源代码正在被俄罗斯审查，美国慌了~

E安全2月2日讯 多家国际巨头技术供应商（包括SAP、赛门铁克以及麦克菲等）已允许俄罗斯当局对其安全产品进行调查，旨在找出深嵌其中的安全漏洞，其中多个软件产品正在被美国政府所使用。

美国国会议员与安全专家们认为，这至少对十余个美国联邦机构的计算机网络安全产生负面影响，且此次事件所涉及的企业与政府机构在数量上可谓史无前例。



美国为何担心安全产品被俄罗斯审查？
为了打开俄罗斯市场，这些技术企业允许俄罗斯国防机构检查部分产品的内部运作机制以及举荐以。而俄罗斯当局则表示，相关审查工作主要用于发现可能被黑客所利用的安全漏洞。同样的产品目前正被用于保护美国政府当中一些最为敏感的机构，例如美国五角大楼、美国宇航局、美国国务院、美国联邦调查局（FBI）以及其它各类情报机构，旨在阻止其遭受俄罗斯等顶尖网络敌对方的黑客攻击。

担忧ArcSight 软件安全，却仍在使用
2017年10月，HPE 公司允许俄罗斯政府审查其 ArcSight 网络安全软件的源代码。而五角大楼正好是用这套系统来保护他们的计算机网络。HPE允许俄罗斯审查该系统代码是其获得向俄罗斯私营企业销售产品的条件之一。

如今，路透社对数百家美国联邦政府机构的采购文件及俄罗斯审查记录进行了调查，发现俄罗斯源代码审查工作可能给美国政府带来的潜在风险比预想的更为广泛。

除了五角大楼之外，至少还有七家政府机构正在使用 ArcSight，其中包括美国国家情报总署以及国务院下辖的情报部门。此外，由SAP、赛门铁克以及麦克菲公司开发，并接受俄罗斯当局审查的四款产品至少在8家机构中使用，某些机构甚至在同时使用多款此次接受俄罗斯审查的软件产品。

麦克菲、SAP、赛门铁克以及英国企业Micro Focus（目前为ArcSight的持有方）皆表示，全部源代码审查工作皆在软件开发商的监督下，立足安全设施之内进行，且不可对代码进行删除或更改。厂商们强调，审查流程不会对产品的安全性造成危害。

赛门铁克与麦克菲不再接受此类评估
随着各方对这一举措的担忧日益升级，赛门铁克与麦克菲已经不再接受此类评估，而Micro Focus公司2017年也大幅减少了这类工作。

五角大楼方面在首次公布的写给美国民主党参议员珍妮·沙欣的函件（tmsnrt.rs/2C6o2p2）中提到，俄罗斯与中国进行的源代码审查“可能帮助这些国家发现相关产品中的安全漏洞。”

路透社方面并没有发现凭借源代码审查与网络攻击活动存在关联的证据，部分安全专家们指出，黑客更有可能利用其它方式实现网络系统渗透。

不过五角大楼方面并非惟一对此表示担忧的机构。私营部门网络专家、前美国安全官员以及多家美国科技企业在采访中透露，允许俄罗斯对产品源代码进行审查有可能暴露未知安全漏洞，进而引发针对美国网络防御体系的破坏性行为。



Trend Micro公司拒绝俄罗斯审查
Trend Micro公司（向美国陆军提供TippingPoint安全软件）网络防御执行副总裁史蒂夫·关表示，即使仅允许对方查看源代码一分钟，结果也将非常危险。考虑到这些可能影响到美国政府的安全风险，Trend Micro公司拒绝俄罗斯方面对TippingPoint进行源代码审查的要求，顶级安全研究人员完全可以通过检查源代码快速发现可利用的安全漏洞。

自2014年以来，俄罗斯与美国因克什米尔问题两国关系陷入低谷。美国指责俄罗斯在这一阶段大肆发动网络攻击，而莫斯科方面则对这种说法予以坚决否认。

美国贸易律师与安全专家表示，不同于俄罗斯，美国政府在购买商业软件产品时很少要求对其源代码进行审查。

部分美国立法者担心源代码审查可能成为莫斯科方面实施网络攻击的另一种重要切入点。美国民主党参议员沙欣在接受采访时表示，敌方可能已经打开了有害安全漏洞的大门，并得以借此访问美国的安全基础设施。

五角大楼要求供应商报告“源代码”被查情况
在2017年12月7日致沙欣的信中，五角大楼表示其正在“探索可行性”，要求各供应商披露曾何时允许外国政府访问其产品源代码。沙欣曾质疑五角大楼在ArcSight报道公布后的作法，此举曾迫使Micro Focus公司表示将在未来收紧政府买家的源代码审查行为。HPE公司亦强调，其目前的产品皆未接受过俄罗斯方面的源代码审查。

美国众议院科学、空间与技术委员会主席、共和党人拉马尔·史密斯表示，目前显然需要通过立法以进一步保护联邦政府的网络安全供应链。

众议院军事委员会高级成员、民主党人吉姆·朗基文在2018年1月24日回应路透社的报道时称，五角大楼必须考虑到“任何敌对方在做出购买决定时，可能因此获得的源代码审查权。”

在被问及是否清楚其内部网络中使用的技术产品有没有经过俄罗斯军事承包商的检查时，大多数美国政府部门拒绝作出评论。部分机构则表示，目前无法就正在使用的特定软件作出回应。五角大楼方面的一位发言人表示，该部门正持续监控所使用的商业技术以追踪其中的安全漏洞。

美国重要机构仍在使用多个被俄罗斯审查的软件
各技术企业期待着能够进入庞大的俄罗斯市场，但其首先需要想办法通过产品认证这一关，包括从俄罗斯安全局（FSB）以及俄罗斯技术与出口管制局（FSTEC）处获得认可。FSTEC方面拒绝对此事发表评论，FSB也没有回应置评请求。而克里姆林宫的态度，则是“有事请找FSTEC与FSB”。FSTEC通常要求企业允许俄罗斯政府指定的承包商对软件源代码进行测试。



SAP HANA数据库系统
根据俄罗斯方面的监管记录，SAP HANA数据库系统就曾为了在2016年获得认证而接受源代码审查，该软件同时亦负责对美国国务院、美国国税局、美国宇航局以及美国陆军的信息进行存储与分析。

SAP公司的一位发言人表示，一切源代码审查都会在安全的、由翁监督的设施当中进行，审查人员不可携带任何记录设备，甚至连铅笔都属于“严格禁止”的范畴。各政府与政务部门都将接受同样的约束，不存在任何例外。

尽管部分企业已经不再允许俄罗斯政府审查其产品的源代码，但曾接受检查的产品大多仍存留于美国政府当中，且可能还需要几十年时间才会被全部淘汰。

Endpoint Protection反病毒软件
赛门铁克公司首席执行官在2017年10月接受采访时表示，相关安全担忧迫使该公司于2016年停止了全部政府源代码审查活动。但根据路透社调查的联邦政府合同记录，曾于2012年由俄罗斯政府审查过的赛门铁克Endpoint Protection反病毒软件目前仍在被五角大楼、联邦调查局以及社会保障局等机构所广泛使用。

赛门铁克公司发言人在一份声明中表示，2016年年底发布的最新版本Endpoint Protection从未接受过源代码审查，且自接受俄罗斯政府测试之后，该早期版本已经经历了多次更新。这家位于加利福尼亚州的企业表示，目前没有理由担心早先的审查对产品安全存在影响。赛门铁克公司在2017年继续销售旧有版本，并将在2019年之前提供更新。



SIEM软件
麦克菲公司2017年也曾宣布，将不再批准由政府授权的源代码审查活动。根据俄罗斯方面的监管文件，麦克菲公司的安全信息与事件管理（SIEM）软件曾于2015年由俄罗斯指定的政府承包商Echelon代表FSTEC进行审查。麦克菲方面也承认了此事。根据采购记录来看，美国财政部与国防安全部目前仍在利用这款产品保护自身网络。

麦克菲公司引用客户保密协议拒绝对此作出评论，但其此前曾表示俄罗斯的审查工作是在该公司位于美国的场所进行的。

ArcSight软件
在其网站上，Echelon公司将自身描述为FSB、FSTEC以及俄罗斯国防部的官方实验室。Echelon公司总裁阿列克谢·马尔科夫也对ArcSight的源代码进行了审查，并表示美国企业最初通常会对认证过程表示担忧。决策者对编程层面的情况了解得越少，立场就越是偏执，实际上认证程序拥有非常明确的执行流程，不会造成任何风险。”

马尔科夫指出，他的团队在向俄罗斯当局移交所发现的任何安全漏洞之前，都会预先通知相关技术公司，允许其修复检测到的漏洞。他表示，对产品源代码进行审查“显著提升了其产品的安全性”。

前美国国家安全局副局长克里斯·英格利斯则对这一观点表示反对。他表示，“在面对这群老手时，你不可相信任何人。我就不会向任何人展示自己的代码。”