ABD, Rusya Yazılımı Kullanmaya Başlayacak…

tarafından
80
ABD, Rusya Yazılımı Kullanmaya Başlayacak…

Bir dizi ABD devlet kurumuna hizmet sunan dev teknoloji firmaları, ABD ajanslarının bilgisayar ağı ağını virüs saldırılarına maruz bıraktığı bildirilen yazılım sistemindeki kusurları tespit etmek için Rus yetkililerle işbirliği yaptı.

euters tarafından yapılan bir soruşturma sonucunda, önde gelen global teknoloji sağlayıcıları SAP, Symantec ve McAfee, Rus makamlarının ABD hükümetinin her yerinde bulunan yazılımdaki güvenlik açıklarını araştırmasına izin verdiler.

ABD’li milletvekilleri ve güvenlik uzmanları, bu uygulama, en az bir düzine federal kurumda bilgisayar ağlarının güvenliğini tehlikeye attığını söyledi. Daha önce bildirilenlerden daha fazla şirket ve hükümetten daha geniş bir alan içeriyor. Rus pazarını satmak için, teknoloji şirketleri bir Rus savunma ajansının ürünlerinin bazılarının iç kaynaklarını veya kaynak kodunu taramasına izin verdi. Rus yetkililer, gözden geçirmelerin bilgisayar korsanları tarafından istismar edilebilecek kusurları tespit etmek için gerekli olduğunu söylediler.

Ancak aynı ürünler, Pentagon, NASA, Dışişleri Bakanlığı, FBI ve istihbarat topluluğu gibi ABD hükümetinin en hassas bölgelerinin bir bölümünü Rusya gibi sofistike siber düşmanların saldırısına karşı koruyor.

Reuters, Ekim ayında, Pentagon’un bilgisayarlarını güvence altına almaya yardım eden ArcSight olarak bilinen Hewlett Packard Enterprise yazılımının bir Rus askeri müteahhit tarafından Rusya’nın güvenlik servisleriyle yakın ilişki içerisinde gözden geçirildiğini açıkladı.

Şimdi, yüzlerce ABD federal satın alma belgesinin ve Rusya düzenleyici kayıtlarının bir Reuters incelemesi, Rus kaynak kodu incelemelerinden ABD hükümetine olası risklerin daha yaygın olduğunu gösteriyor.

İnceleme, Pentagon’un ötesinde ArcSight, Ulusal İstihbarat Dairesi ve Dışişleri Bakanlığı istihbarat biriminin de aralarında bulunduğu en az yedi diğer ajansda kullanılmakta olduğunu gösterdi. Ayrıca, SAP, Symantec ve McAfee tarafından yapılan ve Rus makamları tarafından incelenen ürünler en az sekiz acentede kullanılmaktadır. Bazı ajanslar dört ürünün birden fazlasını kullanmaktadır.

McAfee, SAP, Symantec ve ArcSight’a sahip İngiliz firması Micro Focus, tüm kaynak kod incelemelerinin yazılım üreticisinin denetiminde, kodun kaldırılamadığı veya değiştirilemediği güvenli tesislerde yapıldığını söyledi. Proses, ürün güvenliğinden ödün vermediğini belirtti. Sürece ilişkin endişeler arttıkça Symantec ve McAfee bu tür incelemelere artık izin vermiyor ve Micro Focus geçen yıl bunları keskin bir şekilde kısıtlamak için harekete geçti.

TippingPoint güvenlik yazılımını ABD ordusuna satan Trend Micro’nun ağ savunma müdür yardımcısı Steve Quane, “İnsanlara bir dakika boyunca kaynak koduna bakmalarına izin vermek bile inanılmaz derecede tehlikeli” dedi.

Quenn, ABD hükümetine yönelik bu risklerden endişe duyduğunu belirten Trend Micro, Rusların Tipping Point’in kaynak kodu incelemesi yapmasına izin vermediğini söyledi.

Quane, üst düzey güvenlik araştırmacılarının, yalnızca kaynak kodunu inceleyerek yararlanılabilecek güvenlik açıklarını bulabileceğini söyledi.

“Bunu yapabilecek insanlar var biliyoruz, çünkü bizim gibi çalışanlar böyle insanlar var” dedi.

ABD ticaret avukatları ve güvenlik uzmanları, Rusya’nın aksine, piyasada bulunan yazılım ürünlerini satın alırken ABD hükümeti nadiren kaynak kodu incelemeleri talep ediyor demektedir.

Rusya’nın görüşlerinin birçoğu, Moskova’nın Kırım’la ilişkisini takiben ABD-Rusya ilişkileri düştüğü 2014’ten bu yana gerçekleşti. Batılı ülkeler, Rusya’yı o sırada siber saldırılardan kullandıklarını hızla tırmandırdılar; Moskova’nın iddia ettiği bir iddia.

Bazı ABD milletvekilleri, kaynak kod incelemelerinin, Moskova’nın siyaha saldırmak için başka bir giriş noktası olabileceğinden endişe ediyorlar.

Çoğu ABD hükümet ajansı, ağlarında kurulan teknolojinin Rus askeri müteahhitleri tarafından denetlendiğinden haberdar olup olmadığını sorduğunda yorum yapmayı reddetti. Diğerleri güvenlikin en büyük kaygısı olduğunu ancak belirli yazılımların kullanımı hakkında yorum yapamadıklarını söyledi.

Bir Pentagon sözcüsü, güvenlik zayıflıkları için kullandığı ticari teknolojiyi sürekli olarak izlediğini söyledi.

Rusya’nın büyük pazarına girmek isteyen şirketler genellikle, FSB güvenlik servisi ve Rusya’nın Teknik ve İhracat Kontrolü Federal Hizmeti (FSTEC) de dahil olmak üzere Rus ajanslarından ürünlerinin sertifikalandırılmasını talep etmek zorundadırlar. Bu savunma ajansı, bir siber casuslukla mücadele görevini üstlenmiştir.

FSTEC yorum yapmayı reddetti ve FSB yorum taleplerine cevap vermedi. Kremlin tüm soruları FSB ve FSTEC’e verdi.

FSTEC sıklıkla şirketlerin bir Rus devlet yüklenicisine yazılımın kaynak kodunu test etmesine izin vermelerini ister.

Bir veritabanı sistemi olan SAP HANA’ya Rus düzenleyici kayıtlara göre 2016’da belgelendirme almak için bir kaynak kodu incelemesi yapıldı. Yazılım, Dışişleri Bakanlığı, İç Gelir Servisi, NASA ve Ordu için bilgi depolar ve analiz eder.

Bir SAP sözcüsü, herhangi bir kaynak kodu incelemesinin, kayıt cihazlarının ve hatta kalemlerin “kesinlikle yasak olduğu” güvenli şirket tarafından denetlenen bir tesiste yapıldığını söyledi.

Sözcü, “Tüm hükümetler ve hükümet teşkilatları istisna olmaksızın aynı şekilde muamele görüyor” dedi.

Bazı şirketler o tarihten bu yana Rusya’nın ürünlerinin kaynak kodunu incelemesine izin vermezken, aynı ürünler ABD hükümetine gömülü kalmaktadır ve bu teknoloji onarmak için yıllar sürebilir.

Şirketin genel müdürü Ekim ayında Reuters’e verdiği demeçte, güvenlik endişeleri Symantec’in 2016’daki tüm kaynak kod incelemelerini durdurmasına neden oldu. Ancak 2012’de Rusya tarafından gözden geçirilen Symantec Endpoint Protection virüsten koruma yazılımı, Reuters tarafından gözden geçirilen federal sözleşme kayıtlarına göre, Pentagon, FBI ve Sosyal Güvenlik Yönetimi tarafından diğer ajanslar tarafından kullanılmaya devam ediyor.

Bir Symantec sözcüsü, bir Symantec’in sözcüsü, 2016 sonlarında piyasaya sürülen Endpoint Protection’ın yeni sürümünün hiç bir kaynak kod incelemesine uğramadığını ve önceki sürümü Rusya tarafından test edildikten sonra çok sayıda güncelleme yaptıklarını söyledi. Kaliforniya merkezli şirket, daha önceki değerlendirmelerin ürün güvenliğini tehlikeye attığına inanmak için hiçbir sebebinin olmadığını söyledi. Symantec daha eski sürümleri 2017 boyunca satmaya devam etti ve 2019 yılına kadar güncellemeler sağlayacak. Amerika Birleşik Devletleri’nin önde gelen elektronik casus ajansı olan Ulusal Güvenlik Ajansı’nın eski yardım müdürü Chris Inglis buna katılmıyor.

“Kart köpekbalıklarıyla masada otururken kimseye güvenemezsin” dedi. “Ben kimseye kodu göstermeyeceğim.