'Oud-medewerker Kaspersky verantwoordelijk voor lekken broncode'

De uitgelekte broncode van Kaspersky-antivirussoftware, die inmiddels op diverse p2p-sites is te vinden, is vermoedelijk afkomstig van een oud-werknemer. De dader zou momenteel een gevangenisstraf van drie jaar uitzitten.

De broncode die op het web is te vinden, dateert van december 2007 en is vermoedelijk bètacode van Kaspersky Internet Security 8.0, zo meldt Softpedia. De code is volgens de Russische softwareontwikkelaar Kaspersky gestolen door een voormalig werknemer en aangeboden op de zwarte markt.

De precieze beweegredenen van de verdachte zouden onbekend zijn, maar de man zou inmiddels een gevangenisstraf van drie jaar uitzitten wegens auteursrechtenschendingen. Na zijn celstraf zou hij nog drie jaar onder toezicht blijven staan van de Russische justitie.

Kaspersky stelt dat ondanks het uitlekken van de broncode zijn huidige beveiligingspakketten geen risico lopen, omdat het zou gaan om code die niet direct betrekking heeft op zijn huidige beveiligingsfeatures. Ook zou de firma op de hoogte zijn geweest dat de gestolen broncode sinds november vorig jaar op besloten fora werd uitgewisseld.

Ondanks dat Kaspersky het uitlekken van de broncode bagatelliseert, kan de broncode nuttige informatie bevatten voor zowel concurrenten als malwareschrijvers. Zo zou de code, die in C++ en Delphi is geschreven, onder andere de antivirus-engine en enkele andere belangrijke componenten van Kaspersky's beveiligingssoftware bevatten.

Kaspersky is de afgelopen jaren vaker belaagd. In 2009 werd de website van Kaspersky nog gekraakt door een hacker met behulp van een sql-injectie. Een jaar later verwees de website van de Russische firma enkele uren naar een nep-virusscanner, nadat hackers er opnieuw in waren geslaagd om de site te kraken.

Reacties (59)

TomPé 30 januari 2011 17:12

Jammer dat zoiets gebeurd want Kaspersky is op dit moment toch echt de beste virusscanner.

wildhagen

Antivirus
Beveiliging
Beveiliging en antivirus
Politiek en recht
Privacy

@TomPé • 30 januari 2011 17:18

Beste? Neuh, uit de laatste test van av-comparatives.org, toch dé test-site op dit gebied, komt Kaspersky toch echt uit in de middenmoot. Geen slechte scanner, maar hij zit zeker niet in de top qua detectie rates.

Ook in de performance-tests komt Kaspersky niet verder dan de middenmoot.

Maar wel terecht dat de dader is opgesloten, dit zou potentieel toch voor een hoop security-problemen kunnen zorgen, als de code wél in het eindprodukt had gezeten, voor veel consumenten. Gelukkig is dat dus niet het geval.

Saus @wildhagen • 30 januari 2011 17:49

Bij AV-comparatives moet je toch heel erg opletten hoe er getest wordt. Ze doen veel testen en in deze wordt er geen gebruik gemaakt van een internet connectie. Wat dus voor de laatste generatie cloud-scanner funest is.

Sommige scanners nemen alleen de virussen mee die de afgelopen 6 maanden 'in the wild' zijn voorgekomen om bijvoorbeeld performance te verbeteren. Een oudvirus herkennen ze wel, alleen de check op de database voert men dan online uit ipv lokaal. Daarnaast maken ze vaak ook gebruik van een schaduw-dns server om je al bij voorbaat van slechte sites weg te houden. Maar dat blijkt allemaal niet uit deze test (wat AV-comp ook aangeeft).

Kaspersky is verder een prima product en zo zijn er een hoop goede antivirus oplossingen, maar is G-Data nu de beste omdat dat hieruit blijkt? Ik ken de software niet, maar op basis van deze test kun je dat niet zeggen. Daarom mag je deze test niet zomaar als de norm laten gelden.

Belangrijk stukje uit de PDF:

This test does not include some vendor’s products who decided to do not be included in this "proac-tive/retrospective" test, e.g. because in their opinion their product's real-life capabilities are not ade-quately represented in the retrospective test due to the absence of a live Internet connection. The methodology of our "proactive/retrospective" testing indeed does not allow cloud-based products to connect to their remote knowledge bases, as this is not what we want to measure/compare in this type of test. Several other included products also have cloud-based technologies (and some don’t), but at the same time they still provide good offline generic/heuristic detections, without having to rely on / sent data to their clouds and without having many false alarms. Cloud technologies should be seen as an additional protection enhancement, but not as a replacement of basic technologies.

En over die laatste zin kun je weer discussiëren, want daar ben ik het niet mee eens (ik ben van mening dat de cloud-oplossingen basis functionaliteit gaan worden omdat er veel sneller geschakeld kan worden). Ik ben erg enthousiast over de verschillende cloud-oplossingen waarmee ik gewerkt hebt, performance en beveiligingswijs.

[Reactie gewijzigd door Saus op 27 juli 2024 11:08]

latka @Saus • 30 januari 2011 17:55

Cloud virusscanning? Alle files de cloud in kopieren en dan checken? De av-signatures downloaden en dan lokaal scannen (doen we nu al). En wat als je inet eruit ligt of je bent onderweg met een laptop en krijgt een USB stick van iemand aangeboden?? Cloud is leuk voor marketing bla bla maar heeft mijns inziens nul meerwaarde voor viruscanners.

Oh ja, cloudcomputing is ontstaan uit het gebruiken van overcapaciteit voor andere doeleinden. Op het moment dat je dedicated cloudmachines neerzet is het gewoon client-server en dat doen we als sinds 1980 op grote schaal (maar is niet erg sexy, dus noemen we dit ook cloud ;-)

Saus @latka • 30 januari 2011 18:17

Cloud virusscanning? Alle files de cloud in kopieren en dan checken? De av-signatures downloaden en dan lokaal scannen (doen we nu al). En wat als je inet eruit ligt of je bent onderweg met een laptop en krijgt een USB stick van iemand aangeboden?? Cloud is leuk voor marketing bla bla maar heeft mijns inziens nul meerwaarde voor viruscanners.

Oh ja, cloudcomputing is ontstaan uit het gebruiken van overcapaciteit voor andere doeleinden. Op het moment dat je dedicated cloudmachines neerzet is het gewoon client-server en dat doen we als sinds 1980 op grote schaal (maar is niet erg sexy, dus noemen we dit ook cloud ;-)

Hoe iedere fabrikant zijn eigen 'cloud' toepast kun je op hun site vinden, maar er worden geen files het web opgegooid omdat dat niet te doen is

. Als je internet eruit ligt is de kans op besmetting stukken minder groot natuurlijk. Zoals ik aangaf houdt iedere fabrikant (voor zover mij bekend) een patternfile lokaal beschikbaar, voor USB sticks etc. disconnects noem maar op. Hier kun je wel vanuit gaan dat ze daar over na hebben gedacht.

Waarom cloud mijn inziens een meerwaarde biedt voor antivirus? De belangrijkste reden is snelheid in de zin van 'voorkomen beter dan genezen'.

Uit eigen ervaring:
Als Pietje op een site komt, waar een nieuw virus staat of iets in die trend en hij raakt besmet (want, onbekend virus noem maar op). Dan kan de scanner terugkoppeling geven naar de cloud "die site bevat malware". Vervolgens gaat Jantje naar diezelfde site (grote massmailer eruit gedaan, wat wel vaker gebeurt bij malware campagnes). Jantje zijn scanner gooit op het moment dat Jantje naar de site gaat een dns-request eruit en zijn cloud waarschuwt hem direct dat die site malware bevatte. Ook al is er nog geen oplossing voor Pietje zijn probleem. Jantje wordt er weggehouden waardoor Jantje besmetting voorkomt.

Uiteraard heeft dit verhaal een heleboel haken en ogen zoals ik het hier vertel (false-positves etc etc), maar ik neem aan dat jullie mijn insteek snappen. Wij hebben dit op een eigen domein met eigen geschreven virussen getest. Diverse cloudscanners blockte (uiteindelijk) toegang tot die site, omdat er maar vanaf enkele pc's besmettingen werden gemeld is er geen update voor de patternfile gekomen. Terwijl de traditionele scanners nooit een reactie hebben gegeven (en terecht ook wel, uitbraken worden behandeld op basis van het aantal besmettingen die gemeld worden. Voor ons liet dit zien dat een cloud-gebaseerde scanner in de toekomst veel beter zijn werk kan gaan doen. En ook al veel eerder virussen kan stoppen door de bron af te snijden.

Daarnaast is het voor sommige systemen makkelijker om bij wijze van een bepaalde bestandscode (soort snelle hash) naar een cloud te sturen om te kijken of het bestand legitiem is (door jou genoemde overcapaciteit kan die hash direct terugkoppelen legitiem of niet), dan het zelf door te spitten.

Ik ben absoluut geen expert maar ik denk wel dat praktisch alle scanners in de toekomst een open link naar het web gaan krijgen in de naam der Cloud.
Of het cloud-hype is ofniet. Persoonlijk ben ik redelijk overtuigd.

Verwijderd @latka • 31 januari 2011 10:59

En daarbij heb ik persoonlijk uit security overwegingen, privacy overwegingen en praktische overwegingen hele grote bezwaren tegen cloud based technologies voor particulier en kleinbedrijf. Maar windows 8 gaat geloof ik alweer meer op "the cloud" leunen en dat is iets wat ik met lede ogen tegemoet zie...

Verwijderd @Saus • 31 januari 2011 10:49

Idd. Sterker nog, er wordt op hun site zelfs voor gewaarschuwd. Ik word een beetje moe af en toe van het: die is beter -geblaat. Alle scanners die in de meeste tests een score boven de 90 maar iig de 95% halen, zijn gewoon even goed. Heuristiek, firewall, sandbox, anti-rootkit, anti-malware, anti-spam, updates van definities. Meestal scoren ze op 1 of enkele onderdelen wisselend en daar komen de "grote" verschillen per test vandaan.

Wel is het zo dat er door MBAM en SAS beter gelet wordt op cleaning en sneller zijn met anti-malware definities vernieuwen. En daar zit hem de kneep denk ik: je hebt tegenwoordig gewoon beide nodig. En veel kost het niet meer.

Dooievriend @TomPé • 30 januari 2011 17:18

Jammer dat zoiets gebeurd want Kaspersky is op dit moment toch echt de beste virusscanner.

Wat meteen de reden zou kunnen zijn dat ze net Kaspersky onder vuur nemen. Doordat Kaspersky zo goed is in virussen buiten houden, zien hackers zich genoodzaakt het bedrijf in een slecht daglicht te stellen, zodat minder computers ermee beveiligd worden.

Zie het als een soort keurmerk: "Kaspersky, security most hated by hackers"

A4-tje @Dooievriend • 30 januari 2011 22:22

het is denk ik meer net als bij het pentagon. je verwacht dat de beveiliging zo goed in elkaar steekt dat het onmogelijk is te hacken; dus moet het getest worden.

mae-t.net @Dooievriend • 31 januari 2011 02:44

Behalve dan dat Kaspersky zich ook elders dan onder hackers nog wel eens gehaat wil maken. Ik noem de vijandige overname of buiten spel zetten van hun vertegenwoordigingen in diverse landen.

nielsl 30 januari 2011 17:02

vervelend dat dit ze overkomt. Ik vind de producten die ze verkopen namelijk echt heel goed. 3 jaar voor het stelen van intellectueel eigendom vind ik overigens nog wel meevallen. Misschien kunnen ze een dergelijk lek omdraaien in een voordeel en de community dr eens naar laten koekeloeren, op die manier krijg je misschien het beste van twee werelden? De software 'gratis' en betalen voor de anti-virus updates

catfish @nielsl • 30 januari 2011 17:19

ik denk dat de concurrenten er ook wel eens graag naar kijken, kwestie van te zien hoe de andere het doet en eventueel het eigen product verbeteren...

humbug @catfish • 30 januari 2011 17:56

Ik denk het niet. Als een concurrent er naar kijkt en dan een soortgelijke methode gebruikt lijkt het direct gejat van kaspersky. Gewoon negeren lijkt de beste methode, tenzij je als bedrijf natuurlijk in China zit.

Verwijderd @catfish • 30 januari 2011 20:50

Concurrerende anti virus bedrijven werken veel nauwer samen dan de meesten wel denken. Er bestaan verschillende contacten tussen de top anti virus bedrijven, dus dit lijkt me eerder overbodig en te risicovol.

Thomas M @Verwijderd • 30 januari 2011 21:16

Ja, ik dacht dat bijvoorbeeld G-Data een deel van de software van kaspersky gebruikte, was in ieder geval wel een tijdje geleden zo.

freaky @catfish • 30 januari 2011 20:50

Wellicht, maar je zou verwachten dat een club die als doel heeft het analyseren (en daarmee reverse-engineeren) van virussen niet zo heel veel moeite zal hebben met het reverse-engineeren van het product van de concurrent

Aham brahmasmi @freaky • 30 januari 2011 22:52

Wellicht, maar je zou verwachten dat een club die als doel heeft het analyseren (en daarmee reverse-engineeren) van virussen niet zo heel veel moeite zal hebben met het reverse-engineeren van het product van de concurrent

Want een virus en een virusscanner zijn vergelijkbare stukken software (in functie/werking/omvang)?

[Reactie gewijzigd door Aham brahmasmi op 27 juli 2024 11:08]

Verwijderd @Aham brahmasmi • 31 januari 2011 10:35

Ja.

LDenninger @catfish • 31 januari 2011 10:31

Ik denk niet dat de concurrent ernaar wil kijken.

Elke serieuze concurrent heeft zelf genoeg goede programmeurs in dienst,
en het maken van een antivirus-engine is geen rocket-science maar gewoon hard werk.

Waarom zou een bedrijf het risico nemen aangeklaagd te worden voor het kijken naar iets waar ze zelf ook verstand van hebben ?

Alle bedrijven waar ik bij heb gewerkt hebben in soortgelijke situaties (uitlekken van sourcecode van concurrenten) juist altijd heel erg duidelijk gemaakt aan wernemers dat het streng verboden was om je daarmee in te laten.

Quas @nielsl • 30 januari 2011 18:53

Als je de software gratis weg geeft en voor de updates laat betalen, zijn mensen dus niet goed beschermt, dus kan je dan beter nog de free versie MET updates hebben

nielsl @Quas • 31 januari 2011 09:04

kortom, betalen voor je bescherming, anders ben je niet optimaal beveiligd

Elmo_nl @nielsl • 31 januari 2011 09:46

Hahaha, dat klinkt als een maffia uitspraak

On-topic: Zo zie je maar weer dat het heel erg lastig is om met oud-medewerkers om te gaan die kwaad in de zin hebben. Moet je medewerkers daarom nooit toegang tot alle code geven maar iedereen een klein stukje modulair laten programmeren? Moet je medewerkers een geheimhoudingsplicht laten tekenen? (is misschien gebeurd in dit geval omdat hij vast zit). Moet je zorgen dat medewerkers geen data mee kunnen nemen op b.v. USB sticks/CD-R's? Lastig probleem.
/conspiracy modus: misschien hebben ze de code bewust gelekt om te zien welke malware er voor geschreven kan worden (ze weten namelijk sinds november vorig jaar al dat de code "op straat ligt") zodat ze nu een nog beter/veiliger product op de markt kunnen zetten?
Kaspersky stelt dat ondanks het uitlekken van de broncode zijn huidige beveiligingspakketten geen risico lopen, omdat het zou gaan om code die niet direct betrekking heeft op zijn huidige beveiligingsfeatures.
Dus dat ze even kijken of het klopt dat bovenstaand helemaal waar is?

RRRobert @nielsl • 30 januari 2011 18:29

3 jaar voor het stelen van intellectueel eigendom vind ik overigens nog wel meevallen.

Ik denk dat drie jaar in een Russische cel nèt ff wat zwaarder zal vallen dan in pak-em-beet een Nederlands staatshotel...

Juwayri 30 januari 2011 17:10

Dit komt op een erg leuk moment voor mij, over 5 dagen verloopt mijn licentie. Toch maar eens kijken of ik hem wel zal verlengen.

Kan eigenlijk zeggen dat ik niet anders dan tevreden ben over Kapersky. Geen zwaar programma, goede beveiliging. Nooit problemen mee gehad. Maar gelekte software is toch wel even een ander verhaal. Want ze kunnen wel zeggen dat het geen belangrijke informatie bevat, maar dat zou ik ook zeggen als ik hun was.

Verwijderd @Juwayri • 31 januari 2011 10:39

Als je toch echt wilt gaan overstappen, probeer eset smart security dan eens. 30 dagen gratis proefversie te downloaden. En ik ben het hele rijtje afgegaan van de bekende en minder bekende scanners, en tot nu toe komt voor mij ESS + superantispyware of malwarebytes (betaalde versies) het beste uit de bus. Lage systeembelasting, goede detectierate, goede spambestrijding en in geval van infectie goede cleaningscores. Maar goed, das slechts mijn ervaring natuurlijk...

DiedX @Juwayri • 30 januari 2011 22:51

Wat heeft jouw keuze om een goede virusscanner te gebruiken te maken met copyrightproblemen van Kaspersky? Als hij goed bevalt (en: nmi is hij goed), dan koop je toch gewoon een licentie?

LessRam @DiedX • 31 januari 2011 00:14

Misschien omdat virusschrijvers nu op zoek kunnen naar bruikbare gaten in de anti-virus software?

Gilraen 30 januari 2011 17:17

Toevallig heb ik net een tijdje terug een oud artikel uit 2005 van Tweakers.net gelezen, waarin Kapersky nog heel goed uit de bus kwam. Ik was namelijk opzoek naar een goede (eventueel) gratis virusbeschermer, en ben toen op basis van dit artikel gaan uitvissen of deze destijds aanbevolen beschermers anno 2011 nog steeds goed bekend staan.

Heb uiteindelijk toch gekozen voor Avira Antivir, mede op basis van dit onderzoek, omdat die op de tweede plek eindigt en ik de nummer 1 Gdata niet prettig vond. Ben nu blij dat ik niet voor Kapersky heb gekozen, aan de hand van de problematiek van de laatste tijd! Bovendien vind ik het wel voor een virusbeschermer pleiten als deze in 2005 bovenaan eindigde, en in 2010 gewoon weer, zoals bij Avira het geval is (en bij Kapersky dus niet). Lijkt mij toch wel een prettige 'constante' dan.

[Reactie gewijzigd door Gilraen op 27 juli 2024 11:08]

rob12424 30 januari 2011 22:54

Toch dit stukje is wat twijfelachtig:

Ondanks dat Kaspersky het uitlekken van de broncode bagatelliseert, kan de broncode nuttige informatie bevatten voor zowel concurrenten als malwareschrijvers. Zo zou de code, die in C++ en Delphi is geschreven, onder andere de antivirus-engine en enkele andere belangrijke componenten van Kaspersky's beveiligingssoftware bevatten.

Aangezien er ook opensource virusscanners bestaan bijvoorbeeld: ClamWin, enz.

tweaker2010 31 januari 2011 09:45

Er zullen heel wat anti-malware bedrijven zijn die deze broncode goed kunnen gebruiken.
Hoe zit het nu eigenlijk met copyright?

bgttje 30 januari 2011 17:39

Avira beter dan Kaspersky, dacht t niet:
http://www.matousec.com/p...ity-challenge/results.php

humbug @bgttje • 30 januari 2011 18:14

Aangezien dat artikel firewalls test en geen virusscanners zegt dat erg weinig. Zoals verschillende leveranciers daar al aangeven, een firewall is in veel gevallen geen standalone product maar een onderdeel van een combinatie van beveiligingstools waaronder dus een virusscanner.

Verwijderd @bgttje • 30 januari 2011 19:24

Avira beter dan Kaspersky, dacht t niet:
http://www.matousec.com/p...ity-challenge/results.php

Met een beetje zoeken kan je elke conclusie vinden over virusscanners die je maar wilt, En bijna altijd komt diegene waar jij geld voor hebt betaald als best uit de bus.

Ik zelf? MS Security Essentials en ik kom niet op pron en download sites in the Ukraine.

Hanterp @Verwijderd • 31 januari 2011 12:41

http://www.matousec.com/p...ity-challenge/results.php

Hoe betrouwbaar is die test? Het geeft me te denken dat het zowat omgekeerde resultaten geeft als Comparative.

jeroen3 30 januari 2011 22:14

Als het puur om antivirus bescherming ging is Microsoft Security Essentials natuurlijk het beste.

Wie heeft dat bedacht? Dat je een programma moet kopen om een programma te beschermen? Dat slaat toch nerges op! Laat Microsoft lekker MSE inbakken, dan is windows ineens het veiligste os!

Maar Kaspersky bied nog andere mogelijkheden,
- Veilig uitvoeren
- Ouderlijk toezicht
- Reclame filter
- Custom settings

Aham brahmasmi @jeroen3 • 31 januari 2011 12:51

Als het puur om antivirus bescherming ging is Microsoft Security Essentials natuurlijk het beste.

Goeie onderbouwing.

Wie heeft dat bedacht? Dat je een programma moet kopen om een programma te beschermen? Dat slaat toch nerges op! Laat Microsoft lekker MSE inbakken, dan is windows ineens het veiligste os!

Het is toch te gek dat er bedrijven zijn die zich al jaren specialiseren in virusscanners en daar ook nog geld voor vragen? Microsoft kan dat natuurlijk net zo goed zelf en heeft die jarenlange expertise niet nodig...

Hun Windows OS dat gebombardeerd wordt door talloze virussen wordt met hun virusscanner zelfs veiliger dan OS'en waar praktisch geen virussen voor worden geschreven (alle andere)!

Verwijderd 31 januari 2011 08:18

LoL, wist niet eens dat bedrijven echt met delphi werken. Dacht dat dat alleen maar een simpele tooltje was voor snel een programma in elkaar te zetten voor specifieke doeleinden. Zoals intern..

Otherside1982 @Verwijderd • 31 januari 2011 10:02

Delphi wordt zeer zeker gebruikt in veel gekende software. Enkele van de meest bekende: Skype, Total Commander, Spybot - Search & Destroy , Avant Browser.

Zie dit lijstje voor meer: Good Quality Applications Built With Delphi

Verwijderd 30 januari 2011 18:07

We mogen al content zijn dat ze de lekken zelf nog kunnen vinden.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (59)

Sorteer op:

Weergave: