Люблю сноуборд и крипту

Россия проверяла ПО, используемое в правительстве США

Россия проверяла ПО, используемое в правительстве США
Фото: businesstech.co.za

Крупнейшие мировые поставщики программных технологий SAP (SAPG.DE), Symantec (SYMC.O) и McAfee позволяли российским властям искать уязвимости в программном обеспечении, активно используемом в правительстве США.

Подобная практика потенциально ставит под угрозу безопасность компьютерных сетей, по крайней мере, в десятках федеральных агентств, заявили законодатели США и эксперты по безопасности. Это касается намного большего числа компаний и правительственных органов, чем сообщалось ранее.

Чтобы получить доступ к российскому рынку, технологические компании позволили российскому оборонному агентству исследовать исходный код некоторых своих продуктов. Российские власти заявляют, что это необходимо для обнаружения уязвимостей, которые могут быть использованы хакерами.

Но те же самые продукты защищают некоторые из наиболее важных областей правительства США, включая Пентагон, НАСА, Государственный департамент, ФБР и разведывательное управление, от взлома сложных кибер-противников, таких как Россия.

В октябре агенство Reuters сообщило, что программное обеспечение ArcSight компании Hewlett Packard Enterprise (HPE.N), использовавшееся для защиты компьютеров Пентагона, было изучено российским военным подрядчиком, имеющим тесные связи с российскими службами безопасности.

Анализ сотен федеральных закупочных документов США и российских нормативных документов показывает, что потенциальные риски для правительства США от анализа исходного кода российской стороной довольно высоки.

Помимо Пентагона, ArcSight используется, по крайней мере, в семи других агентствах, включая управление национальной разведки и разведывательное подразделение государственного департамента. Кроме того, продукты, выпускаемые SAP, Symantec и McAfee, которые подверглись тщательному анализу российских властей, используются не менее чем в восьми агентствах. Некоторые агентства используют более одного из четырех продуктов.

McAfee, SAP, Symantec и Micro Focus (MCRO.L), британская фирма, которая теперь владеет ArcSight, заявили, что любые проверки исходного кода проводились под наблюдением производителя программного обеспечения в безопасных условиях, где код не мог быть удален или изменен. Они сказали, что этот процесс не ставит под угрозу безопасность продукта. На фоне растущей обеспокоенности по поводу этого процесса Symantec и McAfee запретили подобную практику, а Micro Focus резко сократило количество проверок в конце прошлого года.

Американский сенатор Жанна Шахин (фото: bingapis.com)

Пентагон в письме сенатору-демократу Жанне Шахин заявлял, что проверки исходного кода Россией и Китаем "могут помочь странам в обнаружении уязвимостей в этих продуктах". Reuters не обнаружило случаев, когда анализ исходного кода помог бы предотвратить кибератаку, и некоторые эксперты по безопасности говорят, что хакеры с большей вероятностью найдут другие способы проникновения в сетевые системы.

Но Пентагон не единственная организация, которая выразила обеспокоенность по данному поводу. Частные эксперты в области кибернетики, бывшие сотрудники органов безопасности США и некоторые технические компании США сообщили агентству Reuters, что, открыв России доступ к исходному коду, могут быть выявлены неизвестные уязвимости, которые могут быть использованы для подрыва безопасности сетей США.

Открыть доступ к исходному коду даже на минуту —  это невероятный риск, —  сказал Стив Квейн, исполнительный вице-президент сетевой безопасности в Trend Micro, которая продает программное обеспечение TippingPoint для военных США. Обеспокоенная этими рисками для правительства США, Trend Micro отказала россиянам в возможности инспекции исходного кода TippingPoint.

Квейн считает, что опытные специалисты по безопасности могут быстро обнаружить уязвимости, связанные с эксплуатацией, просто изучив исходный код.

Мы знаем, что есть специалисты, которые могут это сделать, потому что в нашей компании также работают такие люди, сказал он.

В отличие от России, правительство США редко запрашивает доступ к исходному коду при покупке коммерчески доступных программных продуктов, говорят американские торговые представители и эксперты по безопасности.

Открытые двери

Большинство российских проверок имели место после 2014 года, когда отношения США и России ухудшились. Западные страны обвинили Россию в резком увеличении кибератак, которые Москва отрицает.

Некоторые законодатели США опасаются, что анализ исходного кода может привести к еще большему числу кибератак.

Я боюсь, что доступ к нашей инфраструктуре безопасности будь то явный или скрытый со стороны противников, может открыть дверь для доступа к уязвимостям в безопасности, сказала Шахин.

В своем письме от 7 декабря на имя Шахин Пентагон заявил, что "изучает обоснованность" требований к производителям о предоставлении доступа к исходному коду. Шахин обратилась с вопросами к Пентагону после публикации доклада Reuters о ArcSight, что также способствовало тому, что Micro Focus заявил о сокращении подобной практики в будущем. HPE заявила, что ни один из ее текущих продуктов не подвергался анализу с российской стороны.

Ламар Смит, республиканец и председатель комитета по научным, космическим и технологическим вопросам, заявил о необходимости создания законодательной базы, направленной на более качественное обеспечение федеральной цепочки поставок, имеющих отношение к кибербезопасности.

Большинство правительственных учреждений США отказались от комментариев, когда их спросили, знают ли они, что технологии, установленные в их сетях, были проверены российскими военными подрядчиками. Другие заявили, что безопасность имеет первостепенное значение, но они не могут комментировать использование конкретного программного обеспечения.

Пресс-секретарь Пентагона заявила, что постоянно контролирует коммерческие технологии, которые могут использоваться для ослабления безопасности.

Карандаши под запретом

Технологическим компаниям, которые хотят получить доступ к крупному российскому рынку, часто требуется получить сертификаты на свою продукцию от российских агентств, в том числе службы безопасности ФСБ и Федеральной службы по техническому и экспортному контролю России (ФСТЭК), оборонного ведомства, которому поручено противостоять кибер-шпионажу.

ФСТЭК отказалась от комментариев, ФСБ также не ответило на просьбы о представлении комментариев. Кремль перенаправил все вопросы ФСБ и ФСТЭК.

ФСТЭК часто требует, чтобы компании разрешали российскому государственному подрядчику проверять исходный код программного обеспечения.

SAP HANA, система баз данных, прошла проверку исходного кода, чтобы получить сертификацию в 2016 году, согласно российским нормативным документам. Программное обеспечение хранит и анализирует информацию для Государственного департамента, Службы внутренних доходов, НАСА и армии США.

Фото: www.swissinfo.ch

Пресс-секретарь SAP сказала, что любые обзоры исходного кода были проведены на безопасном, контролируемом компанией объекте, где записывающие устройства или даже карандаши "строго запрещены".

Все правительственные организации проходят идентичную процедуру без каких-либо исключений, заявила пресс-секретарь.

В то время как некоторые компании отказали России в доступе к проверке исходного кода своих продуктов, многие продукты используются в правительстве США годами, и на модернизацию этих технологий могут уйти десятиления.

По словам исполнительного директора Symantec компания прекратила все правительственные проверки исходного кода в 2016 году. Тем не менее, антивирусное программное обеспечение Symantec Endpoint Protection, которое было проверено Россией в 2012 году, по-прежнему используется Пентагоном, ФБР и Администрацией социального обеспечения, а также другими агентствами в соответствии с федеральными контрактами.

В своем заявлении пресс-секретарь Symantec заявил, что новейшая версия Endpoint Protection, выпущенная в конце 2016 года, не подвергалась сторонним проверкам, а более ранние версии были обновлены именно по причине проверок со стороны России. Калифорнийская компания заявила, что у нее нет оснований полагать, что предыдущие проверки поставили под угрозу безопасность продукта. Symantec продолжала продавать более старую версию до 2017 года и будет предоставлять обновления до 2019 года.

В прошлом году McAfee также объявила, что она больше не разрешит проверки исходного кода, санкционированные правительством.

McAfee подтвердила, что программное обеспечение SIEM было проверено московским государственным подрядчиком Echelon от имени ФСТЭК в 2015 году в соответствии с российскими нормативными документами.

Согласно документам Департамент казначейства и Служба охраны безопасности США, которому поручено охранять секретную военную информацию, продолжают использовать этот продукт для защиты своих сетей.

McAfee отказалась от комментариев, сославшись на соглашения о конфиденциальности, но ранее заявляла, что российские проверки проводились в принадлежащих компании помещениях в США.

Никому нельзя доверять

Echelon официальная лаборатория ФСБ, ФСТЭК и Министерства обороны России. Алексей Марков, президент Echelon, которая занималась проверкой кода ArcSight, сказал, что компании США часто выражали озабоченность процессом сертификации.

Были ли у них сомнения? Конечно! написалМарков. Чем меньше человек, принимающий решение, понимает в программировании, тем больше у него паранойи. Однако, в процессе уточнения деталей процедуры сертификации, опасения и риски сглаживаются.

Марков сказал, что его команда всегда уведомляет технические компании, прежде чем передавать все обнаруженные уязвимости российским властям, позволяя компаниям зафиксировать обнаруженный недостаток. Обзор исходного кода продуктов "значительно повышает их безопасность".

Крис Инглис, бывший заместитель директора Агентства национальной безопасности, министр Соединенных Штатов по кибер-шпионажу не согласен с данной позицией:

Когда вы сидите за карточным столом с профи, вы не доверяете никому, сказал он. Я бы никого не допускал к коду.
Один хлопок? Или же бурные овации? Хлопая больше или меньше, вы показываете, какой пост действительно чего-то стоит.
Natasha Che Люблю сноуборд и крипту
Комментарии