La empresa de seguridad Symantec ha confirmado que se ha filtrado código fuente de versiones anteriores de Norton Antivirus, aunque dicho robo no se ha producido en los servidores de Symantec, sino en servidores inseguros del Gobierno de India, lo cual implica que Symantec podría haber tenido que proporcionar el código fuente a las autoridades de ese país. El grupo de hackers hindúes «Lords of Dharmaraja» se jacta de haber sido el autor y amenazó con publicar en internet el código fuente obtenido.
Sin embargo, «Lords of Dharmaraja» sí que publicó documentos relacionados con las API, y también compartió con periodistas locales parte de código fuente de lo que parece ser la versión 2006 de Norton Antivirus.
En respuesta al suceso, la empresa de seguridad Symantec ha hecho las siguientes declaraciones:
Symantec puede confirmar que se ha accedido a una parte de su código fuente utilizado en dos de nuestros productos anteriores, uno de los cuales ya no tiene soporte. El código involucrado tiene entre cuatro y cinco años. Ésto no afecta a los productos de Symantec Norton de nuestros clientes.
La red de Symantec no fue atacada, pero sí la de una entidad de terceros. Estamos reuniendo información de los detalles y aún no estamos en una posición de proveer datos específicos de la entidad involucrada.
Symantec está trabajando para remediar este proceso y asegurar la protección de la información de nuestros clientes a largo plazo. Comunicaremos este proceso una vez que todos los pasos de la investigación se hayan completado. Dado que ahora mismo la investigación se encuentra en sus primeros pasos, no tenemos más detalles hasta este momento.
A primera vista, no parece que este suceso vaya a tener repercusión en la seguridad de los usuarios que posean una versión reciente de software de seguridad de Symantec.
Sin embargo, se abren un frente de discusión: la inseguridad que provoca que ciertos países obliguen a las empresas de seguridad a proporcionar su código fuente, y lo almacenen de forma insegura.
¿Creéis que los gobiernos de los países deberían pedir a las empresas desarrolladoras el código fuente de sus productos software? ¿Es ético y/o seguro hacerlo? Esperamos vuestros comentarios.
Vía | The Register