Huawei (Kastike - Huawei Press -tapahtuma)
Yhdysvallat on jo kauan väittänyt, että Huawei uhkaa digitaalista turvallisuuttaan. Nyt tietoturvayhtiö väittää löytäneensä useita potentiaalisesti hyödynnettäviä takaovia monissa kiinalaisen yrityksen käyttöön ottamissa ohjelmistoissa. Kun kilpailu 5G-verkkojen käyttöönotosta nopeutuu, tällaiset väitteet saattavat vaarantaa edelleen tele- ja verkostoitumisjättijan liiketoimintanäkymät ympäri maailmaa.
IoT-tietoturvayhtiön Finite State tutkijat ovat ilmeisesti paljastaneet, että yli puolella Kiinan televiestintäjätti Huaweiin laitteista on 'ainakin yksi potentiaalinen takaovi'. On olemassa merkittäviä todisteita siitä, että Huawei-verkkolaitteen laiteohjelmistossa oli puutteita, jotka olisi voitu käyttää tarkoituksella niiden tekemiseksi haavoittuviksi, väittävät yritys. Tehdessään tutkimusta Huawei-verkkolaitteisiin asennetuista ohjelmistoista yritys sanoi: 'On olemassa huomattavaa näyttöä siitä, että Huawei-laiteohjelmistossa on runsaasti muistin vioittumiseen perustuvia nollapäivän haavoittuvuuksia. Yhteenvetona voidaan todeta, että jos sisällytät tunnettuja etäkäytön haavoittuvuuksia mahdollisten takaovien ohella, Huawei-laitteilla näyttää olevan suuri riski vaarantua. '
Finite State -turvallisuustutkijoiden tekemät johtopäätökset näyttävät olevan melko samanlaisia kuin mitä vakoojaviraston GCHQ-yksikön Ison-Britannian kansallisen kyberturvallisuuskeskuksen (NCSC) tekninen johtaja Ian Levy oli tehnyt aiemmin tässä kuussa. Tuolloin Levy oli juuri päättänyt arvioida Huawei-laitteita jatkuvien väitteiden mukaan, että Kiina voisi käyttää kiinalaisen yrityksen 5G-verkkolaitteita laajan valtion tukemien vakoilukampanjoiden toteuttamiseen. Levy oli suoranaisesti väittänyt, että Huawei-laitteiden käyttöön ottamat turvatoimet olivat 'objektiivisesti huonompia ja huonompia' verrattuna kaikkiin kilpailijoihinsa langallisessa ja langattomassa verkkoliiketoiminnassa. 'Teknisestä toimitusketjun tietoturvan näkökulmasta Huawei-laitteet ovat pahimpia, mitä olemme koskaan analysoineet', Levy väitti.
tutkijat totesivat raportissaan huolimatta siitä, että Huawei on julkisesti sitoutunut parantamaan turvallisuutta, analyysi paljasti, että Huawein 'turvallisuusasento' todella 'vähenee ajan myötä'. Tutkijat väittivät tutkineensa noin 558 Huawei-yritysverkkotuotetta. Heidän mukaansa kampasivat 1,5 miljoonaa tiedostoa noin 10000 laiteohjelmakuvassa.
Huawei jätti yli sata tietoturva-aukkoa ja haavoittuvuutta?
Analyysi paljasti ilmeisesti, että yli 55 prosentilla laiteohjelmakuvista on ainakin yksi potentiaalinen takaovi. Jotkut huomionarvoisista tietoturva-aukoista ja näennäisesti tahallisista haavoittuvuuksista, jotka on jätetty laiteohjelmistotiedostojen sisälle, sisältävät kovakoodatut tunnistetiedot, joita voidaan käyttää takaovena, salausavainten turvallista käyttöä. Yhtiö väitti myös havainneensa 'viitteitä huonosta ohjelmistokehityskäytännöstä'. Kaiken kaikkiaan Finite State väittää löytäneensä keskimäärin noin 102 tunnettua haavoittuvuutta kustakin Huawei-laiteohjelmakuvasta. On todettu olevan näyttöä myös lukuisista nollapäivän haavoittuvuuksista.
'Huaweissa on systemaattinen ongelma, ja tämän voimme osoittaa täällä.' Laajamittainen Huawei-verkkolaitteiden tietoturvatunnistin havaitsee kiinalaisen yrityksen varusteiden olevan suuri riski käyttäjille / kautta @globeandmail https://t.co/da3nnnAwdC
- Steven Chase (@stevenchase) 26. kesäkuuta 2019
Yksi mielenkiintoinen näkökohta, joka nousi esiin analyysin aikana, oli Huawein avoimen lähdekoodin ohjelmistokomponenttien käyttö. Huawei luotti säännöllisesti OpenSSL: ään. Avoimen lähdekoodin alusta on yleisesti käytetty salauskirjasto digitaalisen viestinnän suojaamiseen ja salaamiseen. Yksinkertaisesti sanottuna verkkosivustot käyttävät OpenSSL: ää usein HTTPS: n käyttöönottoon. Huawei ilmoitti epäonnistuneen päivittämään tällaista avoimen lähdekoodin ohjelmistoa, väittivät tietoturvatutkijat. 'Kolmansien osapuolten avoimen lähdekoodin ohjelmistokomponenttien keski-ikä Huawei-laiteohjelmistossa on 5,36 vuotta.' Lisäksi on olemassa tuhansia yli 10 vuoden ikäisiä komponentteja. Jotkut vanhentuneista ja vanhentuneista ohjelmistoista jättivät Huawei-laitteet alttiiksi pahamaineiselle Heartbleedille, erittäin tunnetulle ja laajalle levinneelle virukselle jo vuonna 2011.
Onko Huawei ainoa yritys, joka käyttää avoimen lähdekoodin ohjelmistoja?
On tärkeää huomata, että Huawein kaltaiset yritykset luottavat usein avoimen lähdekoodin ohjelmistoihin nopeuttaakseen ohjelmistojen kehittämistä ja käyttöönottoa laitteistoissa. Lisäksi nämä yritykset löytävät usein takaovia ja haavoittuvuuksia ja kiirehtivät korjaamaan niitä. Pohjimmiltaan se on hyvin yleinen käytäntö. Mutta vielä tärkeämpää on, että yritykset päivittävät usein ohjelmiston ja yrittävät käyttää uusinta tai vakainta versiota, jossa on useita virhekorjauksia.
Singapore pitää vaihtoehdot avoimina Huawei- ja 5G-verkoissa https://t.co/kXLKx2TFVG
- Faisal S. (@ whiz913) 27. kesäkuuta 2019
Tällä hetkellä Huawein pääkilpailijat ovat Ericsson, Nokia ja Cisco. Muuten kaikki nämä yritykset suunnittelevat omia iterointejaan nopeista, erittäin matalan viiveellä toimivista 5G-verkkolaitteista. Nämä organisaatiot arvioivat edelleen optimaalisinta laitteistoyhdistelmää 5G: n monien vaatimusten täyttämiseksi, mukaan lukien luotettava yhteys esineiden internetiin (IoT), yhdistettyihin autoihin ja muihin elektronisiin laitteisiin. Vaikka 5G luottaa vakiintuneisiin tekniikoihin ja tiedonsiirtoprotokolliin, alustan on käytettävä paljon huipputeknologiaa. Lisäksi uudella matkaviestinstandardilla on huomattavasti laajempi ulottuvuus verrattuna kaikkiin aikaisempiin standardeihin. Siksi on erittäin tärkeää luoda vahva suojaus ja estää tietorikkomukset tai tietovuodot.
Tunnisteet Huawei
