Hewlett Packard Virksomheden må en russisk defense agency til at gennemgå de indre funktioner af cyber-forsvar software, der bruges af Pentagon til at beskytte sin computer netværk, ifølge den russiske regulerende registreringer og interviews med mennesker med direkte kendskab til sagen.
Den HPE system, kaldet ArcSight, fungerer som en cyber-sikkerhed nerve center for meget af det AMERIKANSKE militær, der advarer analytikere, når det registrerer, at edb-systemer kan være kommet under angreb. ArcSight er også udbredt i den private sektor.
Den russiske gennemgang af ArcSight kildekode, tæt bevogtet interne instrukser af den software, var en del af HPE ‘ s forsøg på at vinde certificering kræves for at sælge produktet til Ruslands offentlige sektor i henhold til de lovgivningsmæssige registreringer set af Reuters og bekræftet af et selskab, talskvinde.
Seks tidligere AMERIKANSKE efterretningsofficerer, samt tidligere ArcSight medarbejdere og uafhængige sikkerhedseksperter, sagde source code review kunne hjælpe Moskva opdage svagheder i software, der potentielt hjælpe fjernangribere at blinde af det AMERIKANSKE militær til et cyber-angreb.
“Det er en kæmpe sikkerhedsrisiko,” sagde Greg Martin, en tidligere sikkerhed arkitekt for ArcSight. “Du er helt sikkert give adgang indre og potentiale kan udnyttes til en modstander.”
På trods af de potentielle risici for Pentagon, ingen Reuters talte med, var klar over nogen hacks eller cyber-spionage, der var muliggjort af review-processen.
Den ArcSight gennemgang fandt sted sidste år, på et tidspunkt, hvor Washington var anklager Moskva for et stigende antal cyber-angreb mod Amerikanske virksomheder, AMERIKANSKE politikere og offentlige myndigheder, herunder forsvarsministeriet. Rusland har gentagne gange afvist beskyldningerne.
Sagen sætter fokus på et voksende spænding for OS teknologiske virksomheder, der skal veje deres rolle som beskyttere af OS cyber-sikkerhed, samtidig med at udøve virksomhed med Washington ‘ s fjender som Rusland og Kina, siger sikkerhedseksperter.
‘Bagdør sårbarheder’
Gennemgangen blev foretaget af Echelon, en virksomhed med tætte bånd til det russiske militær, på vegne af Ruslands Føderale Tjeneste for Tekniske og Eksport-Kontrol (FSTEC), et forsvar agenturet har til opgave at imødegå cyber-spionage.
Echelon formand, og de fleste ejer Alexey Markov sagde i en e-mail til Reuters, at han er forpligtet til at indberette eventuelle sårbarheder hans holdet opdager, at den russiske regering.
Men han sagde, at han gør det kun, efter at advare software udvikleren af problemet og få sin tilladelse til at offentliggøre sårbarhed. Echelon ikke give oplysninger om HPE source code review, citerer en non-disclosure aftale med virksomheden.
FSTEC bekræftet Markov ‘ s konto, siger i en erklæring, at russiske test laboratorier straks underrette udenlandske udviklere, hvis de opdage sårbarheder, før du indsender en rapport til en regering, “database af information security trusler.”
En af grundene Rusland forespørgsler, anmeldelser, før den tillader salg til offentlige institutioner og statslige virksomheder er at sikre, at AMERIKANSKE efterretningstjenester har ikke placeret spy værktøjer i software.
HPE sagde nej “bagdør sårbarheder blev opdaget i det russiske anmeldelse. Det afviste at give yderligere detaljer.
HPE sagde, at det giver mulighed for russiske regering-akkrediteret prøvning virksomheder at gennemgå kildekoden for at vinde det russiske forsvar certificeringer er det nødvendigt at sælge produkter til Rusland offentlige sektor.
En HPE talskvinde sagde, at kildekoden anmeldelser er udført af den russiske test selskab på en HPE forsknings-og udviklingscenter uden for Rusland, hvor den software maker nøje overvåger processen. Ingen kode er tilladt at forlade stedet, og HPE har tilladt en sådan anmeldelser i Rusland i år, sagde hun.
Disse foranstaltninger sikrer, “vores kilde-kode og produkter er på ingen måde i fare,” sagde hun.
Nogle sikkerhedseksperter siger, at studere kildekoden af et produkt vil gøre det langt nemmere for en korrekturlæser til at spotte sårbarheder i koden, selv om de ikke forlade stedet med en kopi af koden.
I 2014 forskning papir, Echelon direktører sagde selskabet opdagede sårbarheder i 50 procent af de udenlandske og russiske software, den har gennemgået.
Stadig, sikkerhed analytikere sagde source code review alene, selv om det gav information om sårbarheder, ville ikke give hackere nem adgang til de militære systemer. At infiltrere militære netværk, hackere vil først er nødt til at overvinde en række andre sikkerhedsforanstaltninger, såsom firewalls, sagde Alan Paller, grundlægger af den SANS Institute, som tog cybersecurity analytikere
Paller også sagde HPE ‘ s beslutning om at tillade, at revisionen ikke var overraskende. Hvis tech virksomheder som HPE ønsker at gøre forretning i Rusland, “at de ikke rigtig har noget valg,” sagde han.
HPE afvist at afsløre størrelsen af sin virksomhed i Rusland, men den russiske regering bud optegnelser viser, ArcSight er nu bruges af en række af de statslige virksomheder og selskaber tæt på Kreml, herunder VTB Bank og Rossiya Segodnya media group.
Uanset om kunden er Rusland eller Usa, overset fejl i software-kode kan tillade, at udenlandske regeringer og hackere til at trænge ind i brugerens computer.
At udnytte sårbarheder fundet i ArcSight kildekode kunne gøre det i stand til at opdage, at den militære netværket var under angreb, siger Allen Pomeroy, en tidligere ArcSight medarbejder, der hjalp kunderne med at opbygge deres cyber defense systems.
“En reaktion på angrebet vil derefter være ærlig talt umuligt,” Pomeroy sagde.
Den HPE talskvinde sagde til Reuters, at ” spørgsmål om de potentielle sårbarheder blev “hypotetiske og spekulativ karakter.”
HPE afviste at sige, om det fortalte Pentagon i den russiske anmeldelse, men sagde, at selskabet “altid sikrer vores kunder er holdt underrettet om enhver udvikling, der kan påvirke dem.”
En talskvinde for Pentagons Defense Information Systems Agency, som fastholder den militære netværk, siger HPE ikke oplyse anmeldelse til den AMERIKANSKE agentur. Militære kontrakter, der ikke specifikt kræver, at leverandører til at afsløre, om udenlandske nationer har gennemgået kildekode, talskvinde.
Det AMERIKANSKE militær agenturet i sig selv ikke kræver en source code review, før du køber ArcSight og generelt ikke, at sådanne krav på tech virksomheder til off-the-shelf software som ArcSight, Pentagon talskvinde. I stedet, DISA er en evaluering af de sikkerhedsmæssige standarder, der anvendes af sælgere, sagde hun.
‘Alle er glade
Echelon fungerer som et officielt laboratorium og software tester af FSTEC og Ruslands FSB spion agentur, ifølge den russiske regering registre af prøvningslaboratorier og software certificeringer anmeldt af Reuters. Den AMERIKANSKE efterretningstjeneste har anklaget FSB for at hjælpe mount cyber-angreb mod Usa og blande sig i 2016 præsidentvalg.
Markov, Echelon ‘ s præsident, forsvarede de anmeldelser, der siger, at “hvis en sårbarhed er fundet, alle er glade”, fordi de konstaterede fejl betyder, laboratorie-eksperter, som er “i stand til at dokumentere deres kvalifikationer” og “bygherren er glad for, at en fejl blev opdaget, da der ved fastsættelse af det, vil produktet blive bedre.”
Rusland i de seneste år har øget krav til kildekoden anmeldelser som et krav for at drive forretning i landet, Reuters rapporterede i juni.
En række internationale virksomheder, herunder Cisco Systems Inc, verdens største netværk gear-og kaffefaciliteter, og tyske software-gigant SAP, har aftalt, at de anmeldelser, selv om andre, herunder cybersecurity-firmaet Symantec, har nægtet på grund af sikkerhedsmæssige bekymringer.
Cyber defense bolværk
Den AMERIKANSKE regering indkøb optegnelser viser, ArcSight er anvendes som en nøglen cyberdefense bolværk over store dele af det AMERIKANSKE militær, herunder Hæren, flyvevåbnet og Søværnet. For eksempel, ArcSight bruges til at beskytte Pentagon ‘ s Secret Internet Protocol Router Netværk (SIPRNet), som bruges til udveksling af klassificerede oplysninger, i henhold til militære indkøb optegnelser.
Pentagon-talsmand afviser at kommentere på, at risici i forbindelse med specifikke produkter til sit netværk, men sagde, at al software, der anvendes af DISA er “grundigt evalueret for sikkerhed risici,” og løbende overvåges, når de er indsat.
Oprettet i 2000 som et selvstændigt selskab, ArcSight brød nye veje ved at lade store organisationer til at modtage real-time advarsler om potentielle cyber indtrængen.
Den software, der trækker aktivitet optegnelser fra servere, firewalls, og de enkelte computere på et netværk, der er op til flere hundrede tusinde per sekund. Systemet søger derefter efter mistænkelige mønstre, såsom et højt antal mislykkede login-forsøg inden for et par sekunder, og advarer analytikere.
Et årti senere, ArcSight var blevet “kernen” cyber-netværk forsvar af Pentagon ‘ s analytikere “stole på at forsvare DoD netværk,” DISA sagde i 2011 ArcSight indkøb anmodning.
I dag ArcSight er et næsten uundværligt værktøj for mange dele af det AMERIKANSKE militær, i det mindste for den nærmeste fremtid, Pentagon poster vis.
“HP ArcSight software og hardware er så indlejret,” Pentagon ‘ s logistik agentur skrev i April, at det ikke kunne tage hensyn til andre konkurrenter, der “mangler et eftersyn af den nuværende IT-infrastruktur.”
HPE blev enige om sidste år at sælge ArcSight og andre sikkerhedsprodukter til British tech firma Micro Focus International Plc i en transaktion, der blev afsluttet i September.
Jason Schmitt, den nuværende leder af ArcSight division, sagde produktet udgør lidt mindre end halvdelen af de 800 millioner dollar (omkring Rs. 5,247 crorer) i årlige indtægter Micro Focus forventer at få ud af den sikkerhed, software virksomhed, der er købt fra HPE.
Schmitt sagde, at han ikke kunne kommentere på nogen source code review, der fandt sted før dette år, da han tog jobbet, men understregede, at en sådan anmeldelser i øjeblikket ikke finde sted. Micro Focus ikke reagere på anmodninger om en kommentar på, om det ville gøre det muligt for Rusland at gøre, tilsvarende kildekode anmeldelser i fremtiden, eller om Micro Focus ledere vidste, at gennemgå forud for erhvervelsen.
© Thomson Reuters 2017