更多全球網路安全資訊盡在E安全官網www.easyaq.com
E安全2月2日訊 多家國際巨頭技術供應商(包括SAP、賽門鐵克以及麥克菲等)已允許俄羅斯當局對其安全產品進行調查, 旨在找出深嵌其中的安全性漏洞, 其中多個軟體產品正在被美國政府所使用。
美國國會議員與安全專家們認為, 這至少對十餘個美國聯邦機構的電腦網路安全產生負面影響, 且此次事件所涉及的企業與政府機構在數量上可謂史無前例。
美國為何擔心安全產品被俄羅斯審查?
為了打開俄羅斯市場, 這些技術企業允許俄羅斯國防機構檢查部分產品的內部運作機制。 俄羅斯當局則表示, 相關審查工作主要用於發現可能被駭客所利用的安全性漏洞。 同樣的產品目前正被用於保護美國政府當中一些最為敏感的機構, 例如美國五角大樓、美國宇航局、美國國務院、美國聯邦調查局(FBI)以及其它各類情報機構,
2017年10月, 惠普公司(HPE)允許俄羅斯政府審查其 ArcSight 網路安全軟體的原始程式碼。 而五角大樓正好是用這套系統來保護他們的電腦網路。 HPE允許俄羅斯審查該系統代碼是其獲得向俄羅斯私營企業銷售產品的條件之一。
如今, 路透社對數百家美國聯邦政府機構的採購檔及俄羅斯審查記錄進行了調查, 發現俄羅斯原始程式碼審查工作可能給美國政府帶來的潛在風險比預想的更為廣泛。
除了五角大樓之外, 至少還有七家政府機構正在使用 ArcSight, 其中包括美國國家情報總署以及國務院下轄的情報部門。 此外, 由SAP、賽門鐵克以及麥克菲公司開發,
麥克菲、SAP、賽門鐵克以及英國企業Micro Focus(目前為ArcSight的持有方)皆表示, 全部原始程式碼審查工作皆在軟體發展商的監督下, 立足安全設施之內進行, 且不可對代碼進行刪除或更改。 廠商們強調, 審查流程不會對產品的安全性造成危害。
賽門鐵克與麥克菲不再接受此類評估隨著各方對這一舉措的擔憂日益升級, 賽門鐵克與麥克菲已經不再接受此類評估, 而Micro Focus公司2017年也大幅減少了這類工作。
五角大樓方面在首次公佈的寫給美國民主黨參議員珍妮·沙欣的函件(tmsnrt.rs/2C6o2p2)中提到, 俄羅斯與中國進行的原始程式碼審查“可能説明這些國家發現相關產品中的安全性漏洞。
路透社方面並沒有發現憑藉原始程式碼審查與網路攻擊活動存在關聯的證據, 部分安全專家們指出, 駭客更有可能利用其它方式實現網路系統滲透。
五角大樓方面並非惟一對此表示擔憂的機構, 美國私營部門網路專家、前美國安全官員以及多家美國科技企業在採訪中透露, 允許俄羅斯對產品原始程式碼進行審查有可能暴露未知安全性漏洞, 進而引發針對美國網路防禦體系的破壞性行為。
Trend Micro公司(向美國陸軍提供TippingPoint安全軟體)網路防禦執行副總裁史蒂夫·關表示, 即使僅允許對方查看原始程式碼一分鐘, 結果也將非常危險。 考慮到這些可能影響到美國政府的安全風險, Trend Micro公司拒絕俄羅斯方面對TippingPoint進行原始程式碼審查的要求, 頂級安全研究人員完全可以通過檢查原始程式碼快速發現可利用的安全性漏洞。
自2014年以來, 俄羅斯與美國因喀什米爾問題兩國關係陷入低谷。 美國指責俄羅斯在這一階段大肆發動網路攻擊,莫斯科方面則對這種說法予以堅決否認。
部分美國立法者擔心原始程式碼審查可能成為莫斯科方面實施網路攻擊的另一種重要切入點。美國民主黨參議員沙欣在接受採訪時表示,敵方可能已經打開了有害安全性漏洞的大門,並得以借此訪問美國的安全基礎設施。
五角大樓要求供應商報告“原始程式碼”被查情況在2017年12月7日致沙欣的信中,五角大樓表示其正在“探索可行性”,要求各供應商披露曾何時允許外國政府訪問其產品原始程式碼。沙欣曾質疑五角大樓在ArcSight報導公佈後的作法,此舉曾迫使Micro Focus公司表示將在未來收緊政府買家的原始程式碼審查行為。HPE公司亦強調,其目前的產品皆未接受過俄羅斯方面的原始程式碼審查。
美國眾議院科學、空間與技術委員會主席、共和黨人拉馬爾·史密斯表示,目前顯然需要通過立法以進一步保護聯邦政府的網路安全供應鏈。
在被問及是否清楚其內部網路中使用的技術產品有沒有經過俄羅斯軍事承包商的檢查時,大多數美國政府部門拒絕作出評論。部分機構則表示,目前無法就正在使用的特定軟體作出回應。五角大樓方面的一位發言人表示,該部門正持續監控所使用的商業技術以追蹤其中的安全性漏洞。
美國重要機構仍在使用多個被俄羅斯審查的軟體
各技術企業期待著能夠進入龐大的俄羅斯市場,但其首先需要想辦法通過產品認證這一關,包括從俄羅斯安全局(FSB)以及俄羅斯技術與出口管制局(FSTEC)處獲得認可。FSTEC方面拒絕對此事發表評論,FSB也沒有回應置評請求,克里姆林宮的態度是:“有事請找FSTEC與FSB”。FSTEC通常要求企業允許俄羅斯政府指定的承包商對軟體原始程式碼進行測試。
SAP HANA資料庫系統根據俄羅斯方面的監管記錄,SAP HANA資料庫系統就曾為了在2016年獲得認證而接受原始程式碼審查,該軟體同時亦負責對美國國務院、美國國稅局、美國宇航局以及美國陸軍的資訊進行存儲與分析。
SAP公司的一位發言人表示,一切原始程式碼審查都會在安全的、有監督的設施當中進行,審查人員不可攜帶任何記錄設備,甚至連鉛筆都屬於“嚴格禁止”的範疇。各政府與政務部門都將接受同樣的約束,不存在任何例外。
儘管部分企業已經不再允許俄羅斯政府審查其產品的原始程式碼,但曾接受檢查的產品大多仍存留於美國政府當中,且可能還需要幾十年時間才會被全部淘汰。
Endpoint Protection反病毒軟體賽門鐵克公司首席執行官在2017年10月接受採訪時表示,相關安全擔憂迫使該公司於2016年停止了全部政府原始程式碼審查活動。但根據路透社調查的聯邦政府合同記錄,曾於2012年由俄羅斯政府審查過的賽門鐵克Endpoint Protection反病毒軟體目前仍在被五角大樓、聯邦調查局以及社會保障局等機構所廣泛使用。
賽門鐵克公司發言人在一份聲明中表示,2016年末發佈的最新版本Endpoint Protection從未接受過原始程式碼審查,且自接受俄羅斯政府測試之後,該早期版本已經經歷了多次更新。這家位於加利福尼亞州的企業表示,目前沒有理由擔心早先的審查對產品安全存在影響。賽門鐵克公司在2017年繼續銷售舊有版本,並將在2019年之前提供更新。
SIEM軟體麥克菲公司2017年也曾宣佈,將不再批准由政府授權的原始程式碼審查活動。根據俄羅斯方面的監管檔,麥克菲公司的安全資訊與事件管理(SIEM)軟體曾於2015年由俄羅斯指定的政府承包商Echelon代表FSTEC進行審查。麥克菲方面也承認了此事。根據採購記錄來看,美國財政部與國防安全部目前仍在利用這款產品保護自身網路。
麥克菲公司引用客戶保密協定拒絕對此作出評論,但其此前曾表示俄羅斯的審查工作是在該公司位於美國的場所進行的。
ArcSight軟體在其網站上,Echelon公司將自身描述為FSB、FSTEC以及俄羅斯國防部的官方實驗室。Echelon公司總裁阿列克謝·瑪律科夫也對ArcSight的原始程式碼進行了審查,並表示美國企業最初通常會對認證過程表示擔憂。決策者對程式設計層面的情況瞭解得越少,立場就越是偏執,實際上認證程式擁有非常明確的執行流程,不會造成任何風險。”
瑪律科夫指出,他的團隊在向俄羅斯當局移交所發現的任何安全性漏洞之前,都會預先通知相關技術公司,允許其修復檢測到的漏洞。他表示,對產品原始程式碼進行審查“顯著提升了其產品的安全性”。
前美國國家安全局副局長克裡斯·英格利斯則對這一觀點表示反對。他表示,“在面對這群老手時,你不可相信任何人。我就不會向任何人展示自己的代碼。”
美國指責俄羅斯在這一階段大肆發動網路攻擊,莫斯科方面則對這種說法予以堅決否認。部分美國立法者擔心原始程式碼審查可能成為莫斯科方面實施網路攻擊的另一種重要切入點。美國民主黨參議員沙欣在接受採訪時表示,敵方可能已經打開了有害安全性漏洞的大門,並得以借此訪問美國的安全基礎設施。
五角大樓要求供應商報告“原始程式碼”被查情況在2017年12月7日致沙欣的信中,五角大樓表示其正在“探索可行性”,要求各供應商披露曾何時允許外國政府訪問其產品原始程式碼。沙欣曾質疑五角大樓在ArcSight報導公佈後的作法,此舉曾迫使Micro Focus公司表示將在未來收緊政府買家的原始程式碼審查行為。HPE公司亦強調,其目前的產品皆未接受過俄羅斯方面的原始程式碼審查。
美國眾議院科學、空間與技術委員會主席、共和黨人拉馬爾·史密斯表示,目前顯然需要通過立法以進一步保護聯邦政府的網路安全供應鏈。
在被問及是否清楚其內部網路中使用的技術產品有沒有經過俄羅斯軍事承包商的檢查時,大多數美國政府部門拒絕作出評論。部分機構則表示,目前無法就正在使用的特定軟體作出回應。五角大樓方面的一位發言人表示,該部門正持續監控所使用的商業技術以追蹤其中的安全性漏洞。
美國重要機構仍在使用多個被俄羅斯審查的軟體
各技術企業期待著能夠進入龐大的俄羅斯市場,但其首先需要想辦法通過產品認證這一關,包括從俄羅斯安全局(FSB)以及俄羅斯技術與出口管制局(FSTEC)處獲得認可。FSTEC方面拒絕對此事發表評論,FSB也沒有回應置評請求,克里姆林宮的態度是:“有事請找FSTEC與FSB”。FSTEC通常要求企業允許俄羅斯政府指定的承包商對軟體原始程式碼進行測試。
SAP HANA資料庫系統根據俄羅斯方面的監管記錄,SAP HANA資料庫系統就曾為了在2016年獲得認證而接受原始程式碼審查,該軟體同時亦負責對美國國務院、美國國稅局、美國宇航局以及美國陸軍的資訊進行存儲與分析。
SAP公司的一位發言人表示,一切原始程式碼審查都會在安全的、有監督的設施當中進行,審查人員不可攜帶任何記錄設備,甚至連鉛筆都屬於“嚴格禁止”的範疇。各政府與政務部門都將接受同樣的約束,不存在任何例外。
儘管部分企業已經不再允許俄羅斯政府審查其產品的原始程式碼,但曾接受檢查的產品大多仍存留於美國政府當中,且可能還需要幾十年時間才會被全部淘汰。
Endpoint Protection反病毒軟體賽門鐵克公司首席執行官在2017年10月接受採訪時表示,相關安全擔憂迫使該公司於2016年停止了全部政府原始程式碼審查活動。但根據路透社調查的聯邦政府合同記錄,曾於2012年由俄羅斯政府審查過的賽門鐵克Endpoint Protection反病毒軟體目前仍在被五角大樓、聯邦調查局以及社會保障局等機構所廣泛使用。
賽門鐵克公司發言人在一份聲明中表示,2016年末發佈的最新版本Endpoint Protection從未接受過原始程式碼審查,且自接受俄羅斯政府測試之後,該早期版本已經經歷了多次更新。這家位於加利福尼亞州的企業表示,目前沒有理由擔心早先的審查對產品安全存在影響。賽門鐵克公司在2017年繼續銷售舊有版本,並將在2019年之前提供更新。
SIEM軟體麥克菲公司2017年也曾宣佈,將不再批准由政府授權的原始程式碼審查活動。根據俄羅斯方面的監管檔,麥克菲公司的安全資訊與事件管理(SIEM)軟體曾於2015年由俄羅斯指定的政府承包商Echelon代表FSTEC進行審查。麥克菲方面也承認了此事。根據採購記錄來看,美國財政部與國防安全部目前仍在利用這款產品保護自身網路。
麥克菲公司引用客戶保密協定拒絕對此作出評論,但其此前曾表示俄羅斯的審查工作是在該公司位於美國的場所進行的。
ArcSight軟體在其網站上,Echelon公司將自身描述為FSB、FSTEC以及俄羅斯國防部的官方實驗室。Echelon公司總裁阿列克謝·瑪律科夫也對ArcSight的原始程式碼進行了審查,並表示美國企業最初通常會對認證過程表示擔憂。決策者對程式設計層面的情況瞭解得越少,立場就越是偏執,實際上認證程式擁有非常明確的執行流程,不會造成任何風險。”
瑪律科夫指出,他的團隊在向俄羅斯當局移交所發現的任何安全性漏洞之前,都會預先通知相關技術公司,允許其修復檢測到的漏洞。他表示,對產品原始程式碼進行審查“顯著提升了其產品的安全性”。
前美國國家安全局副局長克裡斯·英格利斯則對這一觀點表示反對。他表示,“在面對這群老手時,你不可相信任何人。我就不會向任何人展示自己的代碼。”