Hewlett Packard Enterprise tillatt en russisk forsvar handlefrihet til å gjennomgå den interne driften av cyber defence programvare som brukes av Pentagon for å beskytte sine pc-nettverk, ifølge russiske lover registre og intervjuer med personer med direkte kjennskap til saken.
Den HPE systemet, som kalles ArcSight, fungerer som en cyber-sikkerhet nervesenteret for mye av det AMERIKANSKE forsvaret, varsling analytikere når det oppdager at datamaskinen systemer kan ha kommet under angrep. ArcSight er også mye brukt i privat sektor.
Den russiske gjennomgang av ArcSight kildekode, tett bevoktet interne instrukser av programvaren, var en del av HPE ‘ s forsøk på å vinne sertifisering som kreves for å selge produktet til Russlands offentlig sektor, i henhold til de regulatoriske records sett av Reuters og bekreftet av et selskap som er talskvinne.
Seks tidligere US intelligence tjenestemenn, samt tidligere ArcSight ansatte og uavhengig sikkerhet eksperter, sa kildekoden gjennomgang kan bidra til Moskva oppdage svakheter i programvaren, kan hjelpe angripere å blinde de AMERIKANSKE militære styrkene til et cyber-angrep.
“Det er et stort sikkerhetsproblem,” sa Greg Martin, en tidligere security arkitekt for ArcSight. “Du er definitivt noe som gir indre tilgang og potensielle utnytter til en fiende.”
Til tross for den potensielle risikoen for Pentagon, ingen Reuters snakket med var klar over noen hacks eller cyber spionasje som ble gjort mulig av vurderingsprosessen.
Den ArcSight gjennomgang fant sted i fjor, på et tidspunkt da Washington ble anklaget Moskva for et økende antall av cyber-angrep mot Amerikanske selskaper, AMERIKANSKE politikere og offentlige etater, inkludert Pentagon. Russland har gjentatte ganger benektet påstandene.
Saken fremhever en økende spenning for OSS-teknologi for bedrifter som må vurdere sin rolle som beskyttere av OSS cyber-sikkerhet mens du fortsetter å utøve virksomhet med Washington ‘ s motstandere, slik som Russland og Kina, sier sikkerhetseksperter.
‘Backdoor sårbarheter’
Gjennomgangen ble utført av en Gruppe, et selskap med tette bånd til den russiske, militære, på vegne av Russlands Føderale Tjeneste for Teknisk og Eksport Kontroll (FSTEC), et forsvar byrået i oppdrag med å møte cyber spionasje.
Gruppe-president og majoritetseier Alexey Markov sa i en e-post til Reuters at han er pålagt å rapportere eventuelle sårbarheter teamet hans oppdager til den russiske regjeringen.
Men han sa at han gjør dette kun etter varsling utvikleren av problemet og få sin tillatelse til å offentliggjøre sårbarhet. Gruppe-ikke gi detaljer om HPE kildekode gjennomgang, som siterer en non-disclosure avtalen med selskapet.
FSTEC bekreftet Markov konto, sier i en uttalelse at russiske testing laboratorier umiddelbart informere utenlandske utviklere hvis de oppdager sårbarheter, før du sender inn en rapport til regjeringen “database av informasjon sikkerhetstrusler.”
En grunn til Russland forespørsler vurderinger før slik at salg til offentlige etater og statlige selskaper er å sikre at AMERIKANSKE etterretningstjenesten har ikke plassert spion verktøy i programvaren.
HPE sa nei “backdoor sårbarheter” ble oppdaget i den russiske anmeldelse. Det nektet å gi ytterligere detaljer.
HPE sa det lar russiske regjeringen-akkreditert testing selskaper til å skrive en anmeldelse kildekoden for å vinne den russiske forsvaret sertifiseringer det er behov for å selge produkter til Russlands offentlig sektor.
En HPE talskvinne sa kildekoden anmeldelser er utført av den russiske testing selskapet på en HPE forskning og utvikling center utenfor Russland, der programvaren maker tett fører tilsyn med prosessen. Ingen kode er tillatt å forlate lokalet, og HPE har gjort slike vurderinger i Russland i mange år, sa hun.
Disse tiltakene sikre “vår kilde kode og produkter er på ingen måte i fare,” sa hun.
Noen sikkerhet eksperter sier at å studere kildekoden til et produkt som ville gjøre det langt lettere for en anmelder å oppdage sårbarheter i koden, selv om de ikke forlot stedet med en kopi av koden.
I en 2014 forskning papir, Gruppe-styret sa selskapet oppdaget sikkerhetsproblemer i 50 prosent av de utenlandske og russiske programvare er det gjennomgått.
Likevel, sikkerhet analytikere sa kildekoden gjennomgang alene, selv om det ga informasjon om sårbarheter, ville ikke gi hackere enkel oppføring i militære systemer. For å infiltrere militære nettverk, hackere må først overkomme en rekke andre sikkerhetstiltak, for eksempel brannmurer, sa Alan Paller, grunnlegger av the SANS Institute, som tog cybersecurity analytikere
Paller sa også HPE beslutning om å tillate gjennomgangen var ikke overraskende. Hvis tech selskaper som HPE ønsker å gjøre forretninger i Russland, “de egentlig ikke har noe valg,” sa han.
HPE nektet å oppgi størrelsen av sin virksomhet i Russland, men den russiske regjeringen anbud poster viser ArcSight er nå brukt av en rekke statlige virksomheter og selskaper nær Kreml, inkludert VTB Bank og Rossiya Segodnya media group.
Uansett om kunden er Russland eller Usa, oversett feil i programvare-koden kan tillate utenlandske regjeringer og hackere å trenge en brukers datamaskin.
Å utnytte sårbarheter som finnes i ArcSight kildekode kunne gjengi det i stand til å oppdage at det militære nettverket var under angrep, sa Allen Pomeroy, en tidligere ArcSight ansatt som har hjulpet kunder med å bygge opp deres cyber defense systems.
“Et svar til angrep ville da være ærlig talt umulig,” Pomeroy sa.
Den HPE talskvinne sa Reuters spørsmål om den potensielle sårbarheter var “hypotetiske og spekulative i naturen.”
HPE nektet å si om det, sa Pentagon i den russiske gjennomgang, men sier selskapet “alltid sikrer våre kunder er holdt orientert om eventuelle utviklingstrekk som kan påvirke dem.”
En talskvinne for Pentagons Defense Information Systems Agency, som opprettholder den militære nettverk, sa HPE ikke avsløre anmeldelse til den AMERIKANSKE byrået. Militære kontrakter ikke spesifikt krever at leverandørene skal avsløre om utenlandske nasjoner har gjennomgått kildekode, talskvinne sa.
De AMERIKANSKE militære byrå i seg selv ikke krever en kilde kode gjennomgang før du kjøper ArcSight, og generelt er det ikke plass for slike krav på tech selskaper for off-the-sokkel programvare som ArcSight, Pentagon talskvinne sa. I stedet, DISA evaluerer sikkerheten standarder som brukes av leverandører, sa hun.
‘Alle er fornøyd’
Gruppe opererer som en offisiell laboratorium og programvare tester av FSTEC og Russlands FSB spy agency, ifølge russiske offentlige registre av testing laboratorier og programvare sertifiseringer anmeldt av Reuters. AMERIKANSK etterretning har anklaget FSB for å hjelpe mount cyber-angrep mot Usa og forstyrrende i 2016 presidentvalget.
Markov, Gruppe-president, forsvarte anmeldelser, å si at “hvis en sårbarhet er funnet, er alle glade” fordi de oppdaget feilen betyr laboratorium eksperter er “i stand til å vise sine kvalifikasjoner” og “utbygger er glad for at feilen ble oppdaget, siden ved å fikse det produktet vil bli bedre.”
Russland i de siste årene har trappet opp krav til kildekoden anmeldelser som er et krav for å gjøre forretninger i landet, Reuters rapportert i juni.
En rekke internasjonale selskaper, inkludert Cisco Systems Inc., verdens største nettverk gear maker, og tyske programvaren gigantiske SAP, har blitt enige om å vurderinger, selv om andre, inkludert cybersecurity firmaet Symantec, har nektet på grunn av sikkerheten.
Cyber defense bolverk
US government procurement poster viser ArcSight brukes som en nøkkel cyberdefense bolverk over mye av den AMERIKANSKE militære inkludert Hæren, luftforsvaret og Sjøforsvaret. For eksempel, ArcSight brukes til å vokte Pentagon ‘ s Secret Internet Protocol Router Network (SIPRNet), som brukes til å utveksle gradert informasjon, i henhold til militære anskaffelser-poster.
Pentagon talskvinne avslått å kommentere på risikoene ved spesifikke produkter til sine nettverk, men sa at all programvare som brukes av DISA er “grundig evaluert for sikkerhetsrisikoer,” og kontinuerlig overvåket når de er deployert.
Opprettet i 2000 som et selvstendig selskap, ArcSight brøt ny mark ved at store organisasjoner for å motta real-time varsler om potensielle cyber inntrengere.
Programvaren trekker aktivitet poster fra servere, brannmurer, og enkelte datamaskiner over et nettverk, opp til flere hundre tusen per sekund. Systemet søker etter mistenkelige mønstre, for eksempel et høyt antall av mislykkede påloggingsforsøk innenfor et par sekunder, og varsler analytikere.
Et tiår senere, ArcSight hadde blitt “kjernen” cyber network defense-verktøyet Pentagons analytikere “stole på å forsvare DoD nettverk,” DISA sa i 2011 ArcSight innkjøp forespørsel.
I dag ArcSight er en nesten uerstattelig verktøy for mange deler av det AMERIKANSKE militære, i hvert fall for den umiddelbare fremtid, Pentagon kan dokumenteres.
“HP ArcSight programvare og maskinvare som er så innebygd,” Pentagons logistikk agency skrev i April at det ikke kunne vurdere andre konkurrenter “fraværende en overhaling av den nåværende IT-infrastruktur.”
HPE avtalt siste året for å selge ArcSight og andre sikkerhetsprodukter til å Britiske tech selskap Micro Focus International Plc i en transaksjon, som ble gjennomført i September.
Jason Schmitt, nåværende leder av ArcSight divisjon, sa produktet utgjør litt mindre enn halvparten av $800 millioner kroner (rundt Rs. 5,247 crores) i årlige inntekter Micro Fokus forventer å få fra sikkerhetsprogramvare for business kjøpt fra HPE.
Schmitt sa han ikke kunne kommentere noen kilde kode gjennomgang som fant sted før i år, da han tok jobben, men understreket slike anmeldelser øyeblikket ikke finne sted. Micro Fokus ikke svare på forespørsler for kommentar på om det ville gjøre det mulig for Russland å gjøre lignende kildekoden anmeldelser i fremtiden, eller om Micro Fokus ledere visste om gjennomgang før oppkjøpet.
© Thomson Reuters 2017