USA i UK nigdy oficjalnie nie zażądały kodu Avasta. Czy wzięły go sobie bez pytania?

USA i UK nigdy oficjalnie nie zażądały kodu Avasta. Czy wzięły go sobie bez pytania?05.11.2015 15:49

O zaskakujących (choć niektórzy pewnie powiedzą –spodziewanych) relacjach między producentami oprogramowaniaantywirusowego a agencjami wywiadowczymi USA i Wielkiej Brytaniiwypowiedział się ostatnio nie byle kto, lecz sam Vince Steckler,dyrektor wykonawczy Avasta. Czuje się on nieco zlekceważony, mimobowiem tego, że Avast jest jednym z najpopularniejszych programówochronnych na świecie, Amerykanie nigdy nie zażądali wydania jegokodu źródłowego. Nie żeby czeska firma zamierzała się na tozgodzić – jak to Steckler stwierdził, nie dano nam szansy naodmówienie. A co z konkurencjąAvasta?

Coraz więcej rządów państwdomagasię od producentów oprogramowania ujawnienia kodu źródłowegowłasnościowych narzędzi, które miałyby zostać wykorzystane wich kluczowej infrastrukturze. Microsoft w tym celu uruchomił nawetostatnio w Brukseli CentrumTransparentności, w którym rządowi klienci mogliby ocenićkod, upewnić się, że nie zawiera żadnych furtek. Wiele innychfirm nie godzi się jednak na te żądania, niebezpodstawnieuważając, że może to być tylko sposób na szpiegostwoprzemysłowe. Dla dostawców oprogramowania ochronnego ma to jeszczejeden wymiar: czy pozwalając władzom państwowym na prześwietlenieich kodu, nie zdradzają w ten sposób swoich użytkowników?

W czerwcu tego roku The Interceptujawnił starania amerykańskich i brytyjskich służb wywiadowczych,mające na celu analizę oprogramowania Kaspersky Lab pod kątemewentualnych słabości. Posunięto się nawet do prób wykradzeniawrażliwych danych klientów Kaspersky Lab i przechwytywaniawiadomości ze zgłoszeniami nowoodkrytych próbek złośliwegooprogramowania. „Białe kapelusze” nie miały wątpliwości –oprogramowanie antywirusowe to wdzięczny temat dla szpiegów. Zjednej strony samo jest znacznie słabiej zabezpieczone niżprzeglądarki czy czytniki dokumentów, z drugiej jego skutecznewyexploitowanie od razu daje wszystko, czego napastnik mógłbypragnąć, włącznie z dostępem do jądra systemu.

Nie wydaje się, by staraniazachodnich szpiegów przyniosły jakieś spektakularne wyniki. Wzdobytych przez The Intercept dokumentach brytyjscy agenci GCHQ skarżyli się,że oprogramowanie ochronne Kaspersky Lab wciąż stanowi problem dladziałań ich sieci CNE (Computer Network Exploitation). Jako żetrudno zmusić rosyjską firmę do uległości, konieczne stało sięsięgnięcie po techniki odwrotnej inżynierii, co ciekawe,występując o sądowe zezwolenie na prowadzenie takich badań.Tłumaczono, że są one konieczne, by wyexploitować oprogramowanieantywirusowe i uniknąć wykrywania przez nie szpiegowskiegooprogramowania Brytyjczyków. Prace te, prowadzone wraz zamerykańskim NSA pod kryptonimem „Project Camberdada” wkrótcezostały rozszerzone na produkty innych firm – na liście znalazłosię 22 producentów oprogramowania antywirusowego.

Nie było na nich jednak anibrytyjskiego Sophosa, ani amerykańskich Symanteca i McAfee (IntelSecurity). I chyba nie było potrzeby ich tam umieszczać, gdyżnajwyraźniej lojalne wobec swoich rządów firmy wydały cały kodźródłowy swoich produktów bez zbytecznej opieszałości. Symantecnawet się z tym nie ukrywał, informując, że zgodziłsię na przegląd kodu źródłowego w kontrolowanych warunkach, byspełnić rządowe wymogi certyfikacji dla swoich produktów.Z kolei McAfee nabrało w tej kwestii wody w usta, a Sophoszaprzeczył, by kiedykolwiek swój kod ujawniał, zapewniając przytym, że zrobiłby to, jeśli byłoby to konieczne ze względu nainteres klienta w ramach uzgodnionych umów.

Vince Steckler, który wSymantecu przepracował wiele lat na kierowniczych stanowiskachprzyznaje, że nie ma w tym nic dziwnego – zajmujące siębezpieczeństwem firmy, które mają rządowych i korporacyjnychklientów, często godzą się na takie praktyki, by zabezpieczyćswoje długofalowe umowy. Jednak jaka jest rzeczywista dostępnośćtak ujawnionego kodu? W 2012 roku głośnobyło o znalezieniu przez hakerską grupę Lords of Dharmara koduproduktów Symanteca na słabo zabezpieczonych serwerach rządu Indii– i to mimo tego, że sama firma zaprzeczała, jakoby kiedykolwiekudostępniała coś indyjskim władzom.

Brak starań o kod źródłowyAvasta szefa czeskiej firmy nieco jednak zaskakuje. Są w końcuprawdopodobnie największym poza Chinami dostawcą narzędziochronnych, mającym 30% rynku i ponad 230 mln użytkowników, apochodzącym przecież w teorii z sojuszniczego kraju w NATO.Najwyraźniej NSA mogło mieć wątpliwości co do lojalności – wkońcu czy na pewno pokazany kod jest tym samym, który zostałskompilowany?

Sam Steckler jest tu realistą,zakładającym, że że taka jest cena działania w branżybezpieczeństwa. Jego zdaniem agencje szpiegowskie istnieją po to,by szpiegować, nie ma w tym nic niewłaściwego, po prostu trzebabyć tego świadomym. Dlatego też amerykańskie firmypowinny dobrze się zastanowić, zanim skorzystają zrosyjskiego oprogramowania, zaś rosyjski rząd musiałby byćszalony, by skorzystać ze sprzętu pochodzącego z Izraela– twierdzi szef Avasta.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na