Над клиентами «Лаборатории Касперского» нависла киберугроза — в компании рассказали, что бывший сотрудник опубликовал в интернете часть секретного кода. Сейчас данные удалены, проведено внутреннее расследование. Как это отразится на пользователях? И что грозит нарушителю? Об этом — Иван Якунин.
Фото: Юрий Мартьянов, Коммерсантъ / купить фото
Как заявили в «Лаборатории Касперского», такие утечки тщательно контролируются, поэтому на следующий день слитые данные удалили. Дополнительно комментировать этот инцидент в компании отказались.
Главный редактор журнала «Хакер» Илья Русанен объяснил, что такое исходный код и почему его лучше хранить в тайне: «Любая программа изначально пишется в исходном коде — это алгоритм работы программы, грубо говоря, ее логика, записанная на понятном человеку языке. Если у вас есть исходный код, зачастую гораздо проще восстановить логику работы самой программы, чем искать в ней какие-то уязвимости. Разумеется, существуют другие методы поиска "дыр" в системе безопасности, но с исходниками это сделать гораздо проще».
Новость вызвала бурную реакцию пользователей соцсетей, по всей видимости, клиентов «Лаборатории Касперского». В официальном пресс-релизе компания уверяет, что безопасности клиентов ничего не угрожает и что размещенный исходный код вообще не является частью антивируса.
Эксперт в области информационной безопасности Максим Эмм тоже считает, что волнения пользователей не обоснованны, так как некоторые компании вообще не скрывают свой исходный код: «Части исходного кода отличаются по степени важности. Если описывается, каким образом защищается этот продукт, то потенциальные злоумышленники могут этим делом заинтересоваться.
Это неприятно, но считать, что из-за утечки части информации об исходном коде антивирус стал бесполезным, конечно, нельзя.
У многих операционных систем, начиная с Linux, исходный код всегда был открытым. Это не означает, что там есть какие-то проблемы, связанные с его публикацией».
Как сообщили в компании, сотрудник не похищал данные — к коду у него был законный доступ. Система позволила узнать, кто именно скачал его. Размещенные в Сети сведения считаются собственностью компании, поэтому против неназванного сотрудника возбуждено уголовное дело за разглашение коммерческой тайны. Ему грозит штраф до 1 млн руб. или лишение свободы на срок до трех лет.
Обычно компании контролируют, кто и в каком объеме получает доступ к таким данным, рассказал гендиректор компании R-Vision Александр Бондаренко: «Есть механизмы контроля доступа как ко всему коду, так и к его отдельным частям, которые определяются внутренней политикой компании. Но если речь идет о разработчике с достаточном высоким уровнем доступа, то вполне возможно, что он вполне мог знать большой фрагмент исходного кода. Вообще, подобные инциденты с периодически случаются. Касались они, в частности, и компании Microsoft».
Впрочем, утечка может в итоге даже пойти на пользу «Лаборатории Касперского». Если кто-либо из программистов захочет изучить исходный код компании и найдет там уязвимость, он, скорее всего, сообщит об этом создателю антивирусов. Ведь прошлой осенью «Лаборатория Касперского» пообещала увеличить выплаты за такую помощь с $5 тыс. до $100 тыс.
Ранее «Лаборатория Касперского» собиралась самостоятельно опубликовать исходный код своих программ. Инициативу озвучили после того, как американские власти обвинили разработчиков в шпионаже в пользу российских спецслужб.