HP Enterprise mostrò alla Russia i sorgenti del software di difesa in uso al Pentagono

03 Ottobre 2017 31

Stando a un'inchiesta di Reuters, Hewlet Packard Enterprise (che, ricordiamo, è da tempo diventata un'azienda completamente indipendente da HP Consumer) ha permesso ai militari russi di visionare il codice sorgente di ArcSight, un software di protezione informatica che è usato, tra l'altro, anche dal Pentagono per proteggere le sue reti informatiche.

Reuters ha scovato l'informazione parlando con fonti interne al governo russo e incrociando le loro dichiarazioni con documenti di pubblico dominio. A quanto pare, l'obiettivo di HPE era quello di aggiudicarsi la certificazione di sicurezza necessaria a vendere le proprie soluzioni software sul territorio russo.

HPE non ha negato i fatti, anzi, li ha confermati, ma ha precisato che il codice è stato esaminato dai delegati russi (nello specifico, analisti della società privata Echelon, nota per le proprie affinità con il Cremlino) sotto strettissima sorveglianza di HPE stessa, e sono state prese numerose misure di protezione affinché nessuna parte del codice lasciasse l'edificio. In altre parole, sempre secondo l'azienda, né il software né il codice sorgente sono stati compromessi in alcun modo.

Per la Russia sono pratiche più o meno standard quando si tratta di software così delicati. Il suo obiettivo primario è identificare eventuali backdoor realizzate dagli Stati Uniti. Ma d'altra parte, è facile immaginare come gli USA vedano questa procedura come una possibile opportunità per la Russia di scovare vulnerabilità da sfruttare.

Il fatto è avvenuto l'anno scorso, proprio quando le due superpotenze si accusavano a vicenda di un numero sempre crescente di attacchi informatici. Per il momento, comunque, il governo USA non ha rilasciato dichiarazioni ufficiali. Il clima tra le due fazioni, tuttavia, rimane ben lungi dall'essere disteso e amichevole, come abbiamo avuto modo di verificare ancora una volta appena qualche ora fa.

Cerchi lo schermo con la maggiore risoluzione e supporto 4K?? Sony Xperia XZ Premium è in offerta oggi su a 384 euro.

31

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Rick Deckard®

Una volta identificata la backdoor...

luca

Sai cosa dice Eco?

gioboni

Tu hai ragione, ma solo in parte: se é vero che un sw chiuso non garantisce sicurezza, é anche vero che é più facile trovare falle avendo a disposizione il codice sorgente piuttosto che mediante reverse engineering.

takaya todoroki

Ma quante se*he mentali vi fate per il codice?
HP non lo rende pubblico solo perché ha paura che azienda da 4 soldi lo prendano, lo modifichino un po' e facciano il proprio prodotto concorrente a costo zero.
La sicurezza non è MAI data dalla segretezza, chiavi private a parte (e queste non sono necessarie per compilare, ma casomai per firmare)

Sergio Iovino

si appunto. E se queste societa' terze vengono violate?Il codice andrebbe in mano a terzi, a questo punto dovrebbero avere la stessa sicurezza delle agenzie governative e dubito pure di questo.Mi sembra una fandonia.

Max

Si ma qui parliamo di un azienda privata

Max

Già...

DeeoK

No, se il software è ben fatto non ci sono reali problemi.
E' dai tempi del DES che si è capito che basarsi sulla segretezza per assicurare la sicurezza di un software è una pessima idea.

mds

Ma parole mie che? Io ho solo detto che non ha alcun senso memorizzare milioni di linee di codice, è semplicemente lavoro inutile, l'importante è capire cosa fa.
Ma poi: "una sola occhiata"??Secondo te uno stato deve affidare la sicurezza nazionale ad un software scritto da un azienda estera e gli da solo un'occhiata?

Max

Molto meno dannoso mettere in mano ai russi il db dei cittadini che il software di difesa

Aniene

Quello che gli hanno mostrato è chiaro, quello che è da dimostrare è che i russi con una sola occhiata agli "algoritmi" siano riusciti a carpirne il funzionamento.
Parole tue.

mds

E quindi cosa gli fanno vedere?
I commenti degli sviluppatori?

Aniene

E secondo te HP è così fessa da mostrare loro roba che possa essere così facile da manipolare? Credete troppo in voi stessi ragazzi.
A meno che non lavorate nel Security IT Department di una qualche big company con le annesse certificazioni i commenti così valgono come il due di picche.

mds

Non serve a nulla memorizzazione le righe di codice

Aniene

Chissà quanti terabyte di dati possono aver registrato anche con una memoria fotografica. Migliaia e migliaia di righe di codice.

camo

La cosa che più mi fa pensare sulla faccenda è quanto sia normale che superpotenze comprino un sw di terze parti per la loro sicurezza e che soprattutto questo sw non sia dato in esclusiva. Boh, mi pare che manchino un po' di pezzi della storia per giudicarla razionalmente...

Andrej Peribar

Principio di Kerckhoffs

SUPerPony

"sono state prese numerose misure di protezione affinché nessuna parte del codice lasciasse l'edificio"

Hanno cancellato la memoria ai dipendenti??

Vash 3rr0r

Risposta brillantissima. Se io sono il proprietario di un software e ti ci faccio guardare dentro tu non lo hai bucato. quindi il software fino aprova contraria funziona ancora.

E come se tu avessi una casa a prova di ladro: nel momento in cui un tuo amico ci entra non è più a prova di ladro?

DeeoK

E' un software di difesa, mica il db dell'anagrafica dei cittadini.

DeeoK

Neanche gli USA lo fanno, se è per questo.
Il "problema" delle soluzioni open sono le licenze ed il fatto che spesso si preferisce tirare su accrocchi piuttosto che investire in sistemi ben fatti.

DeeoK

Nel caso di software ben scritto il fatto che sia pubblico non è un reale problema.
Il problema è quel "ben scritto".

sickOfTech

E quindi? Mi sembra ovvio che prima di adottarlo dovessero visionarlo... Anche se vorrei capire cosa vuol dire "guardare il codice". In un software complesso, trovare una backdoor è molto molto difficile anche se ci lavori per giorni.

luca

nel momento in cui ci guardi non è più a prova di hacker.

Yellowt

Come sempre, ci si chiede come mai i grandiosi russi o cinesi non siano in grado di prendere una soluzione open e plasmarla secondo le loro necessità...
vanno dal nemico a comprare software, contenti loro...

Vash 3rr0r

Ricapitolando: I Russi prima di acquistare ( o prendere in considerazione l'acquisto) vogliono visionare il prodotto per vedere se ha difetti; gli americani pensano che i russi vogliono prima vedere la merce così se ha dei difetti li possono usare contro di loro.

Logica vuole quindi che questo programma sia a prova di Hacker! dev'essere per forza cosi se tutti ci guardano dentro.

Andrej Peribar

E nello specifico quale sarebbe il problema?

FuckingIdUser

Da rabbrividire.
Era necessario dirgli che era il sistema di sicurezza del Pentagono?

Sagitt

ma dai non ci credo

matteventu

Americani vs russi
Non glie ne frega niente dell'etica.

Max

proprio un azienda con cui stringere accordi a questo livello... per farsi pubblicità mostra le soluzioni adottate per un altro Governo. Geniali.

Android

ASUS Zenfone 5Z (3300 mAh): LIVE Batteria | Fine ore 20:55

HDMotori.it

Volkswagen e QuantumScape, joint venture per le batterie allo stato solido

Android

OnePlus 6 con Android P (DP2): veloce, fluido e quasi completo | Video

HDMotori.it

Auto ibride 2018: i modelli in commercio in Italia, prezzi e autonomia