路透社的調查顯示,歐美多家科技公司,包括思科、IBM和SAP,正接受俄羅斯政府的要求,使其可以獲得嚴格保密的產品源代碼。近期,俄羅斯被指控支持針對歐美國家的黑客活動。
俄羅斯政府要求歐美科技公司允許政府部門審查信息安全產品的源代碼,其中包括防火墻、反病毒軟件,以及包含加密功能的軟件,隨后才批準這些產品在俄羅斯的進口和銷售。這樣的要求自2014年以來一直在增加,表面上是為了確保外國情報機構沒有在產品中植入“后門”,從而入侵俄羅斯的系統。
然而,美國現任官員和前官員,以及信息安全專家指出,這樣的審查給俄羅斯提供了機會,讓該國政府可以發現源代碼中的漏洞,通過指令來控制計算機設備的基本操作。
多家美國公司表示,它們正配合俄羅斯政府的要求,從而維持在俄羅斯龐大科技市場的份額。不過,至少一家美國公司,即賽門鐵克表示,已停止配合俄羅斯政府以信息安全為由對源代碼的審查。這一消息此前從未被曝光過。
賽門鐵克表示,對其產品進行審查的一家實驗室并沒有充分獨立于俄羅斯政府。
美國官員表示,關于讓俄羅斯政府審查產品的源代碼,他們已經向相關公司警示了風險。審查發現的漏洞可能被用于信息安全攻擊。不過,只要這些公司的行為沒有涉及軍事應用,或是違反美國的制裁規定,美國官員就沒有法律權力去阻止公司這樣做。
作為企業來說,它們承受著壓力。如果不配合俄羅斯監管部門的要求,就有可能被排除在利潤豐厚的市場之外。這些公司表示,它們只允許俄羅斯政府在安全設施中審查源代碼,防止代碼被復制或修改。
這些要求來自俄羅斯聯邦安全局(FSB)。美國政府指控稱,該機構參與了希拉里在2016年美國總統大選過程中遭遇的網絡攻擊,以及2014年黑客入侵5億雅虎郵箱賬戶的事件。不過,FSB對此表示否認。FSB同時也是主管高科技產品在俄羅斯銷售審批的監管部門。
俄羅斯聯邦技術和出口控制局(FSTEC)也參與到這些審查中。FSTEC是一個負責打擊網絡間諜,保護國家機密的俄羅斯國防部門。由FSTEC發布的記錄顯示,從1996年至2013年,該部門在審批過程中對歐美公司13款科技產品的源代碼進行了審查。而僅僅過去3年,該部門就進行了28次審查。
克里姆林宮發言人將所有問題都推給FSB,而FSB沒有回應媒體的采訪要求。FSTEC在聲明中表示,該部門的審查活動符合國際慣例。美國國務院拒絕對此消息置評。
根據8名美國政府現任官員和前官員、4名公司高管、3名美國貿易律師,以及俄羅斯監管文件提供的信息,自2014年美俄關系惡化以來,俄羅斯政府對源代碼審查的要求就越來越多。
消息人士表示,除了IBM、思科和SAP之外,惠普企業和McAfee也允許俄羅斯政府對其產品源代碼進行審查。
到目前為止,行業以外對這樣的審查流程所知甚少。FSTEC的文件,以及與被審查公司之間的溝通幫助外界了解到其中的某些內幕。
幫助美國科技公司了解俄羅斯進口法律的律師羅斯澤爾·湯姆森(Roszel Thomsen)表示,在向俄羅斯安全部門提供源代碼帶來的危害,以及預防可能的銷售損失之間,這些公司必須做好平衡。他表示:“某些公司拒絕這樣做。但另一些公司看到了潛在市場,并愿意接受這樣的風險。”
美國貿易律師和政府官員表示,如果科技公司拒絕FSB對源代碼的要求,那么它們的產品就可能會被無限期推遲,或是被完全排除在市場之外。根據市場研究公司IDC的數據,今年俄羅斯信息技術市場的規模預計達到184億美元。
6名曾就此事接觸過相關公司的美國現任官員和前官員表示,他們對俄羅斯擴大審查的動機感到懷疑。
美國商務部一名前高級官員表示:“這是我們真正關心的問題。你得問問自己,他們究竟想要什么。顯然,他們努力尋找可以利用的信息。而這帶來了真正的問題。”他了解美國公司和俄羅斯政府之間的互動,于今年早些時候從商務部離職。
不過,并沒有任何美國官員可以明確指出,這樣的審查流程有可能造成什么樣的黑客或網絡間諜活動。
對產品源代碼的審查并非俄羅斯獨有。在美國,對于國防合同和其他敏感的政府項目,科技公司也允許政府部門在有限的情況下審查源代碼。美國貿易律師表示,其他國家有些時候也會要求審查源代碼,隨后才允許商用軟件的進口。
這樣的審查通常在被稱作“潔凈室”的安全設施中進行。不過網站信息顯示,代表俄羅斯監管部門對歐美科技公司產品進行檢測的幾家俄羅斯公司目前或曾經與俄羅斯軍方有關聯。
總部位于莫斯科的科技檢測公司Echelon是獲得FSB認證的獨立檢測中心之一。歐美科技公司可以雇傭這些檢測中心,協助獲得FSB對其產品的審批。
Echelon CEO阿萊克謝·馬爾科夫(Alexey Markov)表示,他們的工程師在特殊實驗室中審查源代碼,而軟件數據不可能被修改或轉移。這些實驗室由公司,而非政府部門控制。
馬爾科夫表示,Echelon是一家私營、獨立的公司,但與俄羅斯軍方和司法部門有商業合作。不過Echelon的網站顯示,該公司于2013年被俄羅斯國防部授予“保護國家機密”獎章。網站上偶爾也將馬爾科夫稱作“國防部鑒證中心負責人”。
馬爾科夫在電子郵件中回應稱,這樣的頭銜僅僅是為了反映Echelon扮演的角色,即參與軍方科技產品檢測、獲得認證的外部檢測服務提供商。這些獎章并沒有實際意義。
不過賽門鐵克發言人克里斯滕·巴切(Kristen Batch)表示,該實驗室并不滿足賽門鐵克關于獨立性的標準。她表示:“在俄羅斯,我們決定通過部署未受損害的安全產品來保護我們的客戶。這比在俄羅斯擴大市場份額更重要。”不過她也指出,賽門鐵克并不認為俄羅斯政府試圖對該公司的產品進行黑客攻擊。
2016年,賽門鐵克決定,不再聘請與外國政府有關聯,或是從政府檢測服務中獲得大部分收入的第三方,例如Echelon。巴切表示:“這給我們產品的完整性帶來了風險,我們不愿意接受。”
由于沒有獲得源代碼層面的批準,賽門鐵克無法在俄羅斯銷售某些面向商業用戶的安全產品。巴切表示:“我們在那里的業務規模很小。”
由于與賽門鐵克之間的保密協議,馬爾科夫拒絕就賽門鐵克的決定置評。
FSTEC的文件顯示,過去一年,惠普曾聘請Echelon,根據FSTEC的要求審查源代碼。該公司發言人拒絕對此置評。
IBM發言人證實,該公司允許俄羅斯在安全的、由企業控制的設施中審查產品源代碼,這些設施內部“遵循嚴格的程序”。
FSTEC的記錄顯示,位于莫斯科郊外的獨立測試公司Information Security Center曾幫助該部門審查IBM的代碼。20多年前,該公司在俄羅斯國防部下屬機構的支持下成立。該公司尚未對此消息置評。
McAfee在聲明中表示,俄羅斯的代碼審查是在美國境內、該公司擁有的設施中的“認證測試實驗室”進行的。
消息人士透露,SAP允許俄羅斯在德國一處安全的SAP設施內審查和測試源代碼。SAP在聲明中表示,這樣的審查程序可以向俄羅斯客戶保證,“他們對SAP軟件的投資是安全可靠的”。
消息人士表示,思科最近也開始允許俄羅斯審查其源代碼。思科發言人拒絕就該公司與俄羅斯政府的互動關系置評,但表示該公司有時會允許監管部門在“可信的”獨立實驗室中檢查其代碼的一小部分,而這些審查不會影響其產品的安全性。
她表示,在允許審查之前,思科會仔細評估這些代碼,避免其中存在任何可能導致產品被黑客攻擊的漏洞。