Huawei (Souce - Huawei Press Event)
USA har lenge hevdet at Huawei truet sin digitale sikkerhet. Nå hevder et sikkerhetsselskap å ha avdekket flere potensielt utnyttbare bakdører i ganske mange av programvaren det kinesiske selskapet distribuerte. Etter hvert som løpet for å distribuere 5G-nettverk får fart, kan slike påstander ytterligere sette telekom- og nettverksgiganten i fare ytterligere utsikter over hele verden.
Forskere fra IoT-sikkerhetsfirmaet Finite State har tilsynelatende avslørt at over halvparten av utstyret fra Kinas telekomgigant, Huawei, har 'minst en potensiell bakdør'. Det er vesentlige bevis for at Huaweis firmware for nettverksenheter hadde feil, som kunne ha blitt distribuert bevisst for å gjøre dem sårbare, hevder firmaet. Mens de undersøkte Huawei-programvaren som er installert i nettverksutstyret, sa selskapet: ”Det er betydelige bevis for at null-dagers sårbarheter basert på minnekorrupsjoner er rikelig i Huawei-firmware. Oppsummert, hvis du inkluderer kjente sårbarheter med fjerntilgang sammen med mulige bakdører, ser Huawei-enheter ut til å ha høy risiko for potensielt kompromiss. '
Konklusjonene trukket av sikkerhetsforskerne i Finite State ser ut til å være ganske like det Ian Levy, teknisk direktør for Storbritannias National Cyber Security Center (NCSC), en enhet av spionbyrået GCHQ hadde trukket tidligere denne måneden. Den gang hadde Levy nettopp avsluttet å evaluere Huawei-utstyr på grunn av vedvarende påstander om at det kinesiske selskapets 5G-nettverksutstyr kunne brukes av Kina til å gjennomføre utbredte statssponserte spionasjekampanjer. Levy hadde rett og slett hevdet at sikkerhetstiltak implementert av Huawei i utstyret var 'objektivt verre og sjuskete' sammenlignet med alle sine konkurrenter innen kablet og trådløs nettverksvirksomhet. “Fra et teknisk sikkerhetssynspunkt i forsyningskjeden er Huawei-enheter noen av de verste vi noensinne har analysert,” hevdet Levy.
De forskere bemerket i sin rapport at til tross for Huaweis offentlige forpliktelser om å forbedre sikkerheten, avslørte analysen at Huaweis 'sikkerhetsstilling' faktisk 'avtar over tid'. Forskerne hevdet at de gransket 558 Huawei bedriftsnettverksprodukter. De skal ha kammet gjennom 1,5 millioner filer i rundt 10.000 firmwarebilder.
Huawei har mer enn hundre sikkerhetsfeil og sårbarheter?
Analysen avslørte tilsynelatende at mer enn 55 prosent av firmwarebildene har minst en potensiell bakdør. Noen av de bemerkelsesverdige sikkerhetshullene og tilsynelatende forsettlige sårbarhetene som er igjen i firmwarefilene, inneholder hardkodede legitimasjonsbeskrivelser som kan brukes som en bakdør, usikker bruk av kryptografiske nøkler. Selskapet hevdet også å ha observert “indikasjoner på dårlig praksis for programvareutvikling.” Samlet hevder Finite State å ha oppdaget omtrent 102 kjente sårbarheter i gjennomsnitt i hvert Huawei-firmwarebilde. Det var angivelig bevis for mange null-dagers sårbarheter også.
'Det er et systematisk problem hos Huawei, og det er det vi kan vise her.' Storskala sikkerhetssonde for Huawei nettverksutstyr finner at kinesisk utstyr har høy risiko for brukere / via @globeandmail https://t.co/da3nnnAwdC
- Steven Chase (@stevenchase) 26. juni 2019
Et interessant aspekt som dukket opp under analysen var Huaweis bruk av programvare med åpen kildekode. Huawei stolte regelmessig på OpenSSL. Open source-plattformen er et ofte brukt kryptografisk bibliotek for å beskytte og kryptere digital kommunikasjon. I enkle ord brukes OpenSSL ofte av nettsteder for å aktivere HTTPS. Huawei klarte angivelig ikke å oppdatere slik programvare med åpen kildekode, hevdet sikkerhetsforskerne. 'Gjennomsnittsalderen for tredjeparts programvare med åpen kildekode i Huawei-firmware er 5,36 år.' Videre er det 'tusenvis av forekomster av komponenter som er mer enn ti år gamle.' Tilsynelatende etterlot noe av den utdaterte og foreldede programvaren Huaweis utstyr sårbart for det beryktede Heartbleed, et svært beryktet og vidt spredt virus tilbake i 2011.
Bruker Huawei det eneste selskapet programvare med åpen kildekode?
Det er viktig å merke seg at selskaper som ligner på Huawei, ofte er avhengige av programvare med åpen kildekode for å akselerere programvareutvikling og distribusjon i maskinvare. Dessuten oppdager disse selskapene ofte bakdører og sårbarheter og skynder seg å lappe dem. I hovedsak er det en veldig vanlig praksis. Men det som er viktig, er at selskaper ofte oppdaterer programvaren og prøver å bruke den nyeste eller mest stabile versjonen som har flere feilrettinger.
Singapore holder opsjoner åpne på Huawei og 5G-nettverk https://t.co/kXLKx2TFVG
- Faisal S. (@ whiz913) 27. juni 2019
For tiden er Huaweis hovedkonkurrenter Ericsson, Nokia og Cisco. Forresten, alle disse selskapene designer sine egne iterasjoner av høyhastighets, ultra-lav latens 5G nettverksutstyr. Disse organisasjonene vurderer fremdeles den mest optimale kombinasjonen av maskinvare for å oppfylle de mange kravene til 5G, inkludert pålitelig tilkobling til Internet of Things (IoT) -enheter, tilkoblede biler og andre elektroniske enheter. Selv om 5G er avhengig av etablerte teknologier og kommunikasjonsprotokoller, må plattformen bruke mye banebrytende teknologi. Videre har den nye mobilkommunikasjonsstandarden langt større rekkevidde sammenlignet med alle tidligere standarder. Derfor er det viktig å sette opp sterk sikkerhet og forhindre databrudd eller informasjonslekkasje.
Merker Huawei
