A korábbi hivatalos álláspont még az volt, hogy a 2006-os forráskódokat egy meg nem nevezett, harmadik fél által üzemeltetett szerverrÅ‘l szerezték meg a hackerek. Ezek után meglepetésként érhet egyeseket, hogy a Reutersnek tegnap már nagyon más történetet adott elÅ‘ a Symantec.

A cég ugyanis bevallotta, hogy nem holmi külsÅ‘s cég botlásának köszönhetÅ‘ az, hogy illetéktelen kezekbe került nem kevés programjuk forráskódja, mivel a cég saját, belsÅ‘ szerverÅ‘rÅ‘l tulajdonították el a gigabájtos méretű forráskód-csomagot. A hackercsapat ugyan végül mégsem adta közre a csomagot, azonban Twitter üzenetükben arra figyelmeztettek, hogy ki fogják használni a kódban található sebezhetÅ‘ségeket jövÅ‘beli támadásaik során.

A Symantec új nyilatkozata szerint a tettesek egy 2006-os betörés során szerezték meg a Norton Antivirus Corporate Edition, a Norton Internet Security, a Norton Utilities, a Norton GoBack és a pcAnywhere szoftverek forráskódjait. A korábbi híradásokban csupán két terméket jelöltek meg, és azt állították, hogy – mivel a programok akkori verzióit már rég nyugdíjba küldték – senkinek semmi oka nincs aggodalomra.

Az új nyilatkozatban azonban azt már elismerték, hogy a pcAnywhere felhasználók – a cég távoli elérést biztosító programcsomagja, amely érthetÅ‘ módon fÅ‘ként vállalati környezetekben használnak – is jobb, ha egy picit résen lesznek. Hivatalosan „egy kissé megemelkedett biztonsági kockázat” az, amire fel kell készülniük. A fenyegetés oka az, hogy a betörést magára vállaló hackercsoport twitteren bejelentette: közzéteszik a blackhat hacker közösség számára a program forráskódját.

Jogos a kérdés, hogy mégis miért kéne aggódni egy 2006-os forráskódtól? A válasz az, hogy míg egyes termékeket, modulokat azóta a cég minden bizonnyal alapjaitól újra felépített, ez valószínűleg korántsem igaz az összes kiszivárgott programcsomagra. A hasonló, folyamatos programfejlesztésben sokkal elterjedtebb megoldás megtartani a már sokszorosan kipróbált darabokat, amelyekhez aztán hozzácsatolják az új extrákat. Egy teljesen új verzió új hibákat, új sebezhetÅ‘ségeket, új problémákat jelent, amelyek egy megbízhatóság-centrikus program esetén a legkevésbé sem kívánatos tulajdonságok.

Két másik kérdés is felvetÅ‘dhet az eset kapcsán. EgyfelÅ‘l, miért mondták egy hete, hogy csupán két szoftver érintett, és kenték külsÅ‘sre? Elvégre egy tudatos félrevezetés jócskán alááshatja a cég szavahihetÅ‘ségét. Szerintem könnyen lehet, hogy a cég egészen egyszerűen nem tudta, hogy honnan származott a kiszivárgott forráskód. Emlékezzünk csak vissza, mindössze néhány fájl került ki! Könnyen lehet, hogy nem direkt vezette a cég félre az ügyfeleket, hanem egészen egyszerűen eleinte Å‘k maguk sem tudták, honnan származtak a fájlok. (Azt ne firtassuk, hogy miért mondták rögtön azt, hogy nem tÅ‘lük került ki.)

A másik kérdés, hogy ezzel most már tényleg ismertté vált az összes veszélyforrás, vagy tartogat valami váratlant a jövÅ‘? Erre a választ sajnos csak az idÅ‘ adhatja meg. A fentebb említett programcsomagok már 2006-ban is óriásiak voltak, így iszonyatos munka lehet azt feltérképezni, hogy az akkor már meglévÅ‘, és máig megmaradt esetleges felépítési egyezések, hasonlóságok jelentenek-e bármilyen biztonsági kockázatot.