Most kezd világossá válni Amerikában, hogy mennyire súlyos a biztonsági kockázata annak, hogy egyes külföldi szoftvercégek engedélyezték forráskódjuk ellenőrzését az oroszoknak. A szoftvergyártót ugyanis nem feltétlenül értesítik az összes felderített biztonsági résről, amiket így később kiberkémekedésre, hackertámadásra is lehet használni.

Az oroszok által vizsgált szoftverek egy része ugyanis mélyen bele van ágyazódva az amerikai kormányzati rendszerekbe. A Reuters szerint még nem történt olyan hackertámadás, amit így felfedezett biztonsági rés segítségével hajtottak volna végre, de a lehetőség bármikor adott.

Kellett a pénz, aztán mégsem

Tavaly a Bitport is foglalkozott azzal, hogy az orosz hatóságok arra kötelezték a külföldi szoftverszállítókat, hogy adjanak hozzáférést biztonsági termékeik forrásához, hogy abban felderíthessék az esetleges backdoorokat. Bár eredetileg csak a biztonsági termékekre (tűzfal, vírusvédelem, titkosítás stb.) vonatkozott az előírás, más szoftvereket is vizsgáltak arra kijelölt orosz laborok.

Olyan cégek is engedélyezték ez, mint például a McAfee vagy a Symantec. Később a két biztonsági cég visszavonta ezt az engedélyt. Ebben valószínűleg szerepe volt a Symantec élén tavaly történ vezetőváltásnak is. A Symantec élére 2016 augusztusában kinevezett Greg Clark azonnal leállította ezt a gyakorlatot. Clark tavaly a Reutersen részletesen is elmagyarázta az indokait. Mint mondta, elképzelhetetlennek tartja, hogy pont egy olyan termék forráskódjába engedjen bepillantást akár csak egy kormánynak is, amely a védelmet szolgálja. Főleg egy olyan korszakban, amikor a nagy hackerakciók mögött gyakran épp kormányok állnak.

A Trend Micro sokkal óvatosabb volt. Mint hálózati biztonsági megoldásokért felelős alelnöke, Steve Quane mondta, eleve nem is engedélyezték a TippingPoint nevű termékük forráskódjának ellenőrzését az oroszoknak (a terméket az amerikai hadsereg is használja), mert pontosan tudják, hogy a jó biztonsági kutató nagyon gyorsan meg tudja találni a kihasználható biztonsági réseket egy szoftver forráskódjában, hiszen ők maguk is alkalmaznak ilyen embereket.

Bár a biztonsági szoftverek a legizgalmasabb terület (amint azt a Kaspersky példája is fényesen igazolt), a Reuters szerint nem csak biztonsági szoftvereket érintett a vizsgált, hanem például az SAP Hana forráskódjába is belenézhettek az oroszok. Szintén érintett a HPE ArcSight, a már a Micro Focus tulajdonában lévő SIEM (Security Information and Event Management) szoftver. A Reuters készített is egy táblázatot arról, hogy a vizsgált programokat hol használják az amerikai kormányzatban.

Utólag kezdenek aggódni

Hiába vonta vissza engedélyét a Symantec és a McAfee, illetve hiába szigorította az ellenőrzés feltételeit utólag a Micro Focus, az amerikai hatóságoknak is egyre nyilvánvalóbb, mekkora kockázatot jelent ez az akárcsak múltbeli gyakorlat az állami szervek informatikai rendszereinek biztonságára. Az esetlegesen feltárt backdoorokat az oroszok simán ki tudják használni az amerikai kormányzati szervek rendszerei elleni kibertámadásban. Az említett szoftverek ugyanis széles körben elterjedtek az USA kormányzati intézményeiben, sok esetben nemzetbiztonsági szempontból kiemelten fontos területen is (Pentagon, FBI, NASA stb.).

A veszély ráadásul nem hárul el azzal, hogy valamelyik cég visszavonja az engedélyt. Túlságosan hosszú idő telik el addig, amíg annyit változik a forráskód, hogy egy korábbi kiadását ne lehessen felhasználni akár rossz célokra is.

A szoftvercégek, melyek továbbra is lehetővé teszik a forráskód ellenőrzését, ugyanakkor állítják, hogy a vizsgálat az ő felügyeletükkel, szigorúan szabályozott körülmények között történik, így nem jelent nemzetbiztonsági kockázatot. Erre hivatkozott az SAP és a Micro Focus szóvivője, míg a Symantec arra, hogy az Endpoint Protection egy 2012-es változatát vizsgálhatták csak az oroszok, a 2016-ban megjelent kiadás már nem esett át semmiféle ilyen kódellenőrzésen.

Amerika lépéskényszerben

Az is az amerikai védelmet gyengíti, hogy az USA kormánya többnyire kereskedelmi termékeket vásárol, és ritkán kér hozzáférést ellenőrzés céljából a forráskódhoz.

Ugyanakkor egyre többen vélik úgy, hogy nem csak a forráskód ellenőrzésére kellene jobban odafigyelni a kormányzati vásárlásoknál, hanem arra is, hogy az adott termék forráskódját ellenőrizte-e valamely külföldi kormányzati szerv (a kínaiak is hasonló gyakorlatot követnek – és régebb óta is –, mint az oroszok).

A Reuters egyébként megkereste az egyik legismertebb orosz labort is. Az Echelont, amely minden megnyilatkozásában hangsúlyozza függetlenségét, megbízhatóságát a Symantec azonban épp azért tiltotta le forráskódja ellenőrzését, mert szerintük teljesen átláthatatlan, hogy milyen kapcsolatban állnak az orosz kormánnyal.

A Reuters megkérdezte az amerikai vádakról az orosz cég vezetőjét, Alekszej Markovot is, aki szerint ez csak azoknak a döntéshozóknak a paranoiája, aki nem értik a programozást. Pedig szerinte a folyamat teljesen világos és átlátható. Ráadásul mielőtt a sérülékenységek listáját átadják a kormányzati szerveknek, a cégnek hagynak időt azok kijavítására.

Erre Chris Inglis, az NSA egyik korábbi igazgatóhelyettese csak annyit mondott, amikor kártyázol, akkor sem mutatod meg senkinek a lapjaidat. Így kell eljárni a forráskóddal is.