Huawei (Souce - Huawei pressisündmus)
USA on pikka aega väitnud, et Huawei ohustas tema digitaalset turvalisust. Nüüd väidab turvafirma, et on avastanud mitu potentsiaalselt kasutatavat tagaust üsna paljudest Hiina ettevõtte juurutatud tarkvaradest. Kui 5G-võrgu kasutuselevõtu kiireneb, võivad sellised väited veelgi ohustada telekommunikatsiooni- ja võrguhiiglase äriväljavaateid kogu maailmas.
IoT turvafirma Finite State teadlased on ilmselt paljastanud, et üle poole Hiina telekommunikatsiooni hiiglase Huawei seadmetest on 'vähemalt ühe potentsiaalse tagauksega'. On palju tõendeid selle kohta, et Huawei võrguseadmete püsivara kasutamisel on vigu, mida oleks võinud teadlikult juurutada, et muuta need haavatavaks. Uurides oma võrguseadmetesse installitud tarkvara Huawei kohta, ütles ettevõte: 'On märkimisväärseid tõendeid selle kohta, et Huawei püsivaras on mäluprobleemidel põhinevaid nullpäevaseid haavatavusi. Kokkuvõtteks võib öelda, et kui lisate teadaolevad kaugjuurdepääsuga haavatavused koos võimalike tagaukstega, näib, et Huawei seadmetel on suur potentsiaalse kompromissi oht. '
Lõpliku osariigi julgeoleku-uurijate tehtud järeldused näivad olevat üsna sarnased sellega, mida Iu Levy, Suurbritannia riikliku küberturvalisuse keskuse (NCSC), spiooniagentuuri GCHQ üksuse tehniline direktor selle kuu alguses tegi. Siis oli Levy just lõpetanud Huawei seadmete hindamise püsivate väidete põhjal, et Hiina ettevõtte 5G võrguseadmeid võiks Hiina kasutada laialdaste riiklikult toetatavate spionaažikampaaniate läbiviimiseks. Levy oli otse väitnud, et Huawei oma seadmetes rakendatud turvameetmed on 'objektiivselt halvemad ja viletsamad', võrreldes kõigi tema juhtmetega ja traadita võrguäri konkurentidega. 'Tarneahela turvalisuse tehnilisest vaatenurgast on Huawei seadmed ühed halvimad, mida oleme kunagi analüüsinud,' väitis Levy.
The teadlased märkisid oma aruandes vaatamata Huawei avalikele kohustustele turvalisuse parandamiseks näitas analüüs, et Huawei “turvaasend” tegelikult aja jooksul väheneb. Teadlased väitsid, et uurisid umbes 558 Huawei ettevõtte võrgutoodet. Väidetavalt kammisid nad umbes 10 000 püsivara pildil 1,5 miljonit faili.
Huawei jättis rohkem kui sada turvaviga ja haavatavust?
Analüüsist selgus ilmselt, et enam kui 55 protsendil püsivara piltidest on vähemalt üks potentsiaalne tagauks. Mõned märkimisväärsed turvaaugud ja näiliselt tahtlikud haavatavused, mis jäävad püsivara failidesse, hõlmavad kõvakodeeritud mandaate, mida saab kasutada tagauksena, krüptovõtmete ohtlikuks kasutamiseks. Samuti väitis ettevõte, et on täheldanud 'halva tarkvaraarenduse viiteid'. Üldiselt väidab Finite State, et on avastanud keskmiselt umbes 102 teadaolevat haavatavust igast Huawei püsivara pildist. Väidetavalt oli tõendeid ka arvukate nullipäevaste haavatavuste kohta.
'Huaweil on süsteemne probleem ja seda suudame siin näidata.' Huawei võrguseadmete suuremahuline turvaproov leiab, et Hiina ettevõtte varustus kujutab kasutajatele / kaudu suurt riski @globeandmail https://t.co/da3nnnAwdC
- Steven Chase (@stevenchase) 26. juuni 2019
Üks huvitav aspekt, mis analüüsi käigus välja tuli, oli Huawei avatud lähtekoodiga tarkvara komponentide kasutamine. Huawei tugines regulaarselt OpenSSL-ile. Avatud lähtekoodiga platvorm on digitaalse side kaitsmiseks ja krüptimiseks tavaliselt kasutatav krüptograafiaraamatukogu. Lihtsamalt öeldes kasutavad veebisaidid HTTPS-i lubamiseks sageli OpenSSL-i. Väidetavalt ei suutnud Huawei sellist avatud lähtekoodiga tarkvara uuendada, väitsid turvauurijad. 'Kolmandate osapoolte avatud lähtekoodiga tarkvara komponentide keskmine vanus Huawei püsivara puhul on 5,36 aastat.' Pealegi on 'tuhandeid komponente, mis on vanemad kui 10 aastat'. Ilmselt jättis osa aegunud ja vananenud tarkvaradest Huawei seadmed haavatavaks kurikuulsa Heartbleedi, ülimalt kurikuulsa ja laialt levinud viiruse vastu juba 2011. aastal.
Kas Huawei on ainus avatud lähtekoodiga tarkvara kasutav ettevõte?
Oluline on märkida, et Huawei sarnased ettevõtted toetuvad tarkvara arendamise ja riistvaralise juurutamise kiirendamiseks sageli avatud lähtekoodiga tarkvarale. Pealegi avastavad need ettevõtted sageli tagaukseid ja haavatavusi ning ruttavad neid lappima. Sisuliselt on see väga levinud praktika. Kuid isegi oluline on see, et ettevõtted värskendavad tarkvara sageli ja üritavad kasutada uusimat või stabiilsemat versiooni, millel on mitu veaparandust.
Singapur hoiab valikud avatud Huawei ja 5G võrkudes https://t.co/kXLKx2TFVG
- Faisal S. (@ whiz913) 27. juuni 2019
Praegu on Huawei peamisteks konkurentideks Ericsson, Nokia ja Cisco. Muide, kõik need ettevõtted kujundavad ise kiirete, ülimadalate latentsustega 5G-võrguseadmete kordusi. Need organisatsioonid hindavad endiselt kõige optimaalsemat riistvarakombinatsiooni, et täita 5G paljusid nõudeid, sealhulgas usaldusväärne ühendus asjade Interneti (IoT) seadmete, ühendatud autode ja muude elektroonikaseadmetega. Kuigi 5G tugineb väljakujunenud tehnoloogiatele ja sideprotokollidele, peab platvorm kasutama palju tipptasemel tehnoloogiat. Pealegi on uuel mobiilsidestandardil kõigi varasemate standarditega võrreldes palju ulatuslikum haare. Seetõttu on ülitähtis luua tugev turvalisus ja vältida andmete rikkumist või infoleket.
Sildid Huawei
