DAS ABRAKADABRA ANONYMER QUELLEN.

Wer hat JFK umgebracht?

Wer kontrolliert das Bermuda-Dreieck?

Was wollen die Freimaurer wirklich?

Ganz einfach! Die Antworten zu diesen Fragen könnten nicht einfacher sein. Man muss nur eines hinzufügen: „laut Informationen anonymer Quellen“, und voila! — schon hat man die Antwort — auf jede Frage, auf alles, oder jeden. Und die Antworten sind gleich viel glaubwürdiger – nicht wegen ihrer… Glaubwürdigkeit, sondern aufgrund des Prestiges, das normalerweise dem entsprechenden Medium zugeschrieben wird, das die Geschichte veröffentlicht hat.

note to self: when I publish my next APT report, I'll make sure to quote at least two anonymous sources, for added credibility.

— Stefan Tanase (@stefant) August 14, 2015

Gerade eben brachte Reuters eine „weltexklusive“ Geschichte atemberaubender Proportionen aus der Antivirus-Welt. Der Artikel, gefüllt mit sensationellen – falschen – Anschuldigungen, behauptet, dass Kaspersky Lab (KL) sehr spezielle, gezielte Schadprogramme entwickelt und diese anonym an andere Antivirus-Hersteller gibt, um diesen Ärger zu machen und deren Marktanteil zu schädigen. Oh ja. Aber sie haben vergessen, hinzuzufügen, dass wir all das bei dampfenden Banya-Besuchen machen, nachdem wir unsere Bären, auf denen wir herumreiten, draußen geparkt haben.

I don’t usually read @reuters. But when I do, I see false positives. For the record: this story is a complete BS: https://t.co/m0Rcy2Vm6Y

— Eugene Kaspersky (@e_kaspersky) August 14, 2015

Die Reuters-Geschichte basiert auf Informationen, die von anonymen ehemaligen KL-Mitarbeitern kommen. Und die Anschuldigungen sind kompletter Unsinn, so einfach ist das.

Verärgerte Ex-Mitarbeiter sagen oft unschöne Dinge über ihre früheren Arbeitgeber, aber in diesem Fall ist das Ganze einfach nur lächerlich. Vielleicht konnten diese Quellen die Journalisten beeindrucken, aber meiner Meinung nach ist die Veröffentlichung solch einer „exklusiven“ Geschichte – OHNE EIN FITZELCHEN EINES BEWEISES – einfach nicht das, was ich unter gutem Journalismus verstehe. Ich würde nur gerne erfahren, was diese „Ex-Mitarbeiter“ den Medien beim nächsten Mal über uns erzählen und wer deren Bockmist vielleicht glauben wird.

In Wirklichkeit ist der Reuters-Artikel eine Verschmelzung einiger Fakten mit einem großzügigen Maß purer Fiktion.

To be honest: its quite annoying all these insinuating stories about Kaspersky. Haven't seen any solid evidence nor trustworthy sources.

— Rickey Gevers (@UID_) August 14, 2015

In den Jahren 2012 und 2013 hatte die Antivirus-Branche ein ernsthaftes Problem mit False Positives. Und leider waren auch wir unter den stark betroffenen Firmen. Das Ganze stellte sich als koordinierte Attacke auf die gesamte Branche heraus: Jemand verbreitete legitime Software, die mit schädlichem Code angereichert war, der speziell auf Antivirus-Engines verschiedener Firmen abzielte, auch auf unsere. Nach wie vor ist nicht bekannt, wer die Attacke startete, aber nun wird mir gesagt, dass ich das selbst gewesen sein soll! Das hätte ich nun wirklich nicht erwartet, und diese grundlose Anschuldigung hat mich echt überrascht!

Das war passiert: Im November 2012 produzierten unsere Lösungen False Positives zu mehreren Dateien, die eigentlich sauber waren. Dabei handelte es sich um den Steam Client, das Mail.ru Game Center und den QQ Client. Eine interne Untersuchung zeigte, dass diese Vorfälle das Resultat einer koordinierten Attacke durch Unbekannte waren.

Mehrere Monate vor diesem Vorfall bekam unser Viruslabor über brancheninterne Austauschkanäle wie die VirusTotal-Webseite laufend leicht modifizierte, legitime Dateien von Steam, Mail.ru und QQ. Die Ersteller dieser Dateien fügten Teile schädlichen Codes hinzu.

@DavisSec –> I agree. @e_kaspersky is very enthusiastic about #cybersecurity, but an industry saboteur seems unlikely. cc:@josephmenn

— John Bumgarner (@JohnBumgarner) August 14, 2015

Später kamen wir zu dem Schluss, dass die Angreifer wussten, wie unterschiedlich die Entdeckungsalgorithmen der einzelnen Hersteller arbeiteten und den schädlichen Code genau dort injizierten, wo die automatischen Systeme danach suchen würden.

Diese neu erhaltenen, modifizierten Dateien wurden als schädlich eingestuft und in unsere Datenbanken übernommen. Insgesamt erhielten wir mehrere Dutzend legitimer Dateien, die schädlichen Code enthielten.

Als dann die rechtmäßigen Entwickler der Dateien aktualisierte Versionen ihrer Software veröffentlichten, tauchten False Positives auf. Die Systeme verglichen die Dateien mit der Malware-Datenbank – die sehr ähnliche Dateien enthielt – und stuften die neuen, völlig legitimen Dateien als schädlich ein. Anschließend aktualisierten wir unsere Entdeckungsalgorithmen, um solche fehlerhaften Entdeckungen zu vermeiden.

Die Angriffe gingen das ganze Jahr 2013 weiter und wir bekamen ständig modifizierte Dateien. Und uns wurde klar, dass wir nicht die einzige Firma sind, die hier angegriffen wird: Andere Unternehmen erhielten diese Dateien ebenfalls und hatten die gleichen False Positives.

@davidu @josephmenn @e_kaspersky Vikram @symantec has stated they deeply investigated the FP issue in '13 and findings != K

— Christopher M Davis (@DavisSec) August 14, 2015

Im Jahr 2013 gab es daraufhin eine geschlossene Besprechung der führenden Sicherheitsfirmen und anderer Branchenmitglieder, die ebenfalls von den Angriffen betroffen waren – dabei waren auch Hersteller, die selbst nicht betroffen waren, aber über das Problem Bescheid wussten. Während dieser Besprechung tauschten die Teilnehmer Informationen zu den Vorfällen aus, versuchten die Gründe dafür herauszufinden und arbeiteten an einem Maßnahmenplan. Leider gab es dabei keinen Durchbruch, aber es wurden einige interessante Theorien bezüglich der Urheber der Angriffe ausgesprochen. Genauer gesagt, überlegten die Teilnehmer, ob ein anderer AV-Hersteller hinter den Angriffen stecken könnte oder ob es ein Versuch mächtiger Unbekannter war, ihre Schadprogramme anzupassen, um die Entdeckung durch die bekanntesten AV-Lösungen zu umgehen.

We had investigated these attacks but could not find out who was behind them. We had some suspects, Kaspersky was not one of them.

— Liam O'Murchu (@liam_omurchu) August 14, 2015

Vorwürfe wie diese sind nichts Neues. Schon in den 1990er Jahren habe ich ein Schild mit der Aufschrift „Nein!“ zu Pressekonferenzen mitgenommen. Das hat mir oft geholfen. Ich habe es einfach hochgehoben, wenn jede dritte Frage lautete „Schreiben sie selbst Viren, deren Infektionen sie dann mit ihren Produkten ‚heilen‘ können?“ Ja klar. Sicher. Und heute werde ich das immer noch gefragt. Glauben die Menschen wirklich, eine über 18 Jahre alte Firma, die zu 100 Prozent auf dem Vertrauen ihrer Kunden aufbaut, würde so etwas machen?

I really like @josephmenn but I am having a hard time with this @e_kaspersky story. I simply can't see them doing that.

— Christopher M Davis (@DavisSec) August 14, 2015

Es scheint, als würden diese Menschen es vorziehen, jemanden für schuldig zu halten, bis die Unschuld bewiesen ist. Aber ich glaube, solche Menschen wird es wohl immer geben. C’est la vie. Ich hoffe nur, dass alle anderen diese anonymen, dummen und grundlosen Anschuldigungen durchschauen… Ich kann sicher sagen, dass wir weiterhin mit der ganzen AV-Industrie zusammenarbeiten werden, um die digitale Welt sicherer zu machen, und dass wir zu unserem Wort stehen, Cyber-Bedrohungen aufzudecken und davor zu schützen, egal woher diese kommen mögen.

@e_kaspersky zu den haltlosen Vorwürfen, FALSE POSITIVES provoziert zu habenTweet

@e_kaspersky @Reuters Beyond that: "ordered by Eugene Kaspersky, in part to retaliate against smaller rivals…" like Microsoft?

— Lulu Cheng (@luludcheng) August 14, 2015