12

Rosjanie badali kod źródłowy oprogramowania używanego przez Pentagon

ArcSight to aplikacja monitorująca sieć komputerową pod kątem potencjalnych ataków hakerskich. Z jej usług korzysta między innymi cały sektor obronny w Stanach Zjednoczonych na czele z Pentagonem, a także szereg prywatnych firm. HP Enterprise, do niedawna właściciel tejże aplikacji, udostępnił w zeszłym roku kod źródłowy ArcSight rosyjskiej firmie Echeleon. Ta natomiast dokonywała jego analizy pod kątem obecności jakichkolwiek słabości na zlecenie Federalnej Służby Kontroli Technicznej i Eksportu.

Zasada działania oprogramowania ArcSight w teorii jest bardzo prosta, aplikacja monitoruje sieć komputerową pod kątem jakichkolwiek nieprawidłowości. Gdy tylko podejrzany ruch zostanie wykryty (w domyśle atak hakerski), powiadomione zostają osoby odpowiedzialne za bezpieczeństwo sieci. Niby jest to proste zadanie, ale przy tera, a może i petabajtach danych wymienianych w ogromnych sieciach rządowych, to bardzo wymagające zajęcie. Nie bez przyczyny od wielu lat z ArcSight korzysta między innymi amerykański Pentagon, a także szereg powiązanych instytucji. I chyba żadna nie będzie zadowolona z tego, że cały kod źródłowy programu został dokładnie przebadany przez Rosjan, co więcej według informacji Reutersa, Pentagon nie został o tym nawet poinformowany.

Po co Rosjanie badali ArcSight?

HP Enterprises udostępniło  kod źródłowy oprogramowania firmie Echeleon bo był to jeden z warunków dopuszczenia aplikacji do sprzedaży w Federacji Rosyjskiej. Firma nie ukrywała nawet, że badała ArcSight pod kątem obecności potencjalnych dziur. Te mogły być zaimplementowane np. przez agencje bezpieczeństwa w Stanach Zjednoczonych. Jeśli program miał być dopuszczony do użytkowania przez rosyjskie agencje rządowe i spółki komercyjne, to musiał przejść proces certyfikacji. Echeleon robi takie badania od wielu lat, sprawdzał między innymi kody źródłowe programów Cisco Systems czy niemieckiego SAPa. Co ciekawe z obawy przed wykryciem luk bezpieczeństwa z certyfikacji zrezygnował Symantec, co w praktyce oznacza dla niego niemożność sprzedaży swoich produktów w Rosji.

Konsola aplikacji ArcSight

Konsola aplikacji ArcSight, źródło: YouTube

Całej aferze smaczku dodaje też fakt, że sytuacja miała miejsce w zeszłym roku, w okresie kampanii prezydenckiej w Stanach Zjednoczonych. To właśnie w tym czasie pojawiło się wiele głosów o możliwości wpływu rosyjskich służb na wynik wyborów. Oczywiście nie da się udowodnić powiązania tamtych wydarzeń z działalnością HPE, ale zbieżność dat działa na wyobraźnie. Echeleon przyznał natomiast, że nie znalazł żadnych słabości w oprogramowaniu ArcSight i wydał swój certyfikat. Co więcej wedle zawartej umowy, spółka miało najpierw poinformować HPE o wykrytych problemach, a dopiero później miała przedstawić raport stronie rządowej. Dzisiaj z aplikacji ArcSight korzysta w Rosji wiele firm powiązanych z Kremlem, na czele z bankiem VTB, więc z biznesowego punktu widzenia decyzja była dobra.

Warto też odnotować fakt, że specjaliści z Rosji badali kod aplikacji w ośrodku rozwoju oprogramowania, który mieścił się poza granicami Federeacji. Kod nigdy nie opuścił terenu kompleksu HP Enterprise. Z drugiej strony Echeleon znany jest ze swojej współpracy z FSB, czyli rosyjskim wywiadem. Po lekturze kilkunastu książek szpiegowskich, jestem w stanie wyobrazić sobie sytuację gdy kod aplikacji zostaje wykradziony.

Cyberbezpieczeństwo jest kwestią dobrych praktyk

Wydaje mi się, że w całej tej sytuacji nie warto szukać sensacji. Rosjanie badali kod źródłowy nie pierwszej i nie ostatniej aplikacji (ciekawe czy nie chcieliby zbadać Windowsa… ;-)), a ArcSight pomimo tego, że jest ważnym elementem w systemach elektronicznego bezpieczeństwa, to nie jest jedynym zabezpieczeniem przed atakami. W całej sytuacji może zaskakiwać tylko postawa HPE, które nawet nie poinformowało Pentagonu, że poddało kod źródłowy swojej aplikacji inspekcji przez służby innego państwa. Nie było to wymagane w świetle zawartej umowy, ale biorąc pod uwagę sytuację z jaką mieliśmy od czynienia w zeszłym roku, może warto było wyjść przed szereg.

Na dobrą sprawę, teraz nie jest to już problem tej spółki, bo pod koniec roku dział cyberbezpieczeństwa został sprzedany brytyjskiej firmie Micro Focus. O tym jak ważnym produktem jest ArcSight w jej portfolio dowodzi fakt, że szacunkowo około połowa przychodów działu bezpieczeństwa, ocenianych na 800 mln USD, to sprzedaż właśnie tego oprogramowania. Pytanie jak ujawnione przez Reutersa informacje wpłynął na sprzedaż w przyszłości…

  • Dima Noizinfected

    Bardzo dobrze ze udostepnili kod zrodlowy, jak dla mnie mogliby zrobic nawet Open Source by caly informatyczny swiat mogl zweryfikowac skutecznosc aplikacji. Udostepnienie kodu zrodlowego aplikacji nie wplywa na bezpieczenstwo dzialajacej jej instancji, ale pozwala przeanalizowac ja od srodka i wskazac ewentualne dziury i bledy. Takie bledy moga byc potem zalatane, i wydana aktualizacja dla Pentagonu i Rosji jednocześnie. Pozwala tez stwierdzic doswiadczenie i umiejetnosci jej programistow, co od frontu nigdy nie jest widoczne.

    Jeszcze warto wskazac dobra procedure Rosjan ktore wymagaja kodu zrodlowego aplikacji przed wdrozeniem jej do swoich systemow infomatycznych. Nie jak polski ZUS ;)

    • Daniel Stawicki

      Chyba że osoba badajaca kod nie powie o odkrytych lukach tylko napisze dla siebie exploity i zacznie z nich kożystać.

    • Marian Paździoch syn Józefa

      Ale w przypadku oprogramowania Open Source kod analizują steki tysięcy programistów z całego świata więc taki błąd znajda też inni.

    • Tylko to nie jest oprogramowanie open source, a sprawdzanie kodu odbywało się w kontrolowanych warunkach. Jeśli jednak Echeleon znalazł jakieś luki i się nimi nie podzielił z HPE, to nie można tego nawet udowodnić.

    • Dima Noizinfected

      Wniosek – uzywac Open Source xD

    • Daniel Stawicki

      Chyba nie wiesz co piszesz. To że kod OS mogą przeglądac miliony nie znaczy że tak się dzieje. Kod jest przeglądany przez garstkę ludzi i nie muszą wszystkiego wychwycić.

    • Webmajster

      Dokładnie. To jest ta różnica między teorią a praktyką. Ale elementy OS są też audytowane, dlatego ważne są takie firmy jak Red Hat i Canonical.

    • Daniel Stawicki

      Tego nie zaprzeczam, po prostu ślepa wiara że jak coś jest OS to jest bezpieczne i wszyscy na to patrzą jest zwyczajną bzdurą.

  • TacioTomcio

    Symantec mógł się również obawiać, że odkryte zostaną backdoory które z kolei działają na zlecenie rządu amerykańskiego :) choć o takowych pewnie Rosjanie już wiedzą…

    • BloodMan

      To samo sobie pomyślałem…

  • nontech rules tech :(

    Biedne korporacje i rządy wierzące w „Security by obscurity”

  • aaa2

    HP dobrze wiedziało co robi – udostępniło kod jakby nie patrzeć najlepszym specjalistom z terenu Europy środkowo – wschodniej. To logiczne, że nie zlecili tego firmie z Indii :)
    A dla służb wywiadu pozyskanie aplikacji i dokonanie inspekcji przez inżynierię wsteczną to też nie jest jakiś rocket science. Dlatego mamy tak wiele ataków na dziury zaimplementowane na zlecenie tępych polityków, którym się wydaje, że są sprytni.