Russische overheid onderzocht broncode van HPE ArcSight

Hewlett Packard Enterprise (HPE) heeft de Russische overheid in 2016 toegang gegeven tot de broncode van de security information and event management (SIEM) oplossing HPE ArcSight. Dit was nodig om toestemming te krijgen de software in Rusland te mogen leveren. De software wordt echter ook gebruikt door het Amerikaanse Pentagon.

Dit meldt Reuters op basis van bronnen die bekend zijn met de zaak en Russische overheidsdocumenten. ArcSight is een SIEM-oplossing die ondermeer threat detectie, analysemogelijkheden, triagefunctionaliteit en compliance management bevat. De software helpt organisaties security events te analyseren en prioriteren.

Ook andere bedrijven geven toegang tot broncode

Het is geen verrassing dat de broncode van HPE’s ArcSight is onderzocht door de Russische overheid. Rusland eist al langer van Westerse bedrijven toegang tot de broncode van software. Dit aangezien het land naar eigen zeggen wil controleren of er geen backdoors in de software aanwezig zijn die door Westerse overheden kunnen worden uitgebuit. The Register wijst erop dat niet alleen HPE, maar ook HP, Cisco, IBM, McAfee en SAP de Russische overheid toegang hebben gegeven tot de broncode van hun software.

De broncode van ArcSight is in 2016 onderzocht door het bedrijf Echelon in opdracht van het Russische Federal Service for Technical and Export Control (FSTEC), een overheidsdienst die zich richt op het tegengaan van digitale spionage. Alexey Markov, directeur en mede-eigenaar van Echelon, bevestigt de review aan Reuters en geeft aan verplicht te zijn kwetsbaarheden die worden aangetroffen te communiceren met de Russische overheid. Markov benadrukt dit pas te doen nadat de softwarefabrikant op de hoogte is gesteld van het beveiligingsprobleem en Echelon toestemming heeft gekregen van de softwarefabrikant om het lek naar buiten te mogen brengen. Markov wil niet zeggen of er tijdens de review van ArcSight kwetsbaarheden zijn aangetroffen.

Reactie HPE

HPE laat in een reactie aan Reuters weten dat de broncode van ArcSight inderdaad is geanalyseerd door de Russische overheid. Het bedrijf wijst erop dat dergelijke reviews al jaren worden uitgevoerd. De review van ArcSight zou hebben plaatsgevonden bij een Research & Development Center van HPE dat buiten Rusland is gevestigd. HPE stelt dit proces nauwlettend te hebben gemonitord en benadrukt dat de broncode van ArcSight het pand niet heeft verlaten. Ook meldt het bedrijf dat er geen ‘backdoor kwetsbaarheden’ zijn aangetroffen in ArcSight. Het bedrijf stelt dan ook dat de broncode en producten van HPE op geen enkele manier zijn gecompromitteerd.

Security-analisten reageren variërend op het nieuws. Zo wijst voormalig security architect voor ArcSight Greg Martin op het risico dat een dergelijke review oplevert. Martin spreekt over een enorme kwetsbaarheid. “Je geeft hiermee de tegenstander absoluut toegang tot het binnenwerk van software en potentiële exploits”, aldus Martin. Oprichter van het SANS Institute Alan Paller wijst er echter op dat dergelijke kwetsbaarheden niet voldoende zijn om militaire netwerken binnen te dringen. Paller wijst erop dat hiervoor eerst allerlei andere beveiligingsmaatregelen zoals firewalls moeten worden omzeild. Ook noemt Paller de keuze van HPE om de Russische overheid toegang te geven tot de broncode van ArcSight niet verrassend, aangezien bedrijven die software willen leveren in Rusland simpelweg geen andere keuze hebben.