USA i UK nigdy oficjalnie nie zażądały kodu Avasta. Czy wzięły go sobie bez pytania?

O zaskakujących (choć niektórzy pewnie powiedzą –spodziewanych) relacjach między producentami oprogramowaniaantywirusowego a agencjami wywiadowczymi USA i Wielkiej Brytaniiwypowiedział się ostatnio nie byle kto, lecz sam Vince Steckler,dyrektor wykonawczy Avasta. Czuje się on nieco zlekceważony, mimobowiem tego, że Avast jest jednym z najpopularniejszych programówochronnych na świecie, Amerykanie nigdy nie zażądali wydania jegokodu źródłowego. Nie żeby czeska firma zamierzała się na tozgodzić – jak to Steckler stwierdził, nie dano nam szansy naodmówienie. A co z konkurencjąAvasta?

USA i UK nigdy oficjalnie nie zażądały kodu Avasta. Czy wzięły go sobie bez pytania?

05.11.2015 | aktual.: 06.11.2015 09:08

Coraz więcej rządów państwdomagasię od producentów oprogramowania ujawnienia kodu źródłowegowłasnościowych narzędzi, które miałyby zostać wykorzystane wich kluczowej infrastrukturze. Microsoft w tym celu uruchomił nawetostatnio w Brukseli CentrumTransparentności, w którym rządowi klienci mogliby ocenićkod, upewnić się, że nie zawiera żadnych furtek. Wiele innychfirm nie godzi się jednak na te żądania, niebezpodstawnieuważając, że może to być tylko sposób na szpiegostwoprzemysłowe. Dla dostawców oprogramowania ochronnego ma to jeszczejeden wymiar: czy pozwalając władzom państwowym na prześwietlenieich kodu, nie zdradzają w ten sposób swoich użytkowników?

Obraz

W czerwcu tego roku The Interceptujawnił starania amerykańskich i brytyjskich służb wywiadowczych,mające na celu analizę oprogramowania Kaspersky Lab pod kątemewentualnych słabości. Posunięto się nawet do prób wykradzeniawrażliwych danych klientów Kaspersky Lab i przechwytywaniawiadomości ze zgłoszeniami nowoodkrytych próbek złośliwegooprogramowania. „Białe kapelusze” nie miały wątpliwości –oprogramowanie antywirusowe to wdzięczny temat dla szpiegów. Zjednej strony samo jest znacznie słabiej zabezpieczone niżprzeglądarki czy czytniki dokumentów, z drugiej jego skutecznewyexploitowanie od razu daje wszystko, czego napastnik mógłbypragnąć, włącznie z dostępem do jądra systemu.

Nie wydaje się, by staraniazachodnich szpiegów przyniosły jakieś spektakularne wyniki. Wzdobytych przez The Intercept dokumentach brytyjscy agenci GCHQ skarżyli się,że oprogramowanie ochronne Kaspersky Lab wciąż stanowi problem dladziałań ich sieci CNE (Computer Network Exploitation). Jako żetrudno zmusić rosyjską firmę do uległości, konieczne stało sięsięgnięcie po techniki odwrotnej inżynierii, co ciekawe,występując o sądowe zezwolenie na prowadzenie takich badań.Tłumaczono, że są one konieczne, by wyexploitować oprogramowanieantywirusowe i uniknąć wykrywania przez nie szpiegowskiegooprogramowania Brytyjczyków. Prace te, prowadzone wraz zamerykańskim NSA pod kryptonimem „Project Camberdada” wkrótcezostały rozszerzone na produkty innych firm – na liście znalazłosię 22 producentów oprogramowania antywirusowego.

Nie było na nich jednak anibrytyjskiego Sophosa, ani amerykańskich Symanteca i McAfee (IntelSecurity). I chyba nie było potrzeby ich tam umieszczać, gdyżnajwyraźniej lojalne wobec swoich rządów firmy wydały cały kodźródłowy swoich produktów bez zbytecznej opieszałości. Symantecnawet się z tym nie ukrywał, informując, że zgodziłsię na przegląd kodu źródłowego w kontrolowanych warunkach, byspełnić rządowe wymogi certyfikacji dla swoich produktów.Z kolei McAfee nabrało w tej kwestii wody w usta, a Sophoszaprzeczył, by kiedykolwiek swój kod ujawniał, zapewniając przytym, że zrobiłby to, jeśli byłoby to konieczne ze względu nainteres klienta w ramach uzgodnionych umów.

Vince Steckler, który wSymantecu przepracował wiele lat na kierowniczych stanowiskachprzyznaje, że nie ma w tym nic dziwnego – zajmujące siębezpieczeństwem firmy, które mają rządowych i korporacyjnychklientów, często godzą się na takie praktyki, by zabezpieczyćswoje długofalowe umowy. Jednak jaka jest rzeczywista dostępnośćtak ujawnionego kodu? W 2012 roku głośnobyło o znalezieniu przez hakerską grupę Lords of Dharmara koduproduktów Symanteca na słabo zabezpieczonych serwerach rządu Indii– i to mimo tego, że sama firma zaprzeczała, jakoby kiedykolwiekudostępniała coś indyjskim władzom.

Brak starań o kod źródłowyAvasta szefa czeskiej firmy nieco jednak zaskakuje. Są w końcuprawdopodobnie największym poza Chinami dostawcą narzędziochronnych, mającym 30% rynku i ponad 230 mln użytkowników, apochodzącym przecież w teorii z sojuszniczego kraju w NATO.Najwyraźniej NSA mogło mieć wątpliwości co do lojalności – wkońcu czy na pewno pokazany kod jest tym samym, który zostałskompilowany?

Sam Steckler jest tu realistą,zakładającym, że że taka jest cena działania w branżybezpieczeństwa. Jego zdaniem agencje szpiegowskie istnieją po to,by szpiegować, nie ma w tym nic niewłaściwego, po prostu trzebabyć tego świadomym. Dlatego też amerykańskie firmypowinny dobrze się zastanowić, zanim skorzystają zrosyjskiego oprogramowania, zaś rosyjski rząd musiałby byćszalony, by skorzystać ze sprzętu pochodzącego z Izraela– twierdzi szef Avasta.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (26)