Huawei (Souce - אירוע העיתונות של Huawei)
ארה'ב טוענת זה מכבר ש- Huawei איימה על האבטחה הדיגיטלית שלה. כעת חברת אבטחה טוענת שחשפה כמה דלתות אחוריות שעשויות להיות ניתנות לניצול בלא מעט מהתוכנות שהחברה הסינית פרסמה. ככל שהמרוץ לפריסת רשת 5G צובר מהירות, תביעות כאלה עלולות לסכן עוד יותר את הסיכויים העסקיים של טלקום וענקית הרשת ברחבי העולם.
חוקרים מחברת האבטחה IoT Finite State גילו ככל הנראה שלמעלה ממחצית הציוד של ענקית הטלקום הסינית, Huawei, יש 'לפחות דלת אחורית פוטנציאלית אחת'. יש ראיות משמעותיות לכך שקושחת מכשיר הרשת של Huawei הייתה פגמים, שניתן היה לפרוס בכוונה כדי להפוך אותם לפגיעים, טוענים במשרד. בעוד שהעלו את מחקריהם על התוכנה של Huawei המותקנת בציוד הרשת שלה, אמרה החברה, 'ישנן עדויות משמעותיות לפגיעות של יום אפס המבוססות על השחתות בזיכרון, קיימות בשפע הקושחה של Huawei. לסיכום, אם אתה כולל פגיעות ידועות וגישה מרחוק יחד עם דלתות אחוריות אפשריות, נראה כי מכשירי Huawei נמצאים בסיכון גבוה לפשרה פוטנציאלית. '
המסקנות שהסיקו חוקרי האבטחה במדיניות סופית נראות די דומות למה שאיאן לוי, המנהל הטכני של המרכז הלאומי לאבטחת סייבר (NCSC) בבריטניה, יחידת סוכנות הריגול GCHQ הסיק בתחילת החודש. אז, לוי בדיוק סיים את הערכת ציוד Huawei על רקע טענות מתמשכות כי ציוד הרשת 5G של סין יכול לשמש סין לצורך ביצוע מסעות ריגול רחבי חסות ממלכתיים. לוי טען על הסף כי אמצעי האבטחה שפרסה Huawei בציוד שלה היו 'גרועים מבחינה אובייקטיבית ומחורבנת' בהשוואה לכל מתחרותיה בעסקי הרשת הקווית והאלחוטית. 'מנקודת מבט טכנית של שרשרת האספקה, מכשירי Huawei הם מהגרועים שניתחנו אי פעם', טען לוי.
ה החוקרים ציינו בדו'ח שלהם שלמרות ההתחייבויות הציבוריות של Huawei לשיפור האבטחה, הניתוח גילה ש'יציבת האבטחה 'של Huawei למעשה' הולכת ופוחתת עם הזמן '. החוקרים טענו כי בדקו כ- 558 מוצרי רשת ארגוניים של Huawei. לפי הדיווחים, הם סרקו 1.5 מיליון קבצים בתוך כ -10,000 תמונות קושחה.
Huawei הותירה יותר ממאה פגמי אבטחה ופגיעות?
הניתוח גילה ככל הנראה שלמעלה מ -55 אחוז מתמונות הקושחה יש לפחות דלת אחורית פוטנציאלית אחת. חלק מפרצות האבטחה הראויות לציון והפגיעות המכוונות שנותרו בתוך קבצי הקושחה כוללות אישורים מקודדים קשיחים שיכולים לשמש כשימוש אחורי ולא בטוח במפתחות הצפנה. החברה גם טענה כי צפתה 'אינדיקציות לשיטות פיתוח תוכנה לקויות'. בסך הכל, מדינת סופית טוענת שגילתה כ -102 פרצות ידועות בממוצע בכל תמונת קושחה של Huawei. על פי הדיווחים היו עדויות למספר רב של נקודות תורפה באפס יום.
'יש בעיה שיטתית ב- Huawei וזה מה שאנחנו יכולים להראות כאן.' בדיקת אבטחה בקנה מידה גדול של ציוד רשת Huawei מוצאת כי ציוד הציוד של החברה הסינית מהווה סיכון גבוה למשתמשים / דרך @globeandmail https://t.co/da3nnnAwdC
- סטיבן צ'ייס (@stevenchase) 26 ביוני 2019
היבט מעניין אחד שעלה במהלך הניתוח היה השימוש של Huawei ברכיבי תוכנת קוד פתוח. Huawei הסתמכה באופן קבוע על OpenSSL. פלטפורמת הקוד הפתוח היא ספריית קריפטוגרפיה נפוצה להגנה והצפנה של תקשורת דיגיטלית. במילים פשוטות, OpenSSL משמש לעתים קרובות אתרי אינטרנט כדי לאפשר HTTPS. על פי הדיווחים, Huawei לא עדכנה תוכנת קוד פתוח שכזו, טענו חוקרי האבטחה. 'הגיל הממוצע של רכיבי תוכנת קוד פתוח של צד שלישי בקושחת Huawei הוא 5.36 שנים.' יתר על כן, ישנם 'אלפי מקרים של רכיבים בני יותר מ -10 שנים.' ככל הנראה, חלק מהתוכנות המיושנות והמיושנות הותירו את הציוד של Huawei חשוף ל Heartbleed הידוע לשמצה, וירוס ידוע לשמצה ורחב ידיים עוד בשנת 2011.
האם Huawei היא החברה היחידה המשתמשת בתוכנת קוד פתוח?
חשוב לציין כי חברות הדומות ל- Huawei, מסתמכות לעתים קרובות על תוכנת קוד פתוח כדי להאיץ את פיתוח התוכנה ופריסתה בחומרה. יתר על כן, חברות אלה מגלות לעתים קרובות דלתות אחוריות ופגיעות וממהרות לתקן אותן. בעיקרו של דבר, זה נוהג נפוץ מאוד. אבל מה שחשוב אפילו הוא שלעתים קרובות חברות מעדכנות את התוכנה ומנסות להשתמש בגרסה האחרונה או היציבה ביותר שיש בה מספר תיקוני באגים.
סינגפור שומרת על אפשרויות פתוחות ברשתות Huawei ו- 5G https://t.co/kXLKx2TFVG
- פייסל ס. (@ Whiz913) 27 ביוני 2019
נכון לעכשיו, המתחרות העיקריות של Huawei הן אריקסון, נוקיה וסיסקו. אגב, כל החברות הללו מתכננות איטרציות משלהן של ציוד רשת 5G בעל חביון מהיר במיוחד. ארגונים אלה עדיין מעריכים את השילוב האופטימלי ביותר של חומרה בכדי למלא את הדרישות הרבות של 5G, כולל חיבור אמין למכשירי האינטרנט של הדברים (IoT), מכוניות מחוברות ומכשירים אלקטרוניים אחרים. 5G אמנם מסתמך על טכנולוגיות מבוססות ופרוטוקולי תקשורת, אך הפלטפורמה צריכה להשתמש בטכנולוגיה חדישה ביותר. יתר על כן, לתקן התקשורת הסלולרי החדש יש הרבה יותר טווח בהשוואה לכל התקנים הקודמים. לפיכך קריטי להקים אבטחה חזקה ולמנוע הפרת נתונים או דליפת מידע.
תגים Huawei