Кибербезопасность глазами бывшего разведчика американской армии

Мне нравится идея, что Китай, Россия, Северная Корея и другие страны, представляющие интерес для американской разведки, хотят пользоваться собственным ПО, и тому есть как минимум пять причин:

1. Почти все зарубежные программисты пишут скверный код.

Американские разработчики не совершенны, но все же превосходят коллег из других стран. Например, у Cisco много проблем, но запущены процессы их урегулирования, а также постоянно улучшается безопасность кода. Плохой код неамериканских разработчиков означает, что американской разведке легче взламывать иностранные объекты.

2. Почти все зарубежные предприятия отстают от уровня безопасности США на 5-10 лет.

Даже если иностранный объект интереса спецслужб имеет свое отечественное ПО с надежным кодом, ИТ процессы, поддерживающие этот код, отстают от американских аналогов. И богатый американский опыт учета ресурсов, управления обновлениями, обеспечения безопасности их отечественному коду не поможет. Недоработки в этих областях делают предприятия с неамериканским ПО легкими объектами для иностранных эксплойтов.

3. Иностранные компании с отечественным кодом выгодны как американской разведке, так и американским предприятиям.

Действующая программа Vulnerability equities process (согласно которой федеральное правительство США оценивает все выявленные уязвимости с точки зрения возможной пользы), ставит американскую разведку в затруднительное положение: замалчивать уязвимость и получать с ее помощью доступ к устройствам иностранных объектов, или докладывать разработчику о необходимости защитить американские и вражеские организации?

Дилемма исчезнет, если иностранные объекты будут пользоваться собственным кодом – патчи к американскому ПО на слежку за объектами не повлияют, а американцев защитят.

4. Написание и использование отечественного кода – это самый быстрый путь к улучшению.

Когда другие страны заказывают значительную часть программного обеспечения у внешних разработчиков, они теряют (или вообще не приобретают) способность самим писать и использовать качественное ПО. Написание и применение собственного кода – суровая школа безопасности для иностранных предприятий. Американская разведка сможет 3-5 лет порезвиться в их ПО, пока они топчутся на месте с постоянно скомпрометированными системами. Они, конечно, смогут научиться на ошибках, если направят на это национальное внимание и ресурсы, и тогда станут крепкими орешками для спецслужб. Но у американцев все равно останется преимущества пункта 3.

5. Надежный отечественный код способствует международной стабильности.

Страны типа Китая особенно уязвимы для американских эксплойтов, и их страхи обоснованы. Они не могут должным образом обновлять код внешних разработчиков, поэтому становятся легкой мишенью для хакерских атак, а во всех атаках они склонны винить американские спецслужбы. Все это очень дестабилизирует ситуацию в мире. И хотя разработка собственного ПО будет мучительным и долгим процессом, в результате он приведет к более стабильной ситуации. Страны почувствуют себя менее уязвимыми. Запустят собственную программу Vulnerability equities process. Станут экспертами, а не параноиками.

Последний момент: чтобы иностранным разработчикам запустить собственное производство, им фактически придется создавать ПО с открытым исходным кодом. С одной стороны, это даст им необходимую популярность и возможность использовать чужой опыт, но с другой, сведет на нет преимущества пункта 3. Однако держу пари, иностранцы тут похожи на американцев: они не доверяют открытому исходному коду и предпочитают изобретать свой собственный, возлагая всю ответственность на разработчиков. Поэтому можно не волноваться за американскую разведку, открытый исходный код еще не скоро устранит преимущества пункта 3.

Оригинал: https://taosecurity.blogspot.ru/

Перевод: Екатерина Галицкая