Huawei (Souce - Пресс-конференция Huawei)
США давно заявляют, что Huawei угрожает их цифровой безопасности. Теперь компания, занимающаяся безопасностью, утверждает, что обнаружила несколько потенциально уязвимых лазеек во многих программах, развернутых китайской компанией. По мере того, как скорость развертывания сетей 5G набирает обороты, подобные заявления могут еще больше поставить под угрозу бизнес-перспективы телекоммуникационного и сетевого гиганта по всему миру.
Исследователи из фирмы Finite State, занимающейся безопасностью Интернета вещей, по-видимому, обнаружили, что более половины оборудования китайского телекоммуникационного гиганта Huawei имеет «по крайней мере один потенциальный бэкдор». Фирма утверждает, что есть веские доказательства того, что в прошивке сетевых устройств Huawei были недостатки, которые могли быть намеренно развернуты, чтобы сделать их уязвимыми. Представляя свое исследование программного обеспечения Huawei, установленного в ее сетевом оборудовании, компания заявила: «Существуют существенные доказательства того, что в прошивке Huawei имеется множество уязвимостей нулевого дня, основанных на повреждении памяти. Таким образом, если вы включите известные уязвимости удаленного доступа вместе с возможными бэкдорами, устройства Huawei окажутся подверженными высокому риску потенциального взлома ».
Выводы, сделанные исследователями безопасности в Finite State, похоже, очень похожи на выводы, сделанные в начале этого месяца Ианом Леви, техническим директором Национального центра кибербезопасности Великобритании (NCSC), подразделения шпионского агентства GCHQ. В то время Леви только что завершил оценку оборудования Huawei из-за постоянных заявлений о том, что сетевое оборудование китайской компании 5G может быть использовано Китаем для проведения широкомасштабных шпионских кампаний, спонсируемых государством. Леви прямо заявил, что меры безопасности, применяемые Huawei в своем оборудовании, «объективно хуже и некачественны» по сравнению со всеми его конкурентами в сфере проводных и беспроводных сетей. «С точки зрения технической безопасности цепочки поставок устройства Huawei - одни из худших из тех, что мы когда-либо анализировали», - заявил Леви.
В исследователи отметили в своем отчете что, несмотря на публичные обязательства Huawei по повышению безопасности, анализ показал, что «уровень безопасности» Huawei на самом деле «снижается со временем». Исследователи заявили, что они тщательно изучили около 558 корпоративных сетевых продуктов Huawei. Сообщается, что они просмотрели 1,5 миллиона файлов примерно в 10 000 образов прошивки.
Huawei оставила более сотни недостатков и уязвимостей в системе безопасности?
Анализ, по-видимому, показал, что более 55 процентов образов прошивки имеют хотя бы один потенциальный бэкдор. Некоторые из примечательных лазеек в безопасности и, казалось бы, преднамеренных уязвимостей, оставленных в файлах прошивки, включают жестко закодированные учетные данные, которые могут использоваться как бэкдор, небезопасное использование криптографических ключей. Компания также заявила, что наблюдала «признаки плохой практики разработки программного обеспечения». В целом Finite State утверждает, что в среднем в каждом образе прошивки Huawei обнаружило около 102 известных уязвимостей. Сообщается также о многочисленных уязвимостях нулевого дня.
«В Huawei существует систематическая проблема, и это то, что мы можем здесь показать». Масштабная проверка сетевого оборудования Huawei показала, что оборудование китайской фирмы представляет высокий риск для пользователей / через @globeandmail https://t.co/da3nnnAwdC
- Стивен Чейз (@stevenchase) 26 июня 2019 г.,
Одним из интересных аспектов, выявленных в ходе анализа, было использование компанией Huawei программных компонентов с открытым исходным кодом. Huawei регулярно полагалась на OpenSSL. Платформа с открытым исходным кодом - это широко используемая криптографическая библиотека для защиты и шифрования цифровых сообщений. Проще говоря, OpenSSL часто используется веб-сайтами для включения HTTPS. Сообщается, что Huawei не смогла обновить такое программное обеспечение с открытым исходным кодом, заявили исследователи безопасности. «Средний возраст сторонних программных компонентов с открытым исходным кодом в прошивке Huawei составляет 5,36 года». Более того, существуют «тысячи экземпляров компонентов, возраст которых превышает 10 лет». По всей видимости, часть устаревшего и устаревшего программного обеспечения сделала оборудование Huawei уязвимым для печально известного Heartbleed, очень печально известного и широко распространенного вируса еще в 2011 году.
Является ли Huawei единственной компанией, использующей программное обеспечение с открытым исходным кодом?
Важно отметить, что компании, подобные Huawei, часто полагаются на программное обеспечение с открытым исходным кодом для ускорения разработки и развертывания программного обеспечения на оборудовании. Более того, эти компании часто обнаруживают бэкдоры и уязвимости и спешат их исправить. По сути, это очень распространенная практика. Но что еще важно, компании часто обновляют программное обеспечение и стараются использовать последнюю или самую стабильную версию, в которой есть несколько исправлений ошибок.
Сингапур оставляет возможность выбора в сетях Huawei и 5G https://t.co/kXLKx2TFVG
- Фейсал С. (@ whiz913) 27 июня 2019 г.,
В настоящее время основными конкурентами Huawei являются Ericsson, Nokia и Cisco. Между прочим, все эти компании разрабатывают свои собственные итерации высокоскоростного сетевого оборудования 5G со сверхмалой задержкой. Эти организации все еще оценивают наиболее оптимальную комбинацию оборудования для выполнения многих требований 5G, включая надежное подключение к устройствам Интернета вещей (IoT), подключенным автомобилям и другим электронным устройствам. Хотя 5G опирается на установленные технологии и протоколы связи, платформа должна использовать множество передовых технологий. Более того, новый стандарт мобильной связи имеет гораздо больший охват по сравнению со всеми предыдущими стандартами. Следовательно, очень важно установить надежную безопасность и предотвратить утечку данных или утечку информации.
Теги Huawei
