Po článcích o možné spolupráci mezi antivirovou společností ESET a ozbrojenci na Donbasu, které se dočkaly velké odezvy, zaslal InformNapalm společnosti ESET řadu otázek ve snaze objasnit motivaci společnosti ke zkoumání pracovních nástrojů ukrajinských hackerů. Naše dotazy zodpověděl osobně manažer pro veřejné komunikace v regionu EMEA (Evropa, Blízký Východ a Afrika) z ústředí ESETu v Bratislavě Branislav Ondrášik. Což nasvědčuje tomu, že vzniklá situace antivirovou společnost vážně znepokojila a je ochotna spolupracovat, aby snížila stupeň napětí mezi veřejností.
Děkujeme společnosti ESET a osobně Branislavu Ondrášikovi za podrobné odpovědi. Dále uvádíme citáty ze zprávy p. Ondrášika adresované redakci InformNapalmu, jejich překlad z angličtiny a naše komentáře.
Komentář od ESETu: Anton Cherepanov is from top team and talent of ESET researchers based in ESET HQ, Bratislava, Slovakia (EU). He himself is indeed top professional. ESET stands by its employees of many nationalities who make our company great. As well as our partners — our top Ukrainian colleagues in Kiev. We request from you to stop spreading any falsehoods and smearing ESET employees, specifically Anton Cherepanov. We cannot leave this unattended in our reply.
Překlad komentáře od ESETu: Anton Čerepanov působí u nejlepšího výzkumného týmu v sídle ESETu v Bratislavě, Slovensko. Skutečně patří mezi špičkové profesionály ve svém oboru. ESET podporuje své zaměstnance pocházející z různých zemí, díky nimž je naše společnost tak významná. Totéž se týká i našich partnerů, našich skvělých ukrajinských kolegů v Kyjevě. Trváme na tom, abyste přestali šířit lži a pomluvy o zaměstnancích ESETu, zejména o Antonu Čerepanovovi. V naší odpovědi na Váš dotaz na ně musíme reagovat.
Komentář iN: InformNapalm nikdy nezpochybňoval profesionalitu odborníka z ESETu Antona Čerepanova. Měli jsme otázky k motivaci tohoto zaměstnance vyšetřovat kybernetický útok právě proti L/DLR. Starosti působí také Antonova touha exkluzivně prezentovat výsledky svého výzkumu právě v Moskvě, na fóru Positive Hack Days.
Když vezmeme v potaz nenávist stávajícího ruského politického režimu vůči Ukrajině a účast vojáků Ruské federace v rozpoutané teroristické válce na Donbasu, nezbývá než souhlasit, že prezentace výzkumu operací ukrajinských tajných služeb v Moskvě ze strany ruského zaměstnance společnosti „podporující své zaměstnance pocházející z různých zemí“ včetně „skvělých ukrajinských kolegů v Kyjevě“ působí poněkud znepokojivě.
Není také úplně jasné, kdy konkrétně InformNapalm „šířil lži a pomluvy“ proti zaměstnancům ESETu. Jen jsme provedli svou výzkumnou práci a upozornili veřejnost na řadu podivných shod v této záležitosti, stejně jako dělají svou práci i zaměstnanci ESETu, když zkoumají počítačové viry.
Našim úkolem je zkoumat a prezentovat výsledky naší práce ve srozumitelné formě, aby pak naši čtenáři mohli učinit závěry sami. Než nás obviní ze lží a pomluv, měli by se zástupci ESETu sami zamyslet a pečlivěji volit slova, navíc s ohledem na skutečnost, že požadovanými dovednostmi ve sféře veřejných komunikací podle všeho disponují.
Otázka iN: Who is the source of information for the research of Groundbait, who did deliver the subjects of letters and application files? Can you tell us the names of individuals from L/DNR or was it the anonymous data transmission?
Překlad otázky iN: Kdo byl zdrojem informací pro výzkum projektu Vnadidlo a kdo Vám zaslal témata zpráv a připojené soubory? Mohli byste nám sdělit jména osob z L/DLR, nebo šlo o anonymní poskytnutí dat?
Odpověď od ESETu: The analyzed files have been obtained through regular detections such as the VirusTotal. To know more about VirusTotal service, you can read a description of this service.
These are examples of the files from VirusTotal:
https://www.virustotal.com/en/file/8421bc0f086fe51755c4255e1b67907ffdac715f3b5a57086a60079448a38b30/analysis/(Filename: Нацгвардейцы со шприцами сделали из донецкого мальчика мишень для ракет.exe, First submission 2014-11-06 13:59:28 UTC)
https://www.virustotal.com/en/file/ed150dbb6f54c3ac74e3359a4dee9dea9400655d1bc87a3407fe441b14f7ea68/analysis/(Filename: Схема демилитаризованной зоны в районе Шиокино.exe, First submission 2015-07-06 06:03:21 UTC)
https://www.virustotal.com/en/file/dd81c74311a0c88c47ff7902b3bec47289349b622cfdaa4806e5071f8e68f548/analysis/(Filename: План ДНР на 21 липня, щодо відводу військ.exe, First submission 2015-07-20 21:22:05 UTC)
https://www.virustotal.com/en/file/2b434d63ba706c7ad02e1a712d631b495e8e9d1be277db3da6158b62cb8d1b1a/analysis/(Filename: СПРАВОЧНИК по МИНИСТЕРСТВАМ обновленный.rar, First submission 2015-09-02 11:47:12 UTC)
At this moment we can disclose only information that was communicated in our white paper and in explanatory Q&A. The whole research procedure is transparently outlined in the original white paper on this campaign.
Překlad odpovědi od ESETu: analyzované soubory byly získány z běžných databází zjištěných virů, jako je např. VirusTotal. O službě VirusTotal se dozvíte více, když si přečtete popis této služby [iN: text popisu je dostupný v angličtině].
Zde jsou příklady uvedených souborů z VirusTotal: [iN: příklady souborů viz nahoře v originále odpovědi od ESETu].
V současné době můžeme zveřejňovat pouze informace obsažené v naší tzv. Bílé knize a doprovodných pokynech pro média. Celý postup výzkumu byl transparentně popsán v Bílé knize.
Komentář iN: Shora citovanou odpověď ohledně zdroje informací bereme na vědomí. Skutečnost, zda je toto tvrzení pravdivé, nebo společnost ESET, popř. její konkrétní zaměstnanci přece jen komunikovali s někým z úřadů samozvaných států, přesto vyžaduje dodatečné ověření, a to jak ze strany dobrovolnické komunity InformNapalm, tak ze strany příslušných státních orgánů Ukrajiny.
Otázka iN: Is ESET ready to reveal its code, if it is requested by the employees of the Security Service of Ukraine, in view of the fact that 3/4 of Ukrainian state institutions are users of ESET products?
Překlad otázky iN: Je ESET ochotna na případnou žádost SBU prozradit svůj zdrojový kód s ohledem na skutečnost, že ¾ ukrajinských státních úřadů jsou uživateli produktů od ESETu?
Odpověď od ESETu: We do not answer hypothetical and speculative scenarios/questions. However, this has to be stressed: ESET in Ukraine operates within the Ukrainian legislation. Regularly ESET products undergo an examination and receive expert conclusions of State Service of Special Communication and Information Protection of Ukraine — a central executive body with special status. The main task of this entity is implementing the state policy on protection of state information resources within data networks, maintenance of the national system of confidential communication, cryptographic and technical protection of information.
ESET is always opened to collaboration within legal boundaries. For example, recently ESET cooperated with CyS-CERT and the Cyber Police of Ukraine and has taken down Mumblehard, the infamous Linux server botnet.
We are curious where your website/blog has received information that ¾ of Ukrainian state institutions use ESET products and present it again as a fact as many of the accusations that are presented as facts but indeed are false. We would like know where this information originates. We do not actually possess this type of information. This information is published only on certain websites and occasionally with a link to a writing of one of the competing AV companies that operates within the Ukrainian market. Can you provide us with the source of this claim?
Překlad odpovědi od ESETu: Na hypotetické ani spekulativní otázky/scénáře nereagujeme. Nicméně bychom rádi upozornili, že ESET na Ukrajině působí v rámci ukrajinské právní úpravy. Produkty od ESETu pravidelně absolvují expertízy a získávají znalecké posudky od Státního úřadu Ukrajiny pro speciální komunikaci a ochranu informací. Hlavním úkolem tohoto orgánu je implementace státní politiky ve sféře ochrany státních informačních zdrojů v sítích pro výměnu dat, podpora národního systému důvěrné komunikace, kryptografická a technická ochrana informací. ESET je vždy otevřena spolupráci v rámci právního prostoru. Např. zcela nedávno ESET společně s CyS-CERT a Kybernetickou policií Ukrajiny zastavila činnost Mumblehard, nechvalně známého serverového botnetu na Linuxu.
Zajímalo by nás, kde Vás web/blog vzal informace, že ¾ ukrajinského veřejného sektoru používá produkty od ESETu. Opakovaně s tímto tvrzením operujete jako s prokázaným faktem, zatímco mnoho tvrzení prezentovaných jako fakta jsou ve skutečnosti lživá. Rádi bychom znali zdroj těchto informací, protože my podobnými informacemi nedisponujeme. Tyto informace uvádějí jen jisté weby, někdy s odkazem na některou z konkurenčních antivirových společností působících na ukrajinském trhu. Mohli byste prozradit zdroj tohoto tvrzení?
Komentář iN: Informace o podílu ESETu na státních úřadech Ukrajiny, které jsme uvedli, jsou veřejně přístupné. Zejména článek Efekt motýla: TOP 5 událostí antivirového trhu v roce 2014 (2014) mluví o cca ¾ ESET ve státním sektoru. Obdobné počty uvádí článek Protiruské sankce: kdo nahradí ruské antiviry? (2015). Tento údaj navíc přímo zaznívá v rozhovoru s technickým ředitelem ukrajinského antiviru Zillya! Olehem Syčem na Ukrajinské pravdě, který p. Ondrášik nepřímo zmiňuje.
Proč byla Ukrajinská pravda, přední ukrajinské internetové médium, zařazena mezi „jisté weby“, a proč se nemůžeme odvolávat na údaje od funkcionáře ukrajinské konkurenční společnosti jako na zdroj informací o ESETu, není jasné.
Z tohoto odstavce jsme pocítili nepříjemnou povýšenost ze strany p. Ondrášika vůči ukrajinským médiím a ukrajinským konkurentům ESETu. Když ESET svou přítomnost na ukrajinském trhu myslí vážně, měli by funkcionáři z ústředí ESETu tento povýšený postoj zklidnit. Tato informace je určena především „skvělým ukrajinským kolegům“ p. Ondrášika v Kyjevě.
V nejbližší době chceme kontaktovat Státní úřad Ukrajiny pro speciální komunikaci a ochranu informací a kolegy z CyS-CERTu a Kybernetické policie Ukrajiny, které požádáme o komentáře k jejich spolupráci s ESETem, a budeme naše čtenáře průběžně informovat.
Otázka iN. The main point that needs to be clarified — if Moscow office specialists have access to more detailed information of the research (not published because of confidentiality), then they have access to the secret information obtained from the Ukrainian government and other government entities?
Překlad otázky iN: Klíčová stránka vyžadující vysvětlení: když odborníci z moskevské kanceláře ESETu měli přístup k podrobnějším informacím o výzkumu (které nebyly zveřejněny kvůli ochraně soukromí), zda měli také přístup k utajovaným informacím získaným od ukrajinské vlády a dalších státních struktur?
Odpověď od ESETu: We have communicated via ESET research in Bratislava and through Ukrainian partner office in Kiev with the representatives of affected governmental institutions in Ukraine to have any of their security fixed. If anyone in Ukrainian law-enforcement is interested in specific details, they can reach out to us on provided email contact in Q&A. Any partner office anywhere including Russia had only the white paper, blog post and accompanying press release available to their use. Team working at Russian partner company is not involved in research and was not involved this time either.
Překlad odpovědi od ESETu: prostřednictvím výzkumné kanceláře v Bratislavě a našich ukrajinských partnerů v Kyjevě jsme kontaktovali zástupce ukrajinských státních úřadů s nabídkou opravit veškeré závady na jejich bezpečnostním systému. Kdyby se někdo od ukrajinských orgánů činných v trestním řízení zajímal o konkrétní detaily, může nás kontaktovat na e-mailové adrese uvedené v pokynech pro média (Q&A) doprovázejících Bílou knihu.
Všechny partnerské kanceláře včetně té ruské měly přístup pouze k Bílé knize, statusu na našem blogu a doprovodné tiskové zprávě. Tým našeho ruského partnera se na výzkumu nepodílel ani v předmětném případě, ani nikdy předtím.
Komentář iN: Pan Ondrášik se ve svém komentáři bohužel vyhnul odpovědi na klíčovou otázku: zda má ESET nebo jeho moskevští partneři přístup k informacím z počítačů a z interních elektronických sítí ukrajinských státních orgánů, kde je nainstalován software od ESETu. A když ESET tvrdí, že žádný takový přístup nemají, jak se dá tato informace ověřit.
Nejjednodušším způsobem verifikace by mohlo být prozrazení zdrojového kódu softwaru ESET, chápeme však, že to nejde z důvodu nutné ochrany obchodního tajemství. Nebylo by od věci slyšet od zástupců ESETu věcné technické vysvětlení, které by umožnilo veřejnosti (a specializovaným státním strukturám) se ujistit, že produkty od ESETu nejsou rizikové pro státní zájem Ukrajiny.
Závěrem: dobrovolníci z InformNapalmu i nadále v nutných případech učiní přítrž protiukrajinským akcím ze strany obchodních společností nebo jednání ohrožujícímu národní bezpečnost Ukrajiny. Co se týče konkrétního případu se společností ESET, myslíme, že by Bezpečnostní služba Ukrajiny a další příslušné státní orgány měly projevit o tuto situaci bližší zájem a provést vlastní vyšetřování všech okolností.
Tento příspěvek zpracoval odborník na marketingové a PR komunikace Alexey Minakov a Catcher in the Lie speciálně pro InformNapalm.
Originál publikován dne 13. června 2016
Překlad: Svatoslav Ščyhol
Aktuální hlášení skupiny INFORM NAPALM