Számos kormányzat él azzal a kikötéssel a világon, hogy több tíz- vagy százezres mennyiségben való alkalmazása előtt átvizsgálhassák az IT-biztonsági megoldások forráskódját. Moszkva eközben titokban ennél tovább megy...
Hirdetés
 

Véget vetett annak a gyakorlatnak a McAfee, melynek keretei között lehetővé tette a külföldi kormányzatok számára, hogy betekinthessenek a vállalat termékeinek forráskódjába. Szóvivője révén a Reuters-nek adott interjújában elismerte, hogy bizonyos esetekben ez komoly biztonsági kockázatot jelent.

Kibújt a szög a zsákból

Megszokott eljárás szerte a világon, hogy a (biztonsági) szoftvereket az azokat hatalmas mennyiségben alkalmazni tervező – és kellő piaci erővel rendelkező – országok vezetése átvizsgáltatta saját szakértőivel. Arról kívánnak meggyőződni a kormányok, hogy a programokat más államok nem használják kémkedésre, azok telepítésével nem kerülnek külföldi érdekeket szolgáló hátsó kapuk a védeni hivatott rendszerekbe.

Míg ezzel az érthető törekvéssel eddig nem volt gondjuk a fejlesztők többségének, nemrég kiderült, hogy az oroszok ennél a vizsgálódásnál egy szinttel mélyebbre ástak. Moszkvát ugyanis nem csak az érdekelte, hogy ne legyen kiszolgáltatott saját kiberinfrastruktúrája, hanem az is, hogy rejlenek-e olyan sérülékenységek a forráskódban, melyeket aztán saját javára fordíthat. Ha ugyanis sikerül felfedeznie egy, a fejlesztő által sem ismert biztonsági rést, akkor az adott szoftver által védett hálózatok az oroszok számára könnyen hozzáférhetővé válnak.

Ez a gyakorlat azért mehetett eddig viszonylag szabadon, mert a hatalmas orosz piacra való bejutásért cserébe a nyugati fejlesztővállalatok engedtek saját, rigorózus hozzáállásukból (hasonló a helyzet egyébként Kínában is). A moszkvai vezetés könnyen diktálhatott, mert az erő pozíciójából tárgyal. Amelyik vállalat nem teljesíti ezt a kívánságot, az nem is álmodhat zsíros orosz állami megrendelésekről.

A részben a magánszférát is uraló rezsimmel való szembefordulás tehát a világ legnagyobb területű országából való kvázi kizáratást jelenti. Ezt pedig a folyamatos profitnövekedés kényszerétől hajtott vállalatok nagyja nem engedheti meg magának, még akkor sem, ha az orosz piac a fejlett országokhoz képest jócskán alacsonyabb fizetőképes keresletet jelent.

Már többen is léptek

Visszatérve a hátsó kapuk kereséséhez: még júniusban vált ismertté, hogyan zajlik egy szoftver átvizsgálása. Úgynevezett tiszta szobákban nézik át az adott program forrását, ami első látásra csupán a saját digitális infrastruktúra védelmi intézkedésének tűnik. Több IT-biztonsági szakértő és hivatalos amerikai kormányzati források is azt állítják azonban, hogy ezt a helyzetet egyben biztonsági rések kutatására is felhasználják. Könnyen belátható, hogy sokkal egyszerűbb úgy sebezhető pontokat találni egy-egy alkalmazásban, hogy annak forrása rendelkezésre áll, és nem kell különböző technikák segítségével visszafejteni (reverse engineering).

A McAfee azonban korábban a lehetőség beszüntetéséről döntött. Az Intel leányvállalatként működő cég áprilisban hagyott fel a gyakorlattal, az Inteltől való különválást követően. És nem egyedüliként: a Symantec júniusban határozta el magát hasonló lépésre. A sárga-fekete vállalat is arra jutott, hogy a továbbiakban nem teszi lehetővé az orosz kormányzat számára IT-biztonsági szoftverei forrásának áttanulmányozását.

A törekvés érthető, hiszen inkább az orosz piac vesszen el, mintsem az terjedjen el a vállalat termékeiről, hogy az nem használható az orosz hackerekkel szemben. Egy ilyen negatív vélemény kialakulása nem csak a presztízsét rombolhatná óriási mértékben egy IT-biztonsági cégnek, de szerte a világon visszaeső vagy egyenesen megszűnő rendelésekkel kellene számolnia.

Vannak még lyukak bőven

Mindazonáltal nem minden érintett ilyen óvatos. A Hewlett Packard Enterprise például egyáltalán nem aggódik – látszólag – az aggasztó trendek miatt. A HPE ugyanis még mindig lehetővé teszi az orosz Echelon vállalat számára, hogy ArcSight termékét biztonsági tesztelésnek vessék alá. Kérdés persze, hogy még meddig. Ha Donald Trump amerikai elnök elrendelhette a Kaspersky szoftvereinek száműzetését az amerikai kormányzati szférából – nem is ok nélkül -, akkor akár az orosz hackerek által átjáróházként használt egyéb szoftvereket is nemzetbiztonsági szempontból kockázatosnak ítélheti.

Nem mintha az oroszok jelentenék az egyetlen fenyegetést az Egyesült Államok informatikai rendszerére...

Biztonság

Nyakunkon az összehajtható Samsung okostelefon?

Egy véletlennek köszönhetően hullott le a lepel egy kísérleti készülékről.
 
A magánszektorban az egyetlen út a sikeres üzletmenethez az ügyfélen keresztül vezet. Ha értjük, mit akar, igényeit hatékonyan és gyorsan ki tudjuk elégíteni, akkor nincs menekvés a növekvő bevétel elől.

a melléklet támogatója a TOPdesk

Hirdetés

Agilis módszerek a szolgáltatás-menedzsmentben

Számos szervezet hozott olyan stratégiai döntést, hogy mindent agilis módszerek alapján kell csinálni. Az a felismerés indokolta ezt, hogy az elégedett ügyfelek és egy működő végtermék fontosabbak, mint a folyamatok vagy szerződések. A szolgáltatásmenedzsment területén ez különösen lényeges.

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2017 Bitport.hu Média Kft. Minden jog fenntartva.