ArcSight to aplikacja monitorująca sieć komputerową pod kątem potencjalnych ataków hakerskich. Z jej usług korzysta między innymi cały sektor obronny w Stanach Zjednoczonych na czele z Pentagonem, a także szereg prywatnych firm. HP Enterprise, do niedawna właściciel tejże aplikacji, udostępnił w zeszłym roku kod źródłowy ArcSight rosyjskiej firmie Echeleon. Ta natomiast dokonywała jego analizy pod kątem obecności jakichkolwiek słabości na zlecenie Federalnej Służby Kontroli Technicznej i Eksportu.
Zasada działania oprogramowania ArcSight w teorii jest bardzo prosta, aplikacja monitoruje sieć komputerową pod kątem jakichkolwiek nieprawidłowości. Gdy tylko podejrzany ruch zostanie wykryty (w domyśle atak hakerski), powiadomione zostają osoby odpowiedzialne za bezpieczeństwo sieci. Niby jest to proste zadanie, ale przy tera, a może i petabajtach danych wymienianych w ogromnych sieciach rządowych, to bardzo wymagające zajęcie. Nie bez przyczyny od wielu lat z ArcSight korzysta między innymi amerykański Pentagon, a także szereg powiązanych instytucji. I chyba żadna nie będzie zadowolona z tego, że cały kod źródłowy programu został dokładnie przebadany przez Rosjan, co więcej według informacji Reutersa, Pentagon nie został o tym nawet poinformowany.
HP Enterprises udostępniło kod źródłowy oprogramowania firmie Echeleon bo był to jeden z warunków dopuszczenia aplikacji do sprzedaży w Federacji Rosyjskiej. Firma nie ukrywała nawet, że badała ArcSight pod kątem obecności potencjalnych dziur. Te mogły być zaimplementowane np. przez agencje bezpieczeństwa w Stanach Zjednoczonych. Jeśli program miał być dopuszczony do użytkowania przez rosyjskie agencje rządowe i spółki komercyjne, to musiał przejść proces certyfikacji. Echeleon robi takie badania od wielu lat, sprawdzał między innymi kody źródłowe programów Cisco Systems czy niemieckiego SAPa. Co ciekawe z obawy przed wykryciem luk bezpieczeństwa z certyfikacji zrezygnował Symantec, co w praktyce oznacza dla niego niemożność sprzedaży swoich produktów w Rosji.
Całej aferze smaczku dodaje też fakt, że sytuacja miała miejsce w zeszłym roku, w okresie kampanii prezydenckiej w Stanach Zjednoczonych. To właśnie w tym czasie pojawiło się wiele głosów o możliwości wpływu rosyjskich służb na wynik wyborów. Oczywiście nie da się udowodnić powiązania tamtych wydarzeń z działalnością HPE, ale zbieżność dat działa na wyobraźnie. Echeleon przyznał natomiast, że nie znalazł żadnych słabości w oprogramowaniu ArcSight i wydał swój certyfikat. Co więcej wedle zawartej umowy, spółka miało najpierw poinformować HPE o wykrytych problemach, a dopiero później miała przedstawić raport stronie rządowej. Dzisiaj z aplikacji ArcSight korzysta w Rosji wiele firm powiązanych z Kremlem, na czele z bankiem VTB, więc z biznesowego punktu widzenia decyzja była dobra.
Warto też odnotować fakt, że specjaliści z Rosji badali kod aplikacji w ośrodku rozwoju oprogramowania, który mieścił się poza granicami Federeacji. Kod nigdy nie opuścił terenu kompleksu HP Enterprise. Z drugiej strony Echeleon znany jest ze swojej współpracy z FSB, czyli rosyjskim wywiadem. Po lekturze kilkunastu książek szpiegowskich, jestem w stanie wyobrazić sobie sytuację gdy kod aplikacji zostaje wykradziony.
Wydaje mi się, że w całej tej sytuacji nie warto szukać sensacji. Rosjanie badali kod źródłowy nie pierwszej i nie ostatniej aplikacji (ciekawe czy nie chcieliby zbadać Windowsa... ;-)), a ArcSight pomimo tego, że jest ważnym elementem w systemach elektronicznego bezpieczeństwa, to nie jest jedynym zabezpieczeniem przed atakami. W całej sytuacji może zaskakiwać tylko postawa HPE, które nawet nie poinformowało Pentagonu, że poddało kod źródłowy swojej aplikacji inspekcji przez służby innego państwa. Nie było to wymagane w świetle zawartej umowy, ale biorąc pod uwagę sytuację z jaką mieliśmy od czynienia w zeszłym roku, może warto było wyjść przed szereg.
Na dobrą sprawę, teraz nie jest to już problem tej spółki, bo pod koniec roku dział cyberbezpieczeństwa został sprzedany brytyjskiej firmie Micro Focus. O tym jak ważnym produktem jest ArcSight w jej portfolio dowodzi fakt, że szacunkowo około połowa przychodów działu bezpieczeństwa, ocenianych na 800 mln USD, to sprzedaż właśnie tego oprogramowania. Pytanie jak ujawnione przez Reutersa informacje wpłynął na sprzedaż w przyszłości...
