Россия получила доступ к системе киберзащиты, используемой Пентагоном

Система HPE, называемая ArcSight, служит в качестве центра кибербезопасности для большинства американских военных, предупреждая аналитиков о том, что компьютерные системы, возможно, подверглись нападению. ArcSight также широко используется в корпоративном секторе.

Российский обзор исходного кода компании ArcSight, тщательно охраняемого внутренними инструкциями программного обеспечения, был частью усилий, предпринятых чтобы выиграть сертификат, необходимый для продажи продукции в государственном секторе России, в соответствии с нормативным документами, изученными Reuters.

Шесть бывших сотрудников спецслужб США, а также бывшие сотрудники ArcSight и независимые эксперты в области безопасности заявили, что обзор исходного кода мог бы помочь Москве найти слабые места в программном обеспечении, потенциально помогая злоумышленникам, для осуществления военной кибератаки США.

“Это огромная уязвимость для безопасности, - сказал Грег Мартин, бывший специалист безопасности компании Аrcsight. - Вы, безусловно, дали противнику доступ к внутренней и потенциальной уязвимости.”

Несмотря на потенциальные риски для Пентагона, никто не говорил о каких-либо взломах или кибершпионаже, которые были возможными в процессе обзора.

Обзор ArcSight состоялся в прошлом году в то время, когда Вашингтон обвинял Москву в растущем количестве кибератак против американских компаний, американских политиков и правительственных учреждений, включая Пентагон. Россия неоднократно отрицала эти обвинения.

Дело подчеркивает растущую напряженность для американских технологических компаний, которые должны балансировать свою роль в качестве защитников кибербезопасности США, продолжая вести бизнес с противниками Вашингтона, такими как Россия и Китай.

Потенциальные уязвимости

Обзор был проведен Echelon, компанией, имеющей тесные связи с российскими военными, от имени Федеральной службы по техническому и экспортному контролю (ФСТЭК) - агентством, которое занимается вопросами борьбы с кибершпионажем.

Президент Echelon и мажоритарный владелец Алексей Марков заявил в письме Reuters, что он обязан сообщать о любых уязвимостях, обнаруженных его командой российскому правительству.

Но он сказал, что сделает это только после оповещения разработчика программного обеспечения о проблеме и получения его разрешения раскрыть уязвимость. Echelon не предоставил подробностей о проверке исходного кода HPE, ссылаясь на соглашение с компанией о неразглашении.

ФСТЭК подтвердили учетную запись Маркова, заявив в заявлении, что российские лаборатории немедленно информируют иностранных разработчиков о выявленных ими уязвимостях перед представлением в правительство “базы данных об угрозах информационной безопасности.”

Одна из причин, по которой Россия запрашивает отзывы, прежде чем разрешать продажи государственным органам и государственным компаниям, заключается в противодействии помещения спецслужбами США шпионских инструментов в программное обеспечение.

HPE сказали, что в России не были обнаружены “потенциальные уязвимости”. Они отказались предоставить более подробную информацию.

HPE сказали, что исследование аккредитованными учреждениями российского правительства исходного кода позволит компании получить сертификаты для продажи товаров в государственном секторе России.

По словам представителя компании HPE, обзоры исходного кода проводятся российской компанией по тестированию в научно-исследовательском центре HPE за пределами России, где производитель программного обеспечения внимательно следит за процессом. Ни один код не разглашается, и HPE разрешает такие исследования России на протяжении многих лет.

Эти меры гарантируют, что ”наш исходный код и продукты никоим образом не будут скомпрометированы", - сказала она.

Некоторые эксперты по безопасности говорят, что изучение исходного кода продукта значительно облегчит обнаружение уязвимостей в коде, даже если исследователи не покинут сайт с копией кода.

В исследовательской работе 2014 года, по словам директоров Echelon, компания обнаружила уязвимость в 50 процентах иностранного и российского программного обеспечения, которое она рассмотрела.

Тем не менее, аналитики безопасности заявили, что обзор исходного кода в одиночку, даже если он дал информацию об уязвимостях, не даст хакерам возможность легкого входа в военные системы. Чтобы проникнуть в военные сети, хакерам необходимо сначала преодолеть ряд других мер безопасности, таких как брандмауэры, заявил Алан Паллер, основатель института Sans, который готовит аналитиков кибербезопасности.

Паллер также сказал, что решение HPE разрешить обзор не было удивительным. Если такие технологические компании, как HPE, хотят заниматься бизнесом в России, ”у них нет выбора”, - сказал он.

HPE отказались раскрывать размеры своего бизнеса в России, но российские правительственные тендерные отчеты показывают, что ArcSight в настоящее время используется рядом государственных фирм и компаний, близких к Кремлю, в том числе ВТБ Банком и медиагруппой "Россия сегодня".

Будь то Россия или США, упущенные ошибки в программном коде могут позволить иностранным правительствам и хакерам проникнуть в компьютер пользователя.

Изучение уязвимостей, обнаруженных в исходном коде ArcSight, может сделать невозможным обнаружение того, что сеть военных подверглась атаке, сказал Аллен Померой, бывший сотрудник ArcSight, который помогал клиентам создавать системы киберзащиты.

”Ответ на атаку был бы тогда откровенно невозможен", - сказал Померой.

Пресс-секретарь НРЕ ответил Reuters, что потенциальная уязвимость носит “гипотетический и спекулятивный характер.”

HPE отказались сказать, сообщили ли они Пентагону о российском обзоре, но сказали, что компания “всегда гарантирует, что наши клиенты будут в курсе любых событий, которые могут повлиять на них.”

Пресс-секретарь агентства информационных систем обороны Пентагона, которое поддерживает военные сети, заявил, что HPE не говорили об обзоре американскому агентству. Военные контракты не требуют от поставщиков информации о разглашении пересмотра исходного кода иностранными государствами, по словам пресс-секретаря.

Само военное ведомство США не требовало проверки исходного кода перед покупкой ArcSight и, как правило, не предъявляет таких требований к технологическим компаниям для внедренного программного обеспечения, заявила пресс-секретарь Пентагона. Вместо этого DISA оценивает стандарты безопасности, используемые поставщиками, сказала она.

"Все счастливы"

Echelon работает в качестве официального тестировщика программного обеспечения для ФСТЭК и ФСБ России, по данным российских государственных реестров испытательных лабораторий и сертификатов программного обеспечения, рассмотренных Reuters. Американская разведка обвинила ФСБ в оказании помощи в организации кибератак против США и во вмешательстве в президентские выборы 2016 года.

Марков, президент Echelon, сказал, что “если уязвимость найдена, то все довольны”, потому что обнаруженный недостаток означает, что лабораторные специалисты “способны продемонстрировать свою квалификацию” и “разработчик рад, что ошибка была обнаружена, так как исправленный продукт станет лучше.”

Россия в последние годы активизировала требования к просмотру исходного кода в качестве требования к ведению бизнеса в стране.

Ряд международных компаний, в том числе Cisco Systems, крупнейший в мире производитель сетевого оборудования, и немецкий программный гигант SAP, согласились на обзор, хотя другие, в том числе фирма кибербезопасности Symantec, отказались из-за соображений безопасности.

Оплот киберзащиты

Отчеты о государственных закупках США показывают, что ArcSight используется, как ключевой оплот киберпреступности многими американскими военными, включая армию, авиацию и флот. Например, ArcSight используется для защиты секретной сети маршрутизаторов протокола Интернета Пентагона, которая используется для обмена секретной информацией, согласно записям военных закупок.

Пресс-секретарь Пентагона отказался комментировать риски, создаваемые конкретными продуктами для сети, но заявил, что все программное обеспечение, используемое DISA, “широко оценивается на предмет рисков безопасности” и постоянно отслеживается после развертывания.

Созданная в 2000 году, как независимая компания, ArcSight открыла новые возможности, позволяя крупным организациям получать оповещения в режиме реального времени о потенциальных кибер-вторжениях.

Программное обеспечение анализирует действия с серверов, брандмауэров и отдельных компьютеров по сети - до сотен тысяч в секунду. Затем система ищет подозрительные шаблоны, такие как большое количество неудачных попыток входа в систему в течение нескольких секунд, и предупреждает аналитиков.

Десять лет спустя ArcSight стали “основными аналитиками” инструментов сети киберзащиты Пентагона, - сказали DISA в 2011 году.

Сегодня ArcSight является практически незаменимым инструментом для многих частей американских военных, по крайней мере, на ближайшее будущее, как показывают записи Пентагона.

”Программное и аппаратное обеспечение HP ArcSight настолько интегрировано“, по данным логистического агентства Пентагона, что оно не могло иметь конкурентов в условиях отсутствия капитального обновления существующей инфраструктуры.

HPE согласилась в прошлом году продать ArcSight и другие продукты безопасности британской технологической компании Micro Focus International в рамках сделки, которая была завершена в сентябре.

Джейсон Шмитт, нынешний глава подразделения компании ArcSight, сказал, что продукция компании составляет чуть меньше половины $ 800 млн годового дохода, которые компания рассчитывает получить от приобретенного бизнеса программного обеспечения компании HP.

Шмитт сказал, что не может прокомментировать любой обзор исходного кода, который состоялся до этого года, но подчеркнул, что такие обзоры в настоящее время не проводятся. Micro Focus не ответили на просьбы прокомментировать, позволят ли России провести аналогичные проверки исходного кода в будущем или что руководители Micro Focus знали об этом до приобретения.