Pesquisadores de segurança alertam uma ferramenta de código aberto amplamente utilizado representa um risco ‘persistente’ para os EUA
“Os estados da nação assumem um posicionamento estratégico”, diz George Barnes, ex -vice -diretor da Agência de Segurança Nacional, que passou 36 anos na NSA e agora atua como consultor sênior e investidor em laboratórios caçados. Barnes diz que os hackers das agências de inteligência da Rússia podem ver Easyjson como uma oportunidade potencial de abuso no futuro.
“É um código totalmente eficiente. Não há vulnerabilidade conhecida sobre isso, portanto, nenhuma outra empresa identificou nada de errado com ele”, diz Barnes. “No entanto, as pessoas que realmente o possuem estão sob o disfarce de VK, que é apertado com o Kremlin”, diz ele. “Se estou sentado lá no GRU ou no FSB e estou olhando para a lista de oportunidades de lavanderia … isso é perfeito. Está apenas deitado lá”, diz Barnes, referenciando as agências de segurança militar e de segurança doméstica da Rússia.
O VK Group não respondeu ao pedido de comentário da Wired sobre easyjson. O Departamento de Defesa dos EUA não respondeu a um pedido de comentário sobre a inclusão da Easyjson em sua configuração de software.
“A NSA não tem um comentário a fazer sobre esse software específico”, diz um porta -voz da Agência de Segurança Nacional. “O Centro de Colaboração da Cibersegurança da NSA recebe dicas do setor privado – quando uma dica é recebida, a NSA triia a dica contra nossas próprias idéias para entender completamente a ameaça e, se corroborada, compartilhar qualquer mitigações relevantes com a comunidade.” Um porta -voz da Agência de Segurança de Segurança Cibernética e Infraestrutura dos EUA, que enfrentou a agitação sob o segundo governo Trump, diz: “Vamos encaminhá -lo de volta aos laboratórios caçados”.
O Github, um repositório de código de propriedade da Microsoft, diz que, embora ele investigue os problemas e tome medidas onde suas políticas são quebradas, não está ciente do código malicioso em Easyjson e VK não é sancionado. O tratamento de outras empresas de tecnologia da VK varia. Depois que a Grã -Bretanha sancionou os líderes de Bancos russos que possuem apostas Na VK, em setembro de 2022, por exemplo, a Apple removeu seu aplicativo de mídia social de sua App Store.
Dan Lorenc, CEO da empresa de segurança da cadeia de suprimentos Chainguard, diz que, com a Easyjson, as conexões com a Rússia estão na “visão simples” e que existe um risco “um pouco maior” de segurança cibernética do que as de outras bibliotecas de software. Ele acrescenta que as bandeiras vermelhas em torno de outra tecnologia de código aberto podem não ser tão óbvias.
“No espaço geral de código aberto, você nem sabe necessariamente onde as pessoas estão a maior parte do tempo”, diz Lorenc, apontando que muitos desenvolvedores não divulgam sua identidade ou locais on -line e, mesmo que o façam, nem sempre é possível verificar se os detalhes estão corretos. “O código é o que devemos confiar e no código e nos sistemas usados para construir esse código. As pessoas são importantes, mas não estamos em um mundo onde podemos levar a confiança para os indivíduos”, diz Lorenc.
Como a invasão em grande escala da Rússia na Ucrânia se desenrolou, houve um maior escrutínio sobre o uso de sistemas de código aberto e o impacto das sanções sobre as entidades envolvidas no desenvolvimento. Em outubro do ano passado, um mantenedor de kernel Linux Removido 11 desenvolvedores russos que estavam envolvidos no projeto Open Souce, citando amplamente as sanções como o motivo da mudança. Então, em janeiro deste ano, o Linux Foundation emitiu orientação Cobrindo como as sanções internacionais podem impactar o código aberto, dizendo que os desenvolvedores devem ter cuidado com quem eles interagem e a natureza das interações.
