Huawei (Souce - Huawei Preses notikums)
ASV jau sen apgalvo, ka Huawei apdraud tā digitālo drošību. Tagad apsardzes kompānija apgalvo, ka ir atklājusi vairākas potenciāli izmantojamas aizmugures durvis daudzās programmatūrās, kuras Ķīnas uzņēmums izmantoja. Tā kā sacīkstes par 5G tīkla ieviešanu kļūst arvien ātrākas, šādi apgalvojumi var vēl vairāk apdraudēt telekomunikāciju un tīkla giganta uzņēmējdarbības izredzes visā pasaulē.
IoT drošības firmas Finite State pētnieki acīmredzot ir atklājuši, ka vairāk nekā pusei Ķīnas telekomunikāciju giganta Huawei aprīkojuma ir “vismaz viena potenciālā aizmugurējā durvis”. Ir būtisks pierādījums tam, ka Huawei tīkla ierīču programmaparatūrai bija trūkumi, kurus varēja apzināti izvietot, lai padarītu tos neaizsargātus, apgalvo firma. Veicot pētījumu par Huawei programmatūru, kas instalēta tā tīkla aprīkojumā, uzņēmums sacīja: “Ir būtiski pierādījumi, ka Huawei programmaparatūrā ir daudz nulles dienu ievainojamību, kas balstīta uz atmiņas bojājumiem. Kopumā, ja jūs iekļaujat zināmas, attālinātas piekļuves ievainojamības kopā ar iespējamām aizmugurējām durvīm, šķiet, ka Huawei ierīcēm ir liels iespējamo kompromisu risks. ”
Šķiet, ka Finite State drošības pētnieku izdarītie secinājumi ir diezgan līdzīgi tiem, kurus Ian Levy, Lielbritānijas Nacionālā kiberdrošības centra (NCSC), spiegu aģentūras GCHQ nodaļas tehniskais direktors, bija izdarījis šī mēneša sākumā. Toreiz Levijs bija tikko noslēdzis Huawei aprīkojuma novērtēšanu, ņemot vērā pastāvīgos apgalvojumus, ka Ķīnas uzņēmuma 5G tīkla aprīkojumu Ķīna varētu izmantot, lai veiktu plašas valsts atbalstītas spiegošanas kampaņas. Levijs bija tieši apgalvojis, ka drošības pasākumi, ko Huawei izmantoja savā aprīkojumā, bija 'objektīvi sliktāki un nepietiekami', salīdzinot ar visiem konkurentiem vadu un bezvadu tīkla biznesā. 'No tehniskā piegādes ķēdes drošības viedokļa Huawei ierīces ir vienas no vissliktākajām, ko mēs jebkad esam analizējuši,' apgalvoja Levijs.
The pētnieki atzīmēja savā ziņojumā neskatoties uz Huawei publiskajām saistībām uzlabot drošību, analīze atklāja, ka Huawei “drošības poza” laika gaitā faktiski “samazinās”. Pētnieki apgalvoja, ka viņi pārbaudīja apmēram 558 Huawei uzņēmumu tīkla produktus. Tiek ziņots, ka viņi aptuveni 10000 programmaparatūras attēlos izķemmēja 1,5 miljonus failu.
Huawei atstāja vairāk nekā simts drošības trūkumus un ievainojamības?
Analīze acīmredzot atklāja, ka vairāk nekā 55 procentiem programmaparatūras attēlu ir vismaz viens potenciāls aizmugurējais atvērums. Dažas no ievērības cienīgajām drošības nepilnībām un šķietami tīšām ievainojamības, kas palikušas programmaparatūras failos, ietver stingri kodētus akreditācijas datus, kurus varētu izmantot kā aizmugurējo, nedrošu kriptogrāfisko atslēgu izmantošanu. Uzņēmums arī apgalvoja, ka ir novērojis “pazīmes par sliktu programmatūras izstrādes praksi”. Kopumā Finite State apgalvo, ka vidēji katrā Huawei programmaparatūras attēlā ir atklājis apmēram 102 zināmas ievainojamības. Tiek ziņots, ka ir pierādījumi arī par daudzām nulles dienas ievainojamībām.
'Huawei ir sistemātiska problēma, un to mēs šeit varam parādīt.' Liela mēroga Huawei tīkla aprīkojuma drošības pārbaude atklāj, ka Ķīnas firmas aprīkojums rada lielu risku lietotājiem / caur @globeandmail https://t.co/da3nnnAwdC
- Stīvens Čeiss (@stevenchase) 2019. gada 26. jūnijs
Viens interesants aspekts, kas parādījās analīzes laikā, bija Huawei atvērtā pirmkoda programmatūras komponentu izmantošana. Huawei regulāri paļāvās uz OpenSSL. Atvērtā koda platforma ir bieži izmantota kriptogrāfijas bibliotēka digitālo sakaru aizsardzībai un šifrēšanai. Vienkāršiem vārdiem sakot, vietnes bieži izmanto OpenSSL, lai iespējotu HTTPS. Kā ziņots, Huawei neizdevās atjaunināt šādu atvērtā koda programmatūru, apgalvoja drošības pētnieki. 'Trešo personu atvērtā koda programmatūras komponentu vidējais vecums Huawei programmaparatūrā ir 5,36 gadi.' Turklāt ir 'tūkstošiem komponentu, kas ir vecāki par 10 gadiem, gadījumu'. Acīmredzot daži no novecojušajiem un novecojušajiem programmatūras veidiem atstāja Huawei aprīkojumu neaizsargātu pret bēdīgi slaveno Heartbleed - ļoti bēdīgi slaveno un plaši izplatīto vīrusu - jau 2011. gadā.
Vai Huawei ir vienīgais uzņēmums, kas izmanto atvērtā pirmkoda programmatūru?
Ir svarīgi atzīmēt, ka Huawei līdzīgi uzņēmumi bieži paļaujas uz atvērtā koda programmatūru, lai paātrinātu programmatūras izstrādi un ieviešanu aparatūrā. Turklāt šie uzņēmumi bieži atklāj aizmuguri un ievainojamības un steidzas tos lāpīt. Būtībā tā ir ļoti izplatīta prakse. Bet pat svarīgi ir tas, ka uzņēmumi bieži atjaunina programmatūru un mēģina izmantot jaunāko vai stabilāko versiju, kurā ir vairāki kļūdu labojumi.
Singapūra patur iespējas atvērtas Huawei un 5G tīklos https://t.co/kXLKx2TFVG
- Faisal S. (@ whiz913) 2019. gada 27. jūnijs
Pašlaik Huawei galvenie konkurenti ir Ericsson, Nokia un Cisco. Starp citu, visi šie uzņēmumi paši izstrādā ātrgaitas, īpaši zemas latentuma 5G tīkla iekārtu atkārtojumus. Šīs organizācijas joprojām vērtē optimālāko aparatūras kombināciju, lai izpildītu daudzās 5G prasības, tostarp uzticamu savienojumu ar lietu interneta (IoT) ierīcēm, savienotām automašīnām un citām elektroniskām ierīcēm. Lai gan 5G paļaujas uz iedibinātām tehnoloģijām un sakaru protokoliem, platformai ir jāizmanto daudz progresīvu tehnoloģiju. Turklāt jaunajam mobilo sakaru standartam ir daudz lielāka sasniedzamība salīdzinājumā ar visiem iepriekšējiem standartiem. Tāpēc ir svarīgi izveidot stingru drošību un novērst datu pārkāpumus vai informācijas noplūdi.
Tagi Huawei
