Moscow-Live.ru / Алексей Поляков

Ряд крупных компаний, включая немецкого разработчика ПО SAP, а также американские антивирусные компании Symantec и McAfee, показали российским властям исходный код ряда своих продуктов, которые широко используются многими государственными ведомствами США. Об этом сообщается в расследовании агентства Reuters.

Как поясняют журналисты, ознакомление спецслужб с кодом программ на предмет поиска возможных уязвимостей, которые могут быть использованы хакерами, является обязательным условием для продажи иностранного ПО российским государственным органам (речь идет о сертификации ФСБ). При этом не исключено, что найденные уязвимости могут быть использованы российскими властями для кибератак на американские ведомства, использующие те же программные продукты. Так, различные программы SAP, Symantec, McAfee и компании ArcSight используются в Пентагоне, ФБР, Госдепе, НАСА и других американских ведомствах.

По словам представителей софтверных компаний, процедура ознакомления всех крупных клиентов с кодом продуктов проходит под контролем разработчиков и на специальном оборудовании, которое не позволяет удалить или изменить код. На фоне обеспокоенности по поводу последствий демонстрации кода компании Symantec и McAfee некоторое время назад отказались от подобной практики.

Как отмечается в материале Reuters, журналистам не удалось найти случаи, когда обнаруженные благодаря демонстрации кода уязвимости ПО были использованы для кибератак: по словам опрошенных экспертов, хакеры обычно предпочитают другие пути для проникновения в закрытые сети.

В то же время журналисты обращают внимание на письмо Пентагона, подготовленное американским оборонным ведомством в ответ на запрос сенатора Джоан Шаин. В нем говорится, что изучение исходного кода ПО властями Китая и России может помочь им в обнаружении уязвимостей.

Обеспокоенность по этому поводу выражают и эксперты по кибербезопасности из частных компаний. Так, по словам исполнительного вице-президента Trend Micro Стивена Квейна, даже минутный взгляд на код может быть очень опасен, а в России, как и в США есть специалисты, способные найти уязвимость во время ознакомления с программным кодом.

Квейн добавил, что, понимая возможные риски для американских ведомств, Trend Micro ранее отказалась показать российским властям код программы TippingPoint.

Как отмечают эксперты, в отличие от российских властей, американское правительство довольно редко просит софтверные компании показать исходный код при покупке их коммерческих продуктов.

Напомним, в сентябре прошлого года Министерство внутренней безопасности США (МВБ) опубликовало директиву, которая предписывала всем госучреждениям и связанным с ними компаниям в трехмесячный срок прекратить использование программ компании "Лаборатория Касперского". Как отмечали в ведомстве, софт компании может быть использован для нанесения ущерба национальной безопасности США.

Через несколько дней сенат конгресса США одобрил норму, запрещающую американским федеральным военным и гражданским ведомствам использовать программное обеспечение "Лаборатории Касперского". Комментируя решение сената, в компании заявили, что разочарованы принятием законопроекта. Как отмечалось в заявлении компании, "выстраивать предположения о возможных рисках на основе недостоверной информации и страны происхождения компании - значит подвергать всех дополнительной угрозе, так как подобное решение ограничивает выбор защитных продуктов на рынке".