Huawei (Souce - събитие за пресата на Huawei)
САЩ отдавна твърдят, че Huawei заплашва своята цифрова сигурност. Сега охранителна компания твърди, че е открила няколко потенциално експлоатационни задни врати в доста от софтуера, който китайската компания е използвала. Тъй като надпреварата за внедряване на 5G мрежи набира скорост, подобни твърдения могат допълнително да застрашат бизнес перспективите на телекомуникационния и мрежовия гигант по целия свят.
Изследователи от фирмата за сигурност на IoT Finite State очевидно разкриха, че над половината оборудване от китайския телекомуникационен гигант, Huawei, има „поне един потенциален заден план“. Съществуват сериозни доказателства, че фърмуерът на мрежовото устройство на Huawei е имал недостатъци, които биха могли да бъдат използвани умишлено, за да ги направят уязвими, твърдят от компанията. Докато провеждаше своите изследвания върху софтуера на Huawei, инсталиран в мрежовото му оборудване, компанията каза: „Съществуват сериозни доказателства, че уязвимостите от нулев ден, основани на повреда на паметта, са богати на фърмуера на Huawei. В обобщение, ако включите известни уязвимости с отдалечен достъп заедно с възможни задни врати, устройствата на Huawei изглежда са изложени на висок риск от потенциален компромис. '
Изводите, направени от изследователите по сигурността в Finite State, изглеждат доста сходни с тези, които Ян Леви, технически директор на Националния център за киберсигурност на Обединеното кралство (NCSC), звено на шпионска агенция GCHQ, е направил по-рано този месец. Тогава Леви току-що приключи с оценката на оборудването на Huawei по постоянни твърдения, че мрежовото оборудване на 5G на китайската компания може да бъде използвано от Китай за провеждане на широко разпространени шпионски кампании, финансирани от държавата. Леви направо заяви, че мерките за сигурност, внедрени от Huawei в оборудването му, са „обективно по-лоши и калпави“ в сравнение с всички свои конкуренти в бизнеса с кабелни и безжични мрежи. „От техническа гледна точка на сигурността на веригата за доставки устройствата на Huawei са едни от най-лошите, които сме анализирали някога“, заяви Леви.
The изследователите отбелязват в своя доклад че въпреки публичните ангажименти на Huawei за подобряване на сигурността, анализът разкрива, че „охранителната поза“ на Huawei всъщност „намалява с времето“. Изследователите твърдят, че са разгледали около 558 корпоративни мрежови продукта на Huawei. Според съобщенията те са сресали 1,5 милиона файла в рамките на около 10 000 изображения на фърмуера.
Huawei остави повече от сто недостатъци и уязвимости в сигурността?
Очевидно анализът разкри, че повече от 55 процента от изображенията на фърмуера имат поне една потенциална задна врата. Някои от забележителните вратички в сигурността и на пръв поглед умишлени уязвимости, оставени във файловете на фърмуера, включват твърдо кодирани идентификационни данни, които могат да се използват като скрита, небезопасна употреба на криптографски ключове. Компанията също така твърди, че е наблюдавала „индикации за лоши практики за разработка на софтуер“. Като цяло Finite State твърди, че е открил около 102 известни уязвимости средно във всяко изображение на фърмуера на Huawei. Съобщава се, че има доказателства и за многобройни уязвимости за нулев ден.
„В Huawei има систематичен проблем и това е, което можем да покажем тук.“ Мащабна сонда за сигурност на мрежовото оборудване на Huawei установява, че оборудването на китайската фирма представлява висок риск за потребителите / чрез @globeandmail https://t.co/da3nnnAwdC
- Стивън Чейс (@stevenchase) 26 юни 2019 г.
Един интересен аспект, който се появи по време на анализа, беше използването от Huawei на софтуерни компоненти с отворен код. Huawei редовно разчиташе на OpenSSL. Платформата с отворен код е често използвана криптографска библиотека за защита и криптиране на цифрови комуникации. С прости думи, OpenSSL често се използва от уебсайтовете, за да активира HTTPS. Според съобщенията Huawei не е успяла да актуализира такъв софтуер с отворен код, твърдят изследователите по сигурността. „Средната възраст на софтуерните компоненти с отворен код на трети страни във фърмуера на Huawei е 5,36 години.“ Освен това има „хиляди случаи на компоненти, които са на повече от 10 години“. Очевидно някои от остарелия и остарял софтуер оставиха оборудването на Huawei уязвимо за скандалния Heartbleed, силно известен и широко разпространен вирус още през 2011 година.
Huawei ли е единствената компания, която използва софтуер с отворен код?
Важно е да се отбележи, че компании, подобни на Huawei, често разчитат на софтуер с отворен код за ускоряване на разработването и внедряването на софтуер в хардуера. Освен това тези компании често откриват бекдори и уязвимости и бързат да ги поправят. По същество това е много разпространена практика. Но това, което е дори важно, е, че компаниите често актуализират софтуера и се опитват да използват най-новата или най-стабилната версия, която има няколко корекции на грешки.
Сингапур държи опциите отворени за мрежи Huawei и 5G https://t.co/kXLKx2TFVG
- Faisal S. (@ whiz913) 27 юни 2019 г.
В момента основните конкуренти на Huawei са Ericsson, Nokia и Cisco. Между другото, всички тези компании проектират свои собствени итерации на високоскоростно мрежово оборудване с 5G ултра ниска латентност. Тези организации все още оценяват най-оптималната комбинация от хардуер, за да изпълнят многото изисквания на 5G, включително надеждна връзка с устройствата на Internet of Things (IoT), свързани автомобили и други електронни устройства. Въпреки че 5G разчита на утвърдени технологии и комуникационни протоколи, платформата трябва да използва много авангардни технологии. Освен това новият стандарт за мобилна комуникация има далеч по-голям обхват в сравнение с всички предишни стандарти. Следователно е от решаващо значение да се създаде силна сигурност и да се предотврати нарушаване на данни или изтичане на информация.
Етикети Huawei
