卡巴事件效應擴大，防毒廠商如何保護暗中回傳樣本？業者紛紛自清

資安廠商卡巴斯基（Kaspersky）是否協助俄羅斯政府從事駭客攻擊與網路間諜活動，這件事情越演越烈，不只美國大動作抵制卡巴斯基的行動，也讓大眾對防毒軟體的信任開始動搖。卡巴斯基甚至最近承諾，願意明年第一季時把產品原始碼提供給第三方獨立機構檢查。

卡巴遭利用的內建機制是Silent signature，這是資安實驗室慣用來蒐集病毒樣本的慣用手法，自動將病毒碼回傳，但不會跳出警告來通知使用者。

有多少防毒軟體也是使用同樣的手法來暗中蒐集樣本？可能成為被利用的管道？美國一家媒體集團ISMG在10中向17家防毒公司詢問，來了解各家防毒軟體是否會有同樣的風險。

ISMG對防毒軟體公司的6個提問

1. 當從使用者PC回傳樣本檔案給你們的研究人員時，採取了哪些安全措施？
2. 外部攻擊者可能竊聽這個通訊過程嗎？若是，你們如何預防這類攻擊？
3. 是否曾分享檔案到VirusTotal、執法機構或調查機構，不論國內或境外？
4. 使用者能否選擇，要不要分享惡意檔案？預設要或預設不要？
5. 回傳的惡意檔案原始檔會匿名處理嗎？
6. 自家行銷活動是否曾暗示卡巴斯基有疑慮？

目前已有8家防毒軟體回應了，包括2家拒絕回答者，回應重點如下：

Avira回應重點：所有回傳過程均加密，只有惡意程式可疑樣本會回傳，使用者個資會匿名儲存在資料庫中。不會把資料分享到VirusTotal，執法機關或調查機構。

Bitdefender回應重點：回傳均採TLS加密，不會和任何第三方分享，也去識別化到無法追蹤使用者。

Emsisoft回應重點：預設不會回傳原始檔案到雲端分析，只回傳Hashes特徵值，也預設匿名化。但允許使用者上傳，會記錄上傳者，以利後續回應說明。不會和執法或調查機構分享。

F-Secure回應重點：回傳會加密，去除部分識別特徵，如IP、用戶名、路徑。使用者可選擇關閉回傳分享。不會和VirusTotal分享，但會和「信任伙伴」分享沒有機密性的病毒樣本。

Panda回應重點：只回傳可執行的檔（如Word、Excel、PDF檔都不會回傳），回傳會加密。使用者可選擇關閉回傳分享。會和資安公司分享惡意程式樣本，但來自顧客的檔案不會分享與其他資安公司。

Kaspersky Lab回應重點：回傳都用強加密，廣泛地將資料匿名化，如去除來源IP，過濾帳號密碼等。但用戶可自己決定是否要揭露部分分享資訊。另外，會依各地法律要求，提供惡意程式樣本和統計資訊給執法機構。

Trend Micro：表明不回答
Webroot：表明不回答

9家還沒回應：Avast (Czech Republic)、Bullguard (United Kingdom)、ESET (Slovakia)、Malwarebytes (United States)、McAfee (United States)、Microsoft (United States)、Sophos (United Kingdom)、Symantec (United States)、VIPRE (United States)

各家防毒軟體完整回應網址
https://www.govinfosecurity.com/surveying-17-anti-virus-firms-on-their-security-practices-a-10393