at cementere deres troværdighed.

»Vi er overbevist om, at vi her kommer til at sætte en ny standard, hvad angår transparens for hele branchen,« lyder det selvsikkert fra Anton Shingarev i en paneldebat om transparens, faciliteret af Kaspersky som Version2 har fået eksklusiv adgang til.

Risikerer at miste EU

Udmeldingen falder sammen med en opsigtsvækkende afstemning i EU. For i skrivende stund er unionen i gang med at stemme om, hvorvidt Kaspersky skal forbydes på alle officielle EU-systemer.

Og det er blot det seneste eksempel på en lang stribe af mistillids-sager mod det russisk baserede antivirusselskab. Det er ellers ikke længe siden mistilliden til branchen, og især Kaspersky, kulminerede i et totalforbud af Kaspersky-produkter i de fleste offentlige sammenhænge i USA.

Forbudet gælder stadig den dag i dag, for man tror ikke på, at russisk baserede antivirus-selskaber kan holde Putin og hans efterretningstjenester ude af koden, lyder det.

Læs også: Kaspersky Lab klager over amerikansk forbud i domstol

Dermed mistede Kaspersky ikke bare en lang række store kunder, men fik også en ridse i troværdigheden, der kunne mærkes, og som gav genlyd ikke bare blandt selskabets andre kunder, men også i hele branchen.

Og nu risikerer de at miste endnu en stor kunde: EU-Parlamentet.

Mistilliden har ulmet i mange år, lyder det fra sikkerhedseksperten fra G-Data, Eddy Willems, der er en af de øvrige paneldeltagere. For hvem tjekker egentlig de systemer, der tjekker for malware hos forbrugerne?

»Folk er pludselig blevet mere skeptiske over for os og hvorfor skulle de ikke det? Vi er som branche skeptiske over for alle, så der er ingen grund til at forbrugerne, både kunder og virksomheder, ikke skal have lov til at være skeptiske over for os,« siger Eddy Willems.

Bagdørs-scanner

Anton Shingarev fra Kaspersky forklarer, at Kaspersky agter at bygge et helt nyt, topsikret kompleks med videoovervågning, uden adgang til internettet og med et betydeligt sikkerhedsniveau.

Læs også: Kaspersky Lab klager over amerikansk forbud i domstol

Her skal en mindre gruppe schweizere, godt hjulpet af algoritmer, konstant gennemgå Kasperskys kode for bagdøre.

Idéen er ikke ny eller original som sådan. Faktisk er der tale om en almindelig praksis i andre dele af softwarebranchen, og erfaringen viser, at det er en sikker måde at få objektive øjne på kode uden at løbe en betydelig sikkerhedsrisiko, fortæller Anton Shingarev.

»Vi er ikke bange for, at vores produkt tager skade af at blive kigget igennem. En lang række andre virksomheder, herunder Microsoft, har eksterne gennemlæsere og har haft det længe.«

Læs også: Kaspersky vil nu lade uvildige parter gennemgå antivirus-software

Når man ikke blot går den nuværende kode igennem en gang og derefter blot tjekker opdateringerne skyldes det, at måden Kasperskys software er bygget op på, hele tiden ændrer sig for meget. Derfor er der nødt til hele tiden at køre en validering, et scan, forklarer Anton Shingarev.

Standarder

Han fortæller også, at den schweiziske kodescanner kun er første skridt i en større plan, der skal genrejse tilliden til selskabets produkter og gøre det nemmere at stole på branchen.

Men det er næppe nok i sig selv, mener Eddy Willems fra G-Data.

»Vi som organisationer kommer til at gøre meget mere for at bevise os selv og vores metoder. Og jeg er overbevist om, at en eller anden form for standard eller certificering ville hjælpe os rigtig meget med det.«

Han fortæller, at der allerede er nogle standarder for antivirus-selskaber, men at de mest koncentrerer sig om, hvor gode de er til at detektere, slette og fryse trusler. Den kigger ikke på troværdighed, metoder eller etik.

Læs også: Tysk center for cybersikkerhed udtaler sig om Kaspersky - dansk tavshed: »De gemmer sig«

Og uanset hvad, bliver det ikke nemt at lave en standard der, eksempelvis, indeholder krav til tests af kildekoden i antivirus-softwaren.

»Det er i forvejen svært at teste software. Vil man eksempelvis reverse-engineere et helt antivirusprogram, kommer det til at kræve ekstremt mange ressourcer,« siger Eddy Willems.

Alligevel ser han minimumskrav, i form af standarder, til branchen som en af flere løsninger, der kan genskabe tilliden til antivirusbranchen.

Det er endnu ikke offentliggjort, hvilken ‘ekstern leverandør’, som Kaspersky selv formulerer det, der skal stå for løsningen, der forventes at være driftsklar i løbet af den sidste halvdel af 2019.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henning Wangerin

Gør skidtet open source

Eller skift dit usikre OS ud med et (mere) sikkert OS så du kan slippe for bøvlet med at skulle afskærme det fra omverdenen.

Hvis jeg finder ud af at løsen i min hoveddør er defekt, kan jeg vælge at reparere den i stedet for at sætte et hegn med en ny dør rundt om mit hus.

Jeg foretrækker generelt den første mulighed.

/Henning

Hans Nielsen

Da de selv siger at udviklingen går så hurtigt at gammel software ikke har værdi. Så tror jeg heller ikke at det at gøre det OpenSource kan koste dem penge. Alternativer er måske ingen penge...

Da software skal opdateres hele tiden, så er der også nogle som er villige til at betale for denne opdatering. De kunder som ikke er villige til at betale i denne model. Vil sikkert opvejes af tilgang af nye kunder, som foretrækker et sådan produkt.

Man kan også vælge et produkt hvor antivirus ikke er nødvendigt.

Pilu Kasper Bech

Nu er det de færrest der gennem læser alt kildekode på programmer de installer... Et condom er rigtigt godt når du har ubeskyttet sex i det oftenlige rum (AKA downloader software og filer fra 3. parter der installeres/køres på dit OS).

Selvfølge hvis du kun køre dit OS og et eller flere andre program som du kan være sikker på ikke er noget problem - og OS ellers er sikkeret. Men nu er det ikke sådan de fleste bruger deres computer...

Til den brug de fleste har af deres computer er Anti-Virus i dag et MUST!

Ellers skal du til at lave et handikappet OS som ikke kan køre de programmer og filer folk vil bruge...

Lars Petersen

Når jeg installere mit favorit russiske programmel for datamaskiner Nginx, så er det for det meste en binær pakke, hvor jeg selvsagt ikke har gennemlæst kildekoden. Kan jeg have tillid til det?

Jeg prøver egentlig blot at sige, at alene fokusere på at software der kommer fra Putin-land er en trussel, måske ikke er det væsentligste. Bare fordi software kommer fra USA, skal man ikke bare tro at det er mere sikkert. Mest af alt virker denne sag lidt som en teknisk handelshindring.

Men ellers er jeg enig med de fleste: Skift OS.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder