Sap, Symantec e McAfee “cedono” ai russi. Svelati i codici, a rischio la sicurezza Usa?

Alcuni dei maggiori fornitori globali di tecnologie – Sap, Symantec e McAfee – hanno permesso alle autorità russe di passare al setaccio i software che forniscono ai clienti, una pratica che agevola gli affari in Russia ma che mette a repentaglio la sicurezza delle agenzie governative statunitensi che impiegano gli stessi software. A svelarlo è un’indagine condotta da Reuters che per ora menziona solo Sap, Symantec e McAfee, ma indica che molti più provider occidentali sarebbero coinvolti, con decine di agenzie governative potenzialmente minacciate.
Per poter vendere sul mercato russo, le aziende tecnologiche permettono a un ente della Difesa russa di entrare nei meccanismi dei loro prodotti, compresi i codici sorgente. Le autorità russe sostengono che questa supervisione serve a scongiurare la presenza di falle nei software che possono essere sfruttate dagli hacker. Tuttavia gli stessi prodotti sono implementati presso enti del governo Usa tra cui Pentagono, Nasa, Dipartimento di Stato, Fbi e altri organismi dell’intelligence, spesso proprio per contrastare il cyberspionaggio e gli attacchi hacker di paesi come la Russia.
Reuters aveva già svelato in un’inchiesta pubblicata lo scorso ottobre che un software di Hewlett Packard Enterprise, ArcSight, usato per la sicurezza dei computer del Pentagono, era stato messo a disposizione di un cliente delle forze militari russe con stretti legami con i servizi russi di intelligence. L’agenzia di stampa è andata avanti nell’indagine, passando in rassegna documenti del procurement federale americano e degli enti regolatori russi, e ora afferma che i rischi per la sicurezza del governo americano sono più ampi del previsto. Per esempio ArcSight è usato non solo dal Pentagono ma da almeno sette altre agenzie federali, tra cui l’Office of the Director of National Intelligence e la divisione di intelligence del Dipartimento di Stato. I prodotti di Sap, Symantec e McAfee passati al vaglio dalle autorità russe sono usati da almeno otto agenzie Usa.
Interpellate, le aziende citate nell’inchiesta dell’agenzia di stampa hanno detto che le autorità russe possono prendere visione del codice sorgente solo sotto la loro supervisione e in località e modalità sicure per impedire che il codice venga alterato. Tale processo, sostengono Sap, Symantec, McAfee e Micro Focus, la società che oggi possiede ArcSight, non compromette la sicurezza dei loro prodotti. Tuttavia, dopo che il processo di revisione delle autorità di Mosca è stato portato alla luce, Symantec e McAfee hanno indicato che non consentono più tale revisione e Micro Focus l’ha drasticamente limitata.
Reuters aggiunge di non aver trovato casi in cui il codice sorgente dei provider tecnologici sia stato sfruttato per un cyberattacco, ma il Pentagono ha espresso preoccupazione che paesi come Russia e Cina possano far leva su vulnerabilità software per attaccare le agenzie della Difesa e dell’intelligence di altri paesi e gli esperti del settore privato condividono questi timori, come ha sottolineato Steve Quane, executive vice president for network defense di Trend Micro, che vende all’esercito americano il software di sicurezza TippingPoint e sostiene di aver sempre respinto la richiesta di Mosca di passare al vaglio il suo prodotto e i suoi codici.