Huawei (Souce - Huawei Press Event)
ZDA že dolgo trdijo, da je Huawei ogrozil svojo digitalno varnost. Zdaj varnostno podjetje trdi, da je v kar nekaj programski opremi, ki jo je kitajsko podjetje razširilo, odkrilo več potencialno izkoriščenih zalednih vrat. Ko tekma po uvajanju omrežij 5G povečuje hitrost, bi takšne trditve lahko še bolj ogrozile poslovne možnosti telekomunikacijskega in omrežnega velikana po vsem svetu.
Raziskovalci varnostnega podjetja IoT Finite State so očitno razkrili, da ima več kot polovica opreme kitajskega telekomunikacijskega velikana Huawei 'vsaj eno potencialno zakulisje'. Obstajajo resni dokazi, da je imela Huaweijeva vdelana programska oprema mrežnih naprav pomanjkljivosti, ki bi jih lahko namerno uporabili, da bi postali ranljivi, trdijo v podjetju. Medtem ko so raziskovali Huaweijevo programsko opremo, nameščeno v njegovi omrežni opremi, so v podjetju dejali: „Obstajajo trdni dokazi, da je v Huawei-jevi vdelani programski opremi veliko ranljivosti, ki temeljijo na ničelnih dnevih. Če povzamemo, če vključite znane ranljivosti z oddaljenim dostopom skupaj z morebitnimi zaklenitvami, se zdi, da imajo naprave Huawei veliko tveganje za potencialne kompromise. '
Zaključki varnostnih raziskovalcev iz države Finite State so videti precej podobni tistim, ki jih je Ian Levy, tehnični direktor britanskega Nacionalnega centra za kibernetsko varnost (NCSC), enote vohunske agencije GCHQ, sprejel v začetku tega meseca. Takrat je Levy ravno zaključil z ocenjevanjem opreme Huawei zaradi vztrajnih trditev, da bi Kitajsko mrežno opremo 5G kitajskega podjetja lahko uporabljala za izvajanje široko razširjenih vohunskih kampanj, ki jih financira država. Levy je naravnost trdil, da je bil varnostni ukrep, ki ga je Huawei uporabil v svoji opremi, 'objektivno slabši in slabejši' v primerjavi z vsemi konkurenti na področju žičnega in brezžičnega omrežja. 'S stališča tehnične varnosti dobavne verige so naprave Huawei ene najslabših, kar smo jih kdaj analizirali,' je zatrdil Levy.
The raziskovalci v svojem poročilu da je kljub Huaweijevim javnim zavezam za izboljšanje varnosti analiza pokazala, da se Huaweijeva 'varnostna drža' s časom dejansko 'zmanjšuje'. Raziskovalci so trdili, da so preučili približno 558 izdelkov Huawei za mreženje podjetij. Po poročanju naj bi prečesali 1,5 milijona datotek znotraj približno 10.000 slik vdelane programske opreme.
Huawei je pustil več kot sto varnostnih napak in ranljivosti?
Analiza je očitno pokazala, da ima več kot 55 odstotkov slik vdelane programske opreme vsaj eno potencialno zakulisje. Nekatere omembe vredne varnostne vrzeli in na videz namerne ranljivosti, ki so ostale v datotekah vdelane programske opreme, vključujejo trdo kodirane poverilnice, ki bi jih lahko uporabili kot zakulisno, nevarno uporabo kriptografskih ključev. Družba je trdila tudi, da je opazila 'znake slabe prakse razvoja programske opreme.' Na splošno družba Finite State trdi, da je v vsaki podobi vdelane programske opreme Huawei v povprečju odkrila približno 102 znani ranljivosti. Po poročanju naj bi obstajali tudi dokazi o številnih ranljivostih nič dni.
'Huawei ima sistematičen problem in to lahko pokažemo tukaj.' Obsežna varnostna sonda omrežne opreme Huawei ugotavlja, da oprema kitajskega podjetja predstavlja veliko tveganje za uporabnike / uporabnike @globeandmail https://t.co/da3nnnAwdC
- Steven Chase (@stevenchase) 26. junij 2019
Zanimiv vidik, ki se je pojavil med analizo, je bila Huaweijeva uporaba odprtokodnih programskih komponent. Huawei se je redno zanašal na OpenSSL. Odprtokodna platforma je pogosto uporabljena kriptografska knjižnica za zaščito in šifriranje digitalnih komunikacij. Preprosto povedano, spletna mesta pogosto uporabljajo OpenSSL, da omogočijo HTTPS. Huawei naj ne bi posodobil takšne odprtokodne programske opreme, so trdili raziskovalci varnosti. 'Povprečna starost neodprtih komponent odprtokodne programske opreme v vdelani programski opremi Huawei je 5,36 leta.' Poleg tega obstaja 'na tisoče primerov komponent, starih več kot 10 let.' Očitno je nekatera zastarela in zastarela programska oprema Huaweijevo opremo leta 2011 ogrozila zloglasni Heartbleed, zelo razvpit in razširjen virus.
Ali je Huawei edino podjetje, ki uporablja odprtokodno programsko opremo?
Pomembno je omeniti, da se podjetja, podobna Huaweiju, pogosto zanašajo na odprtokodno programsko opremo, da pospešijo razvoj in uvajanje programske opreme v strojno opremo. Poleg tega ta podjetja pogosto odkrijejo zakulisje in ranljivosti ter jih pohitejo popraviti. V bistvu je to zelo pogosta praksa. Pomembno pa je, da podjetja pogosto posodabljajo programsko opremo in poskušajo uporabiti najnovejšo ali najstabilnejšo različico, ki ima več popravkov napak.
Singapur ohranja odprte možnosti v omrežjih Huawei in 5G https://t.co/kXLKx2TFVG
- Faisal S. (@ whiz913) 27. junij 2019
Trenutno so glavni konkurenti Huaweia Ericsson, Nokia in Cisco. Mimogrede, vsa ta podjetja načrtujejo lastne ponovitve mrežne opreme z visoko hitrostjo in ultra majhno zakasnitvijo 5G. Te organizacije še vedno ocenjujejo najbolj optimalno kombinacijo strojne opreme za izpolnitev številnih zahtev 5G, vključno z zanesljivo povezavo z napravami interneta stvari (IoT), povezanimi avtomobili in drugimi elektronskimi napravami. Čeprav se 5G zanaša na uveljavljene tehnologije in komunikacijske protokole, mora platforma uporabljati veliko vrhunske tehnologije. Poleg tega ima novi standard mobilne komunikacije veliko večji doseg v primerjavi z vsemi prejšnjimi standardi. Zato je ključnega pomena vzpostaviti močno varnost in preprečiti kršitev podatkov ali uhajanje informacij.
Oznake Huawei
