De acordo com a lei russa, as empresas ocidentais são obrigadas a atender à solicitação do FSB e fornecer o código-fonte de seus programas proprietários para revisão antes de poderem entrar no mercado russo - as autoridades querem garantir que não haja backdoors internos nos programas. Todas as empresas cumprem este requisito. A Microsoft mostra o código fonte do Windows, enquanto Cisco, IBM, SAP e outras empresas compartilham com a Federação Russa o código fonte de seus firewalls, antivírus e programas com módulos criptográficos. Mas, recentemente, as empresas têm essa prática preocupante, porque, ao mesmo tempo, as agências de inteligência russas conseguem encontrar vulnerabilidades nos programas proprietários das empresas ocidentais,
escreve a Reuters. Essas vulnerabilidades podem ser usadas posteriormente durante ataques cibernéticos e espionagem.
Preocupada com a segurança de seus produtos, uma empresa - a Symantec - interrompeu a cooperação com os auditores russos.
Autoridades dos EUA dizem que alertaram as empresas comerciais sobre os riscos envolvidos na transferência de códigos-fonte para as autoridades russas. Mas o governo dos EUA não tem autoridade para proibir essa prática, se não for algum tipo de desenvolvimento militar, mas software puramente civil.
Por sua vez, as próprias empresas dizem que não têm outra escolha. Se eles não fornecerem o código fonte, não poderão entrar no mercado. A auditoria ocorre em um ambiente seguro, em salas especialmente equipadas para evitar vazamentos de código fonte.
Além da Cisco, IBM e SAP, sabe-se que os produtos Hewlett Packard Enterprise Co e McAfee foram submetidos a auditoria de código-fonte. Nos últimos anos, o número de solicitações de auditoria do código-fonte dos produtos Microsoft aumentou bastante.
Em geral, a Rússia foi a primeira do mundo a receber o código fonte do Windows. Isso aconteceu
em 2002 . A Microsoft concordou em mostrar a fonte apenas com a condição de que elas
sejam consideradas um segredo de estado da Federação Russa . A colaboração continuou nos anos seguintes. Por exemplo, no verão de 2010, a Microsoft forneceu ao FSB o código-fonte do Windows 7, Windows Server 2008 R2, Office 2010, SQL Server 2008 R2 e Exchange Server 2010 "para aumentar a confiança do governo nos produtos da Microsoft".
O exame direto do código fonte é realizado, inclusive pelo Serviço Federal de Controle Técnico e de Exportação (
FSTEC da Rússia ). Os registros do FSTEC afirmam que, de 1996 a 2013, realizou um exame do código-fonte de 13 produtos de tecnologia de empresas ocidentais e, de 2014 a 2016, o número de exames aumentou acentuadamente e totalizou 28. Em um comentário à Reuters, os representantes do FSTEC disseram que essa auditoria do código-fonte corresponde ao mundo Na prática, o FSB se recusou a comentar.
Mais algumas empresas credenciadas pelo FSB estão envolvidas em auditorias de código-fonte. Normalmente, todos eles têm laços com estruturas militares. Por exemplo, a empresa Echelon recebeu prêmios "State Secrets" do Ministério da Defesa.
Prédio da Echelon em MoscouApesar de todos os receios, os especialistas entrevistados pela Reuters não puderam citar um único caso específico de operação de hackers, ataques cibernéticos ou espionagem cibernética, que teria sido realizada devido ao fato de os serviços secretos russos terem acesso aos códigos-fonte de um ou outro produto proprietário. Até agora, esses medos são especulativos.
De fato, auditar o código fonte de produtos proprietários não é uma prática única para a Rússia. Até o governo dos EUA, em alguns casos, exige o código fonte de um programa fechado, especialmente quando se trata de uma ordem de defesa ou outro contrato importante. Às vezes, a China também exige o fornecimento de códigos-fonte como condição para a importação de software comercial.
Em 2014, a Microsoft abriu o Transparency Center em Redmond e, posteriormente, o mesmo em Bruxelas. Oficiais do governo podem visitar este local, verificar o código-fonte do sistema operacional Windows e outros programas - e garantir que eles não possuam backdoors e marcadores de espionagem.
O diretor da empresa Echelon, Alexei Markov, disse que o código é auditado em uma espécie de "salas limpas" - laboratórios especiais dos quais o código fonte não pode ser transmitido. Curiosamente, nem todos os procedimentos de auditoria ocorrem em Moscou. Por exemplo, especialistas russos conduziram o código fonte dos produtos SAP em um laboratório seguro da Alemanha.
Mas para a Symantec, essas condições não seriam suficientes se não confiasse na experiência.
"Isso representa um risco para a integridade de nossos produtos que não queremos aceitar", disse a porta-voz da empresa, Kristen Batch. Depois de se recusar a mostrar a fonte, a Symantec não poderá mais vender alguns produtos corporativos na Rússia.