Аудит программного кода необходим. Безопасность через неясность — зло

25 января информационное агенство Reuters сообщило что такие фирмы как McAfee, SAP и Symantec позволили российским спецслужбам произвести изучение исходного кода своих продуктов, а это «потенциально подвергает опасности компьютерные сети как минимум дюжины федеральных агенств CША ». Данная статья призвана рассказать об аудите исходного кода и какие компании его допускают, а так же рассмотреть тезис о том, что «разрешение России изучать исходный код таких программных решений может привести к выявлению неизвестных уязвимостей, которые могут быть использованы для подрыва сетевой безопасности США».

Главная мысль статьи Reuters в том что запрос исходного кода для аудита плохая и опасная практика. Это попросту неверно. Аудит кода очень широко распространенная регулярная практика, используемая как компаниями, так и профессиональными разработчиками, специалистами в области информационной безопасности, чтобы убедиться в безопасности устанавливаемого программного обеспечения(ПО). Так же в статье информационного агентства отмечается что «Reuters не нашло никаких свидетельств того что аудит исходного кода имел значение для проведения кибератак». Для нас в фонде EFF является обычным делом выполнение аудита исходного кода любого ПО, которое мы выбираем для использования.

Подчеркнем для полной ясности: мы не хотим преуменьшать степень иностранных угроз для кибербезопасности США или подстрекать к использованию уязвимостей ПО, напротив, мы хотим подчеркнуть что открытый код(open source) и аудит кода — одни из сильных мер безопасности. Именно поэтому EFF серьезно поддерживает распространение и использование открытого ПО.

Не только производители ПО запрещают иностранным правительствам производить аудит кода, торговые соглашения используются теперь и для того чтобы запрещать странам запрашивать аудит кода важных для них программных комплексов. Первым торговым соглашением с таким ограничением стало Трансатлантическое партнерство ( Comprehensive and Progressive Trans-Pacific Partnership — CPTPP так же известное как TPP), которое должно быть подписано в марте этого года. Аналогичное ограничение предлагается включить в обновленное соглашение о Североамериканской зоне свободной торговли(NAFTA) и в грядущем двустороннем соглашении с ЕС. EFF уже заявлял о своей позиции по данному вопросу: такие запреты на обязательный аудит кода создают препятствия для легализации мер по подтверждению безопасности и качества такого ПО как VPN и средств безопасного общения, а так же таких устройств как роутеров и IP-камер.

Неявное предположение что «сохранение нашего исходного кода закрытым повышает нашу защищенность» очень опасно. Исследователи и эксперты в области информационной безопасности периодически наглядно демонстрируют нам что защищенность, главным образом, полагающаяся на безопасность через неясность просто не работает. Еще хуже то что она дает ит-специалистам ложное чувство безопасности и поддерживает этим соответствующие плохие подходы к информационной безопасности.

Даже во времена политических бурь и неопределенности мы не должны терять головы. Разрешение проведения аудитов исходного кода программ не является вызовом для нашей национальной безопасности —на самом деле нам крайне необходимо, чтобы их было больше.