“Natiestaten nemen een strategische positionering aan”, zegt George Barnes, een voormalig adjunct -directeur bij het National Security Agency, die 36 jaar bij de NSA heeft doorgebracht en nu optreedt als senior adviseur en investeerder in gejaagde laboratoria. Barnes zegt dat hackers binnen de Russische inlichtingendiensten EasyJson in de toekomst als een mogelijke kans voor misbruik kunnen zien.
“Het is een volledig efficiënte code. Er is geen bekende kwetsbaarheid over, vandaar dat geen enkel ander bedrijf er iets mis mee heeft geïdentificeerd”, zegt Barnes. “Toch staan de mensen die het daadwerkelijk bezitten onder het mom van VK, dat krap is met het Kremlin,” zegt hij. “Als ik daar zit in de GRU of de FSB en ik kijk naar de waslijst met kansen … dit is perfect. Het ligt daar gewoon”, zegt Barnes, verwijzend naar de buitenlandse militaire en binnenlandse veiligheidsinstanties van Rusland.
VK Group reageerde niet op het verzoek van Wired om commentaar over EasyJson. Het Amerikaanse ministerie van Defensie heeft niet gereageerd op een verzoek om commentaar over de opname van EasyJson in zijn software -opstelling.
“NSA heeft geen opmerking te maken op deze specifieke software”, zegt een woordvoerder van het National Security Agency. “Het NSA Cybersecurity Collaboration Center verwelkomt tips van de particuliere sector – wanneer een tip wordt ontvangen, trekt NSA de tip tegen onze eigen inzichten om de dreiging volledig te begrijpen en, indien bevestigd, relevante mitigaties met de gemeenschap te delen.” Een woordvoerder van de Amerikaanse cybersecurity en infrastructuurbeveiligingsbureau, die te maken heeft gehad met onrust onder de tweede Trump -administratie, zegt: “We gaan u terug verwijzen naar gejaagde laboratoria.”
GitHub, een code -repository die eigendom is van Microsoft, zegt dat hoewel het problemen zal onderzoeken en actie zal ondernemen waar het beleid is verbroken, het zich niet bewust is van kwaadaardige code in EasyJson en VK is niet gesanctioneerd. De behandeling van andere technologiebedrijven van VK varieert. Nadat Groot -Brittannië de leiders van Russische banken die in september 2022 in VK bezitten, bestraften, heeft Apple bijvoorbeeld zijn sociale media -app uit de app store verwijderd.
Dan Lorenc, de CEO van supply chain beveiligingsbedrijf Chainguard, zegt dat de verbindingen met Rusland met EasyJson in “gewoon zicht” zijn en dat er een “iets hoger” cybersecurity -risico is dan die van andere softwarebibliotheken. Hij voegt eraan toe dat de rode vlaggen rond andere open source -technologie misschien niet zo duidelijk zijn.
“In de algehele open source -ruimte weet je niet noodzakelijkerwijs zelfs waar mensen zijn,” zegt Lorenc, erop wijzend dat veel ontwikkelaars hun identiteit of locaties niet online bekendmaken, en zelfs als ze dat doen, is het niet altijd mogelijk om te controleren of de details correct zijn. “De code is wat we moeten vertrouwen en de code en de systemen die worden gebruikt om die code te bouwen. Mensen zijn belangrijk, maar we zijn gewoon niet in een wereld waar we het vertrouwen naar de individuen kunnen duwen,” zegt Lorenc.
Aangezien de volledige invasie van Rusland in Oekraïne zich heeft afgevouwen, is er een toegenomen onderzoek geweest op het gebruik van open source-systemen en de impact van sancties op entiteiten die betrokken zijn bij de ontwikkeling. In oktober vorig jaar verwijderde een Linux Kernel -onderhouder 11 Russische ontwikkelaars die betrokken waren bij het Open Souce -project, in grote lijnen die sancties als reden voor de verandering noemden. In januari van dit jaar heeft de Linux Foundation richtlijnen uitgegeven over hoe internationale sancties de open source kunnen beïnvloeden, zeggend dat ontwikkelaars voorzichtig moeten zijn met met wie ze communiceren en de aard van interacties.
