腾讯科技讯,路透社的调查显示,欧美多家科技公司,包括思科、IBM 和 SAP,正接受俄罗斯政府的要求,使其可以获得严格保密的产品源代码。近期,俄罗斯被指控支持针对欧美国家的黑客活动。
俄罗斯政府要求欧美科技公司允许政府部门审查信息安全产品的源代码,其中包括防火墙、反病毒软件,以及包含加密功能的软件,随后才批准这些产品在俄罗斯的进口和销售。这样的要求自 2014 年以来一直在增加,表面上是为了确保外国情报机构没有在产品中植入“后门”,从而入侵俄罗斯的系统。
然而,美国现任官员和前官员,以及信息安全专家指出,这样的审查给俄罗斯提供了机会,让该国政府可以发现源代码中的漏洞,通过指令来控制计算机设备的基本操作。
多家美国公司表示,它们正配合俄罗斯政府的要求,从而维持在俄罗斯庞大科技市场的份额。不过,至少一家美国公司,即赛门铁克表示,已停止配合俄罗斯政府以信息安全为由对源代码的审查。这一消息此前从未被曝光过。
赛门铁克表示,对其产品进行审查的一家实验室并没有充分独立于俄罗斯政府。
美国官员表示,关于让俄罗斯政府审查产品的源代码,他们已经向相关公司警示了风险。审查发现的漏洞可能被用于信息安全攻击。不过,只要这些公司的行为没有涉及军事应用,或是违反美国的制裁规定,美国官员就没有法律权力去阻止公司这样做。
作为企业来说,它们承受着压力。如果不配合俄罗斯监管部门的要求,就有可能被排除在利润丰厚的市场之外。这些公司表示,它们只允许俄罗斯政府在安全设施中审查源代码,防止代码被复制或修改。
这些要求来自俄罗斯联邦安全局(FSB)。美国政府指控称,该机构参与了希拉里在 2016 年美国总统大选过程中遭遇的网络攻击,以及 2014 年黑客入侵 5 亿雅虎邮箱账户的事件。不过,FSB 对此表示否认。FSB 同时也是主管高科技产品在俄罗斯销售审批的监管部门。
俄罗斯联邦技术和出口控制局(FSTEC)也参与到这些审查中。FSTEC 是一个负责打击网络间谍,保护国家机密的俄罗斯国防部门。由 FSTEC 发布的记录显示,从 1996 年至 2013 年,该部门在审批过程中对欧美公司 13 款科技产品的源代码进行了审查。而仅仅过去 3 年,该部门就进行了 28 次审查。
克里姆林宫发言人将所有问题都推给 FSB,而 FSB 没有回应媒体的采访要求。FSTEC 在声明中表示,该部门的审查活动符合国际惯例。美国国务院拒绝对此消息置评。
根据 8 名美国政府现任官员和前官员、4 名公司高管、3 名美国贸易律师,以及俄罗斯监管文件提供的信息,自 2014 年美俄关系恶化以来,俄罗斯政府对源代码审查的要求就越来越多。
消息人士表示,除了 IBM、思科和 SAP 之外,惠普企业和 McAfee 也允许俄罗斯政府对其产品源代码进行审查。
到目前为止,行业以外对这样的审查流程所知甚少。FSTEC 的文件,以及与被审查公司之间的沟通帮助外界了解到其中的某些内幕。
帮助美国科技公司了解俄罗斯进口法律的律师罗斯泽尔·汤姆森(Roszel Thomsen)表示,在向俄罗斯安全部门提供源代码带来的危害,以及预防可能的销售损失之间,这些公司必须做好平衡。他表示:“某些公司拒绝这样做。但另一些公司看到了潜在市场,并愿意接受这样的风险。”
美国贸易律师和政府官员表示,如果科技公司拒绝 FSB 对源代码的要求,那么它们的产品就可能会被无限期推迟,或是被完全排除在市场之外。根据市场研究公司 IDC 的数据,今年俄罗斯信息技术市场的规模预计达到 184 亿美元。
6 名曾就此事接触过相关公司的美国现任官员和前官员表示,他们对俄罗斯扩大审查的动机感到怀疑。
美国商务部一名前高级官员表示:“这是我们真正关心的问题。你得问问自己,他们究竟想要什么。显然,他们努力寻找可以利用的信息。而这带来了真正的问题。”他了解美国公司和俄罗斯政府之间的互动,于今年早些时候从商务部离职。
不过,并没有任何美国官员可以明确指出,这样的审查流程有可能造成什么样的黑客或网络间谍活动。
对产品源代码的审查并非俄罗斯独有。在美国,对于国防合同和其他敏感的政府项目,科技公司也允许政府部门在有限的情况下审查源代码。美国贸易律师表示,其他国家有些时候也会要求审查源代码,随后才允许商用软件的进口。
这样的审查通常在被称作“洁净室”的安全设施中进行。不过网站信息显示,代表俄罗斯监管部门对欧美科技公司产品进行检测的几家俄罗斯公司目前或曾经与俄罗斯军方有关联。
总部位于莫斯科的科技检测公司 Echelon 是获得 FSB 认证的独立检测中心之一。欧美科技公司可以雇佣这些检测中心,协助获得 FSB 对其产品的审批。
Echelon CEO 阿莱克谢·马尔科夫(Alexey Markov)表示,他们的工程师在特殊实验室中审查源代码,而软件数据不可能被修改或转移。这些实验室由公司,而非政府部门控制。
马尔科夫表示,Echelon 是一家私营、独立的公司,但与俄罗斯军方和司法部门有商业合作。不过 Echelon 的网站显示,该公司于 2013 年被俄罗斯国防部授予“保护国家机密”奖章。网站上偶尔也将马尔科夫称作“国防部鉴证中心负责人”。
马尔科夫在电子邮件中回应称,这样的头衔仅仅是为了反映 Echelon 扮演的角色,即参与军方科技产品检测、获得认证的外部检测服务提供商。这些奖章并没有实际意义。
不过赛门铁克发言人克里斯滕·巴切(Kristen Batch)表示,该实验室并不满足赛门铁克关于独立性的标准。她表示:“在俄罗斯,我们决定通过部署未受损害的安全产品来保护我们的客户。这比在俄罗斯扩大市场份额更重要。”不过她也指出,赛门铁克并不认为俄罗斯政府试图对该公司的产品进行黑客攻击。
2016 年,赛门铁克决定,不再聘请与外国政府有关联,或是从政府检测服务中获得大部分收入的第三方,例如 Echelon。巴切表示:“这给我们产品的完整性带来了风险,我们不愿意接受。”
由于没有获得源代码层面的批准,赛门铁克无法在俄罗斯销售某些面向商业用户的安全产品。巴切表示:“我们在那里的业务规模很小。”
由于与赛门铁克之间的保密协议,马尔科夫拒绝就赛门铁克的决定置评。
FSTEC 的文件显示,过去一年,惠普曾聘请 Echelon,根据 FSTEC 的要求审查源代码。该公司发言人拒绝对此置评。
IBM 发言人证实,该公司允许俄罗斯在安全的、由企业控制的设施中审查产品源代码,这些设施内部“遵循严格的程序”。
FSTEC 的记录显示,位于莫斯科郊外的独立测试公司 Information Security Center 曾帮助该部门审查 IBM 的代码。20 多年前,该公司在俄罗斯国防部下属机构的支持下成立。该公司尚未对此消息置评。
McAfee 在声明中表示,俄罗斯的代码审查是在美国境内、该公司拥有的设施中的“认证测试实验室”进行的。
消息人士透露,SAP 允许俄罗斯在德国一处安全的 SAP 设施内审查和测试源代码。SAP 在声明中表示,这样的审查程序可以向俄罗斯客户保证,“他们对 SAP 软件的投资是安全可靠的”。
消息人士表示,思科最近也开始允许俄罗斯审查其源代码。思科发言人拒绝就该公司与俄罗斯政府的互动关系置评,但表示该公司有时会允许监管部门在“可信的”独立实验室中检查其代码的一小部分,而这些审查不会影响其产品的安全性。
她表示,在允许审查之前,思科会仔细评估这些代码,避免其中存在任何可能导致产品被黑客攻击的漏洞。