Véget vetett annak a gyakorlatnak a McAfee, melynek keretei között lehetővé tette a külföldi kormányzatok számára, hogy betekinthessenek a vállalat termékeinek forráskódjába. Szóvivője révén a Reuters-nek adott interjújában elismerte, hogy bizonyos esetekben ez komoly biztonsági kockázatot jelent.
Kibújt a szög a zsákból
Megszokott eljárás szerte a világon, hogy a (biztonsági) szoftvereket az azokat hatalmas mennyiségben alkalmazni tervező – és kellő piaci erővel rendelkező – országok vezetése átvizsgáltatta saját szakértőivel. Arról kívánnak meggyőződni a kormányok, hogy a programokat más államok nem használják kémkedésre, azok telepítésével nem kerülnek külföldi érdekeket szolgáló hátsó kapuk a védeni hivatott rendszerekbe.
Míg ezzel az érthető törekvéssel eddig nem volt gondjuk a fejlesztők többségének, nemrég kiderült, hogy az oroszok ennél a vizsgálódásnál egy szinttel mélyebbre ástak. Moszkvát ugyanis nem csak az érdekelte, hogy ne legyen kiszolgáltatott saját kiberinfrastruktúrája, hanem az is, hogy rejlenek-e olyan sérülékenységek a forráskódban, melyeket aztán saját javára fordíthat. Ha ugyanis sikerül felfedeznie egy, a fejlesztő által sem ismert biztonsági rést, akkor az adott szoftver által védett hálózatok az oroszok számára könnyen hozzáférhetővé válnak.
Ez a gyakorlat azért mehetett eddig viszonylag szabadon, mert a hatalmas orosz piacra való bejutásért cserébe a nyugati fejlesztővállalatok engedtek saját, rigorózus hozzáállásukból (hasonló a helyzet egyébként Kínában is). A moszkvai vezetés könnyen diktálhatott, mert az erő pozíciójából tárgyal. Amelyik vállalat nem teljesíti ezt a kívánságot, az nem is álmodhat zsíros orosz állami megrendelésekről.
A részben a magánszférát is uraló rezsimmel való szembefordulás tehát a világ legnagyobb területű országából való kvázi kizáratást jelenti. Ezt pedig a folyamatos profitnövekedés kényszerétől hajtott vállalatok nagyja nem engedheti meg magának, még akkor sem, ha az orosz piac a fejlett országokhoz képest jócskán alacsonyabb fizetőképes keresletet jelent.
Már többen is léptek
Visszatérve a hátsó kapuk kereséséhez: még júniusban vált ismertté, hogyan zajlik egy szoftver átvizsgálása. Úgynevezett tiszta szobákban nézik át az adott program forrását, ami első látásra csupán a saját digitális infrastruktúra védelmi intézkedésének tűnik. Több IT-biztonsági szakértő és hivatalos amerikai kormányzati források is azt állítják azonban, hogy ezt a helyzetet egyben biztonsági rések kutatására is felhasználják. Könnyen belátható, hogy sokkal egyszerűbb úgy sebezhető pontokat találni egy-egy alkalmazásban, hogy annak forrása rendelkezésre áll, és nem kell különböző technikák segítségével visszafejteni (reverse engineering).
A McAfee azonban korábban a lehetőség beszüntetéséről döntött. Az Intel leányvállalatként működő cég áprilisban hagyott fel a gyakorlattal, az Inteltől való különválást követően. És nem egyedüliként: a Symantec júniusban határozta el magát hasonló lépésre. A sárga-fekete vállalat is arra jutott, hogy a továbbiakban nem teszi lehetővé az orosz kormányzat számára IT-biztonsági szoftverei forrásának áttanulmányozását.
A törekvés érthető, hiszen inkább az orosz piac vesszen el, mintsem az terjedjen el a vállalat termékeiről, hogy az nem használható az orosz hackerekkel szemben. Egy ilyen negatív vélemény kialakulása nem csak a presztízsét rombolhatná óriási mértékben egy IT-biztonsági cégnek, de szerte a világon visszaeső vagy egyenesen megszűnő rendelésekkel kellene számolnia.
Vannak még lyukak bőven
Mindazonáltal nem minden érintett ilyen óvatos. A Hewlett Packard Enterprise például egyáltalán nem aggódik – látszólag – az aggasztó trendek miatt. A HPE ugyanis még mindig lehetővé teszi az orosz Echelon vállalat számára, hogy ArcSight termékét biztonsági tesztelésnek vessék alá. Kérdés persze, hogy még meddig. Ha Donald Trump amerikai elnök elrendelhette a Kaspersky szoftvereinek száműzetését az amerikai kormányzati szférából – nem is ok nélkül -, akkor akár az orosz hackerek által átjáróházként használt egyéb szoftvereket is nemzetbiztonsági szempontból kockázatosnak ítélheti.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak