January 26, 2018 / 10:36 AM / 7 months ago

ЭКСКЛЮЗИВ-Технологические компании позволили России изучить ПО, широко используемое правительством США

ВАШИНГТОН/МОСКВА (Рейтер) - Ведущие мировые разработчики программного обеспечения SAP, Symantec и McAfee разрешили российским властям изучить на предмет уязвимостей ПО, широко используемое правительством США, показало расследование, проведенное Рейтер.

An illustration picture shows a projection of binary code on a man holding a laptop computer, in an office in Warsaw June 24, 2013. REUTERS/Kacper Pempel

Это чревато угрозами для безопасности компьютерных сетей как минимум десятка федеральных агентств США, сказали американские законодатели и эксперты в области безопасности. Кроме того, в этот процесс оказалось вовлечено большее количество компаний и правительственных организаций, чем сообщалось ранее.

Технологические компании позволили российскому оборонному ведомству проанализировать исходный код - строго охраняемые внутренние команды - некоторых своих продуктов, чтобы получить возможность продавать их на российском рынке. Власти РФ говорят, что анализ необходим, чтобы выявить потенциальные уязвимости, которые могут быть использованы хакерами (Графика: tmsnrt.rs/2sZudWT).

Однако эти же продукты используются для защиты некоторых наиболее значимых американских правительственных организаций, включая Пентагон, НАСА, Госдепартамент, ФБР и другие спецслужбы, от взломов, которые могут осуществить основные соперники США в киберпространстве, такие как Россия.

В октябре Рейтер сообщил, что компания Hewlett Packard Enterprise позволила российскому оборонному ведомству, тесно связанному со спецслужбами РФ, изучить функционирование программы киберзащиты ArcSight, используемой для защиты компьютеров Пентагона.

Теперь Рейтер изучил сотни документов о госзакупках США, а также данные из российского реестра, которые указали на гораздо больший масштаб распространения потенциальных рисков для американского правительства, исходящих от анализа исходного кода Россией.

Помимо Пентагона, ArcSight используют как минимум семь других американских правительственных структур, включая Управление директора национальной разведки США и разведывательное подразделение Госдепартамента, показал анализ Рейтер. Кроме того, софт SAP, Symantec и McAfee, функционирование которого изучили российские власти, используют как минимум восемь правительственных организаций США. В некоторых используются сразу несколько из четырех продуктов. (Графика: tmsnrt.rs/2C30rp8)

McAfee, SAP, Symantec и Micro Focus, британская технологическая компания, которая теперь владеет ArcSight, сообщили, что все анализы исходного кода проводились под контролем производителя ПО на охраняемых объектах, где код не мог быть изменен и которые нельзя было покинуть с его копией. Этот процесс не угрожает безопасности продукта, сообщили компании. На волне растущих беспокойств вокруг этой процедуры Symantec и McAfee прекратили разрешать проведение подобного анализа, а Micro Focus резко ограничила его в конце 2017 года.

В письме, которое было направлено Пентагоном сенатору-демократу Джин Шахин и которое ранее не публиковалось (tmsnrt.rs/2C6o2p2), военное ведомство США сообщило, что анализ исходного кода Россией и Китаем "может помочь подобным странам выявить уязвимости в этих продуктах".

Рейтер не обнаружил случаев, когда анализ исходного кода сыграл какую-либо роль в кибератаках, а некоторые эксперты в области безопасности говорят, что хакеры, скорее, найдут другие способы проникнуть в компьютерные системы.

Однако беспокойство выражает не только Пентагон. Частные эксперты в области кибербезопасности, бывшие сотрудники американских спецслужб и несколько технологических компаний США сообщили Рейтер, что анализ Россией исходного кода может выявить неизвестные ранее уязвимости, которые могут быть использованы для подрыва безопасности американских компьютерных сетей.

“Крайне опасно позволять людям даже на минуту взглянуть на исходный код”, - сказал Стив Куэйн, исполнительный вице-президент по сетевой защите Trend Micro, которая поставляет американским военным защитное ПО TippingPoint.

Из-за опасений о подобных рисках для американского правительства Trend Micro отказалась позволить России провести анализ исходного кода TippingPoint, сказал Куэйн.

По его словам, ведущие исследователи в области кибербезопасности, просто посмотрев исходный код, могут быстро выявить уязвимости, которые можно использовать.

“Мы знаем, что есть люди, которые на это способны, потому что такие люди у нас работают”, - сказал он.

ОТКРЫТАЯ ДВЕРЬ

Россия неоднократно анализировала исходный код продуктов технологических компаний после 2014 года, когда отношения РФ и США сильно ухудшились после аннексии Москвой Крыма. Страны Запада обвиняют Россию в том, она стала намного чаще прибегать к кибератакам в этот период. Москва отрицает обвинения.

Некоторые американские законодатели опасаются, что анализ исходного кода может стать для Москвы новой отправной точкой для осуществления кибератак.

“Я боюсь, что доступ наших соперников к инфраструктуре нашей системы защиты - скрытый или открытый - уже мог открыть дверь для вредоносных уязвимостей безопасности”, - сказала Рейтер Шахин.

В письме, адресованном Шахин и датированном 7 декабря, Пентагон сообщил, что “рассматривает возможность” обязать поставщиков сообщать о случаях, когда они позволяют зарубежным правительствам получать доступ к исходному коду. После статьи Рейтер о программе ArcSight Шахин направила Пентагону ряд вопросов об этой процедуре, а Micro Focus сообщила, что в будущем ограничит анализ исходного кода зарубежными правительствами. HPE сообщила, что Россия не проводила анализ исходного кода ни одного из действующих продуктов компании.

Ламар Смит, председатель комитета по науке, космосу и технологиям Палаты представителей США, сказал, что для того чтобы гарантировать безопасность при госзакупках ПО, нужны законодательные меры.

Большинство американских правительственных организаций отказались дать комментарии в ответ на вопрос, знали ли они, что ПО, используемое в их компьютерных сетях, изучали российские структуры, связанные с Минобороны РФ.

Представитель Пентагона сказала, что ведомство постоянно проверяет используемые им коммерческие технологии на предмет уязвимостей.

КАРАНДАШИ ЗАПРЕЩЕНЫ

Технологическим компаниям, желающим получить доступ к крупному рынку России, нередко требуется пройти сертификацию своей продукции у российских ведомств, включая Федеральную службу безопасности (ФСБ) и Федеральную службу по техническому и экспортному контролю (ФСТЭК), на которую возложены обязанности по противодействию кибершпионажу.

ФСТЭК отказалась от комментариев, а ФСБ не ответила на запросы Рейтер. Кремль перенаправил все вопросы ФСБ и ФСТЭК.

ФСТЭК зачастую требует, чтобы компании позволяли российским правительственным подрядчикам протестировать исходный код своего программного обеспечения.

Платформа SAP HANA прошла анализ исходного кода для сертификации в 2016 году, свидетельствуют данные из российского реестра. Эта система хранит и анализирует информацию для Госдепартамента, Налогового управления, НАСА и вооруженных сил.

Представитель SAP сообщила, что любое рассмотрение исходного кода проводится в охраняемом помещении, находящемся под наблюдением компании, куда “строго запрещается” проносить записывающие устройства или даже карандаши.

“Это относится ко всем правительствам и правительственным организациям без исключения”, - сказала она.

Хотя некоторые компании в итоге отказались разрешать России анализировать исходный код своего ПО, те же продукты во многих случаях по-прежнему используются правительством США, которому могут потребоваться десятилетия на модернизацию технологий.

Из соображений безопасности Symantec в 2016 году запретила правительствам проводить анализы исходного кода, сказал Рейтер глава Symantec в октябре. Но антивирусное ПО Symantec Endpoint Protection, которое Россия проанализировала в 2012 году, остается в эксплуатации у Пентагона, ФБР и Службы социального обеспечения США, а также ряда других агентств, свидетельствуют данные реестра федеральных контрактов, с которыми ознакомился Рейтер.

В заявлении представителя Symantec говорится, что самая последняя версия Endpoint Protection, выпущенная в конце 2016 года, никогда не подвергалась анализу исходного кода, а более ранняя версия неоднократно обновлялась с тех пор, как была протестирована Россией. Базирующаяся в Калифорнии компания сообщила, что у нее нет оснований считать, что проведенные ранее анализы могли поставить под угрозу безопасность ее продукции. Symantec продолжала продавать более старую версию в 2017 году и собирается представлять обновления до 2019 года включительно.

McAfee также объявила в прошлом году, что больше не намерена разрешать проведение анализов исходного кода по поручению правительств.

Выпускаемое компанией ПО Security Information and Event Management (SIEM) было проанализировано в 2015 году базирующемся в Москве правительственным подрядчиком Эшелон по запросу ФСТЭК, свидетельствуют данные регуляторов РФ. McAfee подтвердила эту информацию.

Министерство финансов США и Служба безопасности министерства обороны продолжают использовать этот продукт для защиты своих сетей, по данным реестра контрактов.

McAfee отказалась от комментариев, ссылаясь на соглашения о конфиденциальности, но ранее компания сообщала о проведении Россией анализов в помещениях компании в США.

“НИКОМУ НЕЛЬЗЯ ДОВЕРЯТЬ”

На своем сайте Эшелон описывает себя как официальная лаборатория ФСБ, ФСТЭК и Минобороны РФ. Алексей Марков, президент Эшелона, который также изучал исходный код ArcSight, сказал, что американские компании поначалу часто выражают обеспокоенность по поводу процесса сертификации.

“Были (сомнения в безопасности)? Да не то слово!” - написал Марков, отвечая на вопрос Рейтер по электронной почте.

“Чем меньше лицо, принимающее решение, понимает в программировании, тем больше у него паранойя. Однако в процессе выяснения деталей проведения процедуры сертификации опасения и риски нивелируются”.

По словам Маркова, его команда всегда уведомляет технологические компании, прежде чем передать российским властям информацию о каких-либо выявленных уязвимостях, позволяя фирмам исправить обнаруженный изъян. Анализ исходного кода значительно повышает их безопасность, отметил он.

С этим не согласен Крис Инглис, бывший заместитель директора Агентства национальной безопасности США.

“Если вы сидите за одним игровым столом с “акулами”, никому нельзя доверять, - сказал он. - Я бы не стал кому-то показывать этот код”.

Перевели Марина Боброва и Вера Сосенкова. Редактор перевода Антон Колодяжный

0 : 0
  • narrow-browser-and-phone
  • medium-browser-and-portrait-tablet
  • landscape-tablet
  • medium-wide-browser
  • wide-browser-and-larger
  • medium-browser-and-landscape-tablet
  • medium-wide-browser-and-larger
  • above-phone
  • portrait-tablet-and-above
  • above-portrait-tablet
  • landscape-tablet-and-above
  • landscape-tablet-and-medium-wide-browser
  • portrait-tablet-and-below
  • landscape-tablet-and-below