Дмитрий Беломестнов
Технологические компании позволили России изучить ПО, широко используемое правительством США 
Profile
Name:Дмитрий Беломестнов
Page Summary
Latest Month
January 2025
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Search
Entry Tags
"arctic sunrise", "pussy riot", "vita", /etc/hosts, 02.05.2014, 06.05.2012, 08.03, 09.02.2016, 10.04.2010, 12.06.2012, 18.06.2016, 1c, 26.03.2017, a. morozov, a. nekrasov, abolish the death penalty, about:config, about:performance, adblock, adblock plus, adblock-latitude, adobe, afanasyev, afd, affirmative action, afganistan, agranovsky, aillarionov, albania, alexey sokolov, alla bossart, amd, amnesty international, andrey kozlovsky, andrey mironov, android, anne applebaum, anonymizer, anshakov, anti-clericalism, anti-semitism, anticlericalism, antivirus, anvar ismagilov, apple, archive.org, argentina, armenia, army, art, arthur kalmeyer, asanov, assange, assassination, atsvetcoff, australia, austria, avmalgin, azerbaijan, babchenko, babitsky, baholdin, balkans, bannon, bards, bastrykin, batkin, bbc, bbg, beijing provocations, bekeshkina, belarus, belgium, bellingcat, belotserkovsky, berezovsky, beslan, biden, big data, biology, blackwater, bloatware, bnd, bogatov, bokova, boris_sokolov, born, bosnia and herzegovina, brazil, brexit, browder, browser, browsers, bubeev, buchenkov, budanov, bukovsky, bulgaria, bykov, cambridge analytica, canada, caricature, carter page, catastrophes, catholic church, censopship, censorship, cert8.db, certificates, chechnya, checnya, chernobyl, chile, chilling effects, china, chirikova, chiygoz, chromium, church, churchill, cia, citizen lab, civil society, cleptocracia, clericalism, climate, coe, comey, comprador, computer virus, consumer fraud, consumer rights, copyright, corruption, counter, crimes against humanity, criminal negligence, criminality, cspace, cuba, culture, cyberattack, cyprus, czechia, dadin, darkmail, davydova, death penalty, debian, degermendzhi, democracy, demography, denmark, discrimination, disklosure, dmca, dmitrievsky, doctorliza, dolboeb, dolmatov, doping, dpni, dr.web, dubki, duritskaya, e-mail, e.prigozhin, echo.msk.ru, echr, ecology, economy, ecuador, education, eggert, egypt, ej.ru, election, elena gracheva, eltsin, erich fromm, eskin, estonia, eu, european convention on transfrontier television, eurovision, evolution, extrajudicial killing, exxon, facebook, falun gong, fancy bear, fbi, felgengauer, felshtinsky, feminism, fillon, finland, firefox, flibusta, flynn, folklore, forced adoption, forced child labor, forced disappearances, forced labor, forced organ harvesting in china, former czechoslovakia, former yugoslavia, forumfreerussia.org, france, freedom of assembly, freedom of association, freedom of conscience, freedom of information, freedom of movement, freedom of speech, freedomhouse.org, fskn, g20, g7, galich, gallup, gazprom, gebrev, gennady afanasyev, genocide, geography, george floyd, georgia, germany, geydar dzhemal, gif, girkin-strelkov, glucksmann, glushkov, gluzman, glyphosate, gmail, goncharenko, gongo, google, google chrome, gorbachev, gordievsky, gosiewska, gpon, grabovsky, grammar, grani, greece, grenada, guccifer 2.0, gulagu.net, gusinsky, harassment of journalists, hardware, hdd, hell, hello, hermitage capital, hillary clinton, history, hitler, holocaust, hrw, html5, http://rublacklist.net/bypass/, https://rublacklist.net/bypass/, https://www.bypasscensorship.org, huawei, human rights, human traffic, human traffic and slavery, humor, hungary, hvostenko, ian murdock, icann, iceland, icij.org, ikhlov, inbox.lv, india, inelligence services, instagram, instantbird, intel, intellegence services, intelligence services, intelligencs services, intelligene services, international justice, international law, international politics, international relarions, international relations, international relatons, internet, internet archive, internet provocations, internetional relations, interpol, ioc, ionov, ip-telephony, iran, iraq, ireland, irtenyev, isil, israel, it, italy, ixquick.com, jamala, james comey, japan, juan goytisolo, juctice, justice, kadyrov, kalmykova, kapger, kara-murza jr., karen dawisha, karpichkov, karpyuk, kashin, kasparov, kasparov.ru, kaspersky, kasyanov, katyn, kazakhstan, kazarnovsky, kennedy, khimki, khodorkovsky, kim, kislyak, kiwi, klyamkin, klykh, kohver, kolchenko, konev, korzhavin, kosovo, kovalev, kp.ru, kremlin politics, kremlin propaganda, kremlin provocations, kremlin provocattions, kremlin state terrorism, ks, kurds, kuwait, kyrgyzstan, labor rights, lapse, laptop, latvia, latynina, lavrov, law, lebanon, lenin, leonhard frank, lesin, libya, liechtenstein, lifenews, linux, literature, lithuania, little tricks, litvinenko, lj, ljr, ljr-fif, lukin, lukoil, lustration, luxembourg, m$, m.veller, macarthur foundation, macedonia, macron, magnitsky, mail.ru, malaysia, malofeev, manafort, management, manannikov, margret-stwt, mark_feygin, markov, matthew puncher, maxim.goryunov, mccain, mcmaster, media, medicine and health, medvedev, megafon, memorial, merkel, messenger, mgts, michael flynn, middle east, mike pence, mikhalkov, milonov, mirzajanov, mohnatkin, moldova, monopolism, monsanto, montenegro, morocco, mossak fonseka, mts, mugabe, nado, nagorno-karabakh (artsakh), nato, navalny, nazi, nazism, nco, necrologue, nemtsov, nepotism, net neutrality, netherlands, nevzorov, new zealand, nizovkina and stetsura, nochnye volki, nod, north caucasus, north korea, norway, noscript, notebook, notpetya, novayagazeta, novodvorskaya, nsa, nuclear weapons, obama, obscurantism, occrp, oil, ok.ru, olga li, olympic games, opcw, opec, opera, opera 12, opposition, organ harvesting, orthography, osce, otr, pace, pakistan, pale moon, panama, panama papers, papadopulos, parnas, pavel grib, pavlensky, perepilicny, personal data, peter pomerantsev, pgp, philippines, philosophy, photo, piontkovsky, pocket, poetry, poland, police brutality, political correctness, political repression, pompeo, poroshenko, portugal, pribylovsky, prigozhin, prisoners, privacy, propaganda, protonmail, psychiatria, psychiatric repression, psychology, putin, putin igor, qatar, qt web browser, racism, radiation, rambler, rasp, razvozhaev, rbc, re3yc-byalik, redphone, refcontrol, refugees, regnum, religion, rfe-rl, right to education, right to life, rights of children, rights of women, ring, riss.ru, robert mueller, roizman, roldugin, romania, romney, rosneft, roundup, rpr-parnas, rt, ru.krymr.com, ruban, rublacklist.net, russia-georgia war, russia-ukraine war, russian orthodox church moscow patriarch, russian orthodox church moscow patriarchia, rwanda, s.ivanov, saakashvili, sadkov, safe-mail.net, sakharov, samsung, sanctions, satire, satter, saudi arabia, savchenko, science, science fiction, scientific atheism, scientology, scot young, seamonkey, search engine, sechin, secure boot, semenenko, sentsov, separatism, serb, serbia, sessions, sexual minorities, shamalov, sharina, shekhovtsov, shlosberg, shpilkin, shuppe, siemens, signal, simes, singapore, sjw, skobov, skripal, skype, slovakia, slovenia, snapchat, snegovaya, snowden, social rights, sociology, sokolovsky, sol shulman, solonin, soloshenko, soprovsky, sorm, soros, sources.list, sova-center, spain, sports, srware iron, statistics, steinmeier, stomahin, stratfor, strelyany, suicide, sup, surkov, sushchenko, svetova, sweden, swift, switzerland, syria, systemd, tails, tajikistan, tambov_nikitiny, tarabardin, tartu, tatarstan, tatyana felgengauer, taxes, tconomy, tearing, technics, tele2, telegram, telemetry, terrorism, thailand, tibet, tillerson, tobacco propaganda, tor, tor browser, torbeev, torrent, torture, tox, trolli, truecrypt, trump, tulsky, turism, turkey, turkmenistan, twitter, ublock origin, udaltsov, uefi, uk, ukraine, ukrainian greek catholic church, ukrainian language, umarali nazarov, un, united arab emirates, unternational relations, uranium one, us, usa, usas, ussr, uzbekistan, v.matvienko, v.v.ivanov, vatican, velikiy i moguchiy, venezuela, veniamin, vera savchenko, viber, victor suvorov, viktor bout, vinci, vk.com, vkonakte, vkontakte, voa, volodin, vologzheninova, volohonsky, vorobyevsky, voronenkov, voynovich, vpn, vyacheslav maltsev, vysotsky, wada, war, war crimes, webcam, whatsapp, who, wi-fi, wikileaks, wikipedia, william browder, windows, windows 10, word, world war ii, ww2, xenia sobchak, xenophobia, yabloko, yahoo, yandex, yandex navigator, yanov, yanukovich, yarovaya, yashin, yavlinsky, yemen, youtube, yukos, zapolsky, zelensky, zimbabwe, zoho, zolotov, zor'kin, zrtp
26th-Jan-2018 06:02 pm
ЭКСКЛЮЗИВ-Технологические компании позволили России изучить ПО, широко используемое правительством США


Сотрудники Reuters
January 26, 2018 / 10:36 AM

Дастин Вольц, Джоэл Шектман, Джек Стаббс

ВАШИНГТОН/МОСКВА (Рейтер) - Ведущие мировые разработчики программного обеспечения SAP, Symantec и McAfee разрешили российским властям изучить на предмет уязвимостей ПО, широко используемое правительством США, показало расследование, проведенное Рейтер.

Это чревато угрозами для безопасности компьютерных сетей как минимум десятка федеральных агентств США, сказали американские законодатели и эксперты в области безопасности. Кроме того, в этот процесс оказалось вовлечено большее количество компаний и правительственных организаций, чем сообщалось ранее.

Технологические компании позволили российскому оборонному ведомству проанализировать исходный код - строго охраняемые внутренние команды - некоторых своих продуктов, чтобы получить возможность продавать их на российском рынке. Власти РФ говорят, что анализ необходим, чтобы выявить потенциальные уязвимости, которые могут быть использованы хакерами (Графика: tmsnrt.rs/2sZudWT).

Однако эти же продукты используются для защиты некоторых наиболее значимых американских правительственных организаций, включая Пентагон, НАСА, Госдепартамент, ФБР и другие спецслужбы, от взломов, которые могут осуществить основные соперники США в киберпространстве, такие как Россия.

В октябре Рейтер сообщил, что компания Hewlett Packard Enterprise позволила российскому оборонному ведомству, тесно связанному со спецслужбами РФ, изучить функционирование программы киберзащиты ArcSight, используемой для защиты компьютеров Пентагона.

Теперь Рейтер изучил сотни документов о госзакупках США, а также данные из российского реестра, которые указали на гораздо больший масштаб распространения потенциальных рисков для американского правительства, исходящих от анализа исходного кода Россией.

Помимо Пентагона, ArcSight используют как минимум семь других американских правительственных структур, включая Управление директора национальной разведки США и разведывательное подразделение Госдепартамента, показал анализ Рейтер. Кроме того, софт SAP, Symantec и McAfee, функционирование которого изучили российские власти, используют как минимум восемь правительственных организаций США. В некоторых используются сразу несколько из четырех продуктов. (Графика: tmsnrt.rs/2C30rp8) </p>

McAfee, SAP, Symantec и Micro Focus, британская технологическая компания, которая теперь владеет ArcSight, сообщили, что все анализы исходного кода проводились под контролем производителя ПО на охраняемых объектах, где код не мог быть изменен и которые нельзя было покинуть с его копией. Этот процесс не угрожает безопасности продукта, сообщили компании. На волне растущих беспокойств вокруг этой процедуры Symantec и McAfee прекратили разрешать проведение подобного анализа, а Micro Focus резко ограничила его в конце 2017 года.

В письме, которое было направлено Пентагоном сенатору-демократу Джин Шахин и которое ранее не публиковалось (tmsnrt.rs/2C6o2p2), военное ведомство США сообщило, что анализ исходного кода Россией и Китаем "может помочь подобным странам выявить уязвимости в этих продуктах".

Рейтер не обнаружил случаев, когда анализ исходного кода сыграл какую-либо роль в кибератаках, а некоторые эксперты в области безопасности говорят, что хакеры, скорее, найдут другие способы проникнуть в компьютерные системы.

Однако беспокойство выражает не только Пентагон. Частные эксперты в области кибербезопасности, бывшие сотрудники американских спецслужб и несколько технологических компаний США сообщили Рейтер, что анализ Россией исходного кода может выявить неизвестные ранее уязвимости, которые могут быть использованы для подрыва безопасности американских компьютерных сетей.

“Крайне опасно позволять людям даже на минуту взглянуть на исходный код”, - сказал Стив Куэйн, исполнительный вице-президент по сетевой защите Trend Micro, которая поставляет американским военным защитное ПО TippingPoint.

Из-за опасений о подобных рисках для американского правительства Trend Micro отказалась позволить России провести анализ исходного кода TippingPoint, сказал Куэйн.

По его словам, ведущие исследователи в области кибербезопасности, просто посмотрев исходный код, могут быстро выявить уязвимости, которые можно использовать.

“Мы знаем, что есть люди, которые на это способны, потому что такие люди у нас работают”, - сказал он.

ОТКРЫТАЯ ДВЕРЬ



Россия неоднократно анализировала исходный код продуктов технологических компаний после 2014 года, когда отношения РФ и США сильно ухудшились после аннексии Москвой Крыма. Страны Запада обвиняют Россию в том, она стала намного чаще прибегать к кибератакам в этот период. Москва отрицает обвинения.

Некоторые американские законодатели опасаются, что анализ исходного кода может стать для Москвы новой отправной точкой для осуществления кибератак.

“Я боюсь, что доступ наших соперников к инфраструктуре нашей системы защиты - скрытый или открытый - уже мог открыть дверь для вредоносных уязвимостей безопасности”, - сказала Рейтер Шахин.

В письме, адресованном Шахин и датированном 7 декабря, Пентагон сообщил, что “рассматривает возможность” обязать поставщиков сообщать о случаях, когда они позволяют зарубежным правительствам получать доступ к исходному коду. После статьи Рейтер о программе ArcSight Шахин направила Пентагону ряд вопросов об этой процедуре, а Micro Focus сообщила, что в будущем ограничит анализ исходного кода зарубежными правительствами. HPE сообщила, что Россия не проводила анализ исходного кода ни одного из действующих продуктов компании.

Ламар Смит, председатель комитета по науке, космосу и технологиям Палаты представителей США, сказал, что для того чтобы гарантировать безопасность при госзакупках ПО, нужны законодательные меры.

Большинство американских правительственных организаций отказались дать комментарии в ответ на вопрос, знали ли они, что ПО, используемое в их компьютерных сетях, изучали российские структуры, связанные с Минобороны РФ.

Представитель Пентагона сказала, что ведомство постоянно проверяет используемые им коммерческие технологии на предмет уязвимостей.

КАРАНДАШИ ЗАПРЕЩЕНЫ



Технологическим компаниям, желающим получить доступ к крупному рынку России, нередко требуется пройти сертификацию своей продукции у российских ведомств, включая Федеральную службу безопасности (ФСБ) и Федеральную службу по техническому и экспортному контролю (ФСТЭК), на которую возложены обязанности по противодействию кибершпионажу.

ФСТЭК отказалась от комментариев, а ФСБ не ответила на запросы Рейтер. Кремль перенаправил все вопросы ФСБ и ФСТЭК.

ФСТЭК зачастую требует, чтобы компании позволяли российским правительственным подрядчикам протестировать исходный код своего программного обеспечения.

Платформа SAP HANA прошла анализ исходного кода для сертификации в 2016 году, свидетельствуют данные из российского реестра. Эта система хранит и анализирует информацию для Госдепартамента, Налогового управления, НАСА и вооруженных сил.

Представитель SAP сообщила, что любое рассмотрение исходного кода проводится в охраняемом помещении, находящемся под наблюдением компании, куда “строго запрещается” проносить записывающие устройства или даже карандаши.

“Это относится ко всем правительствам и правительственным организациям без исключения”, - сказала она.

Хотя некоторые компании в итоге отказались разрешать России анализировать исходный код своего ПО, те же продукты во многих случаях по-прежнему используются правительством США, которому могут потребоваться десятилетия на модернизацию технологий.

Из соображений безопасности Symantec в 2016 году запретила правительствам проводить анализы исходного кода, сказал Рейтер глава Symantec в октябре. Но антивирусное ПО Symantec Endpoint Protection, которое Россия проанализировала в 2012 году, остается в эксплуатации у Пентагона, ФБР и Службы социального обеспечения США, а также ряда других агентств, свидетельствуют данные реестра федеральных контрактов, с которыми ознакомился Рейтер.

В заявлении представителя Symantec говорится, что самая последняя версия Endpoint Protection, выпущенная в конце 2016 года, никогда не подвергалась анализу исходного кода, а более ранняя версия неоднократно обновлялась с тех пор, как была протестирована Россией. Базирующаяся в Калифорнии компания сообщила, что у нее нет оснований считать, что проведенные ранее анализы могли поставить под угрозу безопасность ее продукции. Symantec продолжала продавать более старую версию в 2017 году и собирается представлять обновления до 2019 года включительно.

McAfee также объявила в прошлом году, что больше не намерена разрешать проведение анализов исходного кода по поручению правительств.

Выпускаемое компанией ПО Security Information and Event Management (SIEM) было проанализировано в 2015 году базирующемся в Москве правительственным подрядчиком Эшелон по запросу ФСТЭК, свидетельствуют данные регуляторов РФ. McAfee подтвердила эту информацию.

Министерство финансов США и Служба безопасности министерства обороны продолжают использовать этот продукт для защиты своих сетей, по данным реестра контрактов.

McAfee отказалась от комментариев, ссылаясь на соглашения о конфиденциальности, но ранее компания сообщала о проведении Россией анализов в помещениях компании в США.

“НИКОМУ НЕЛЬЗЯ ДОВЕРЯТЬ”

На своем сайте Эшелон описывает себя как официальная лаборатория ФСБ, ФСТЭК и Минобороны РФ. Алексей Марков, президент Эшелона, который также изучал исходный код ArcSight, сказал, что американские компании поначалу часто выражают обеспокоенность по поводу процесса сертификации.

“Были (сомнения в безопасности)? Да не то слово!” - написал Марков, отвечая на вопрос Рейтер по электронной почте.

“Чем меньше лицо, принимающее решение, понимает в программировании, тем больше у него паранойя. Однако в процессе выяснения деталей проведения процедуры сертификации опасения и риски нивелируются”.

По словам Маркова, его команда всегда уведомляет технологические компании, прежде чем передать российским властям информацию о каких-либо выявленных уязвимостях, позволяя фирмам исправить обнаруженный изъян. Анализ исходного кода значительно повышает их безопасность, отметил он.

С этим не согласен Крис Инглис, бывший заместитель директора Агентства национальной безопасности США.

“Если вы сидите за одним игровым столом с ”акулами“, никому нельзя доверять, - сказал он. - Я бы не стал кому-то показывать этот код”.

Перевели Марина Боброва и Вера Сосенкова. Редактор перевода Антон Колодяжный
This page was loaded May 5th 2024, 10:28 pm GMT.