Logo et.nowadaytechnol.com

Huawei Jättis Võrgu Püsivara Nõuete Turvaettevõttes Potentsiaalselt Kasutatava Tagaukse

Sisukord:

Huawei Jättis Võrgu Püsivara Nõuete Turvaettevõttes Potentsiaalselt Kasutatava Tagaukse
Huawei Jättis Võrgu Püsivara Nõuete Turvaettevõttes Potentsiaalselt Kasutatava Tagaukse

Video: Huawei Jättis Võrgu Püsivara Nõuete Turvaettevõttes Potentsiaalselt Kasutatava Tagaukse

Video: Huawei Jättis Võrgu Püsivara Nõuete Turvaettevõttes Potentsiaalselt Kasutatava Tagaukse
Video: Kuidas kasutada kodust WiFi võrku? 2024, Märts
Anonim
Image
Image

USA on pikka aega väitnud, et Huawei ohustas tema digitaalset turvalisust. Nüüd väidab turvafirma, et on avastanud mitu potentsiaalselt kasutatavat tagaust üsna vähesest Hiina ettevõtte juurutatud tarkvarast. Kui 5G-võrgu kasutuselevõtu kiireneb, võivad sellised väited veelgi ohustada telekommunikatsiooni- ja võrguhiiglase äriväljavaateid kogu maailmas.

IoT turvafirma Finite State teadlased on ilmselgelt paljastanud, et üle poole Hiina telekommunikatsiooni hiiglase Huawei seadmetest on "vähemalt üks potentsiaalne tagauks". On olulisi tõendeid selle kohta, et Huawei võrguseadme püsivaras on vigu, mida oleks võinud teadlikult juurutada, et muuta need haavatavaks, väidab ettevõte. Uurides oma võrguseadmetesse installitud tarkvara Huawei kohta, ütles ettevõte: "On palju tõendeid selle kohta, et mäluprobleemidel põhinevaid nullpäevaseid haavatavusi on Huawei püsivara rohkesti. Kokkuvõtlikult võib öelda, et kui lisate teadaolevad kaugjuurdepääsuga haavatavused koos võimalike tagaukstega, näib, et Huawei seadmetel on suur potentsiaalse kompromissi oht."

Lõpliku osariigi julgeolekuteadlaste tehtud järeldused näivad olevat üsna sarnased sellele, mida Suurbritannia riikliku küberturvalisuse keskuse (NCSC) spiooniagentuuri GCHQ üksuse tehniline direktor selle kuu alguses tegi. Siis oli Levy just lõpetanud Huawei seadmete hindamise püsivate väidete kohaselt, et Hiina ettevõtte 5G võrguseadmeid võiks Chinto kasutada laiaulatuslike riiklikult toetatavate spionaažikampaaniate korraldamiseks. Levy oli otse väitnud, et Huawei oma seadmetes rakendatud turvameetmed on "objektiivselt halvemad ja viletsamad", võrreldes kõigi tema juhtmetega ja traadita võrguäriga konkurentidega. "Tarneahela tehnilise turvalisuse seisukohast on Huawei seadmed ühed halvimad, mida me kunagi analüüsinud oleme," väitis Levy.

Teadlased märkisid oma aruandes, et vaatamata Huawei avalikele kohustustele turvalisuse parandamiseks näitas analüüs, et Huawei “turvaasend” tegelikult aja jooksul väheneb. Teadlased väitsid, et uurisid umbes 558 Huawei ettevõtte võrgutoodet. Väidetavalt kammisid nad umbes 10 000 püsivara pildil 1,5 miljonit faili.

Huawei jättis enam kui sada turvaviga ja haavatavust?

Analüüsist selgus ilmselt, et enam kui 55 protsendil püsivara piltidest on vähemalt üks potentsiaalne tagauks. Mõned tähelepanuväärsed turvaaugud ja näiliselt tahtlikud haavatavused, mis püsivara failidesse jäävad, hõlmavad kõvakodeeritud mandaate, mida saaks kasutada krüptovõtmete tagauksena, ebaturvaliseks kasutamiseks. Samuti väitis ettevõte, et on täheldanud „halva tarkvaraarenduse viiteid“. Üldiselt väidab Finite State, et on avastanud keskmiselt umbes 102 teadaolevat haavatavust igast Huawei püsivara pildist. Väidetavalt oli tõendeid ka arvukate nullipäevaste haavatavuste kohta.

"Huaweil on süsteemne probleem ja seda suudame siin näidata." Huawei võrguseadmete suuremahuline turvasond leiab, et Hiina ettevõtte varustus kujutab kasutajatele suurt riski / vi @ globeandmail

- Steven Chase (@stevenchase) 26. juuni 2019

Üks huvitav aspekt, mis analüüsi käigus välja tuli, oli Huawei avatud lähtekoodiga tarkvara komponentide kasutamine. Huawei tugines regulaarselt OpenSSL-ile. Avatud lähtekoodiga platvorm on digitaalse side kaitsmiseks ja krüptimiseks tavaliselt kasutatav krüptograafiaraamatukogu. Lihtsamalt öeldes kasutavad veebisaidid HTTPS-i lubamiseks sageli OpenSSL-i. Väidetavalt ei suutnud Huawei sellist avatud lähtekoodiga tarkvara uuendada, väitsid turvauurijad. "Kolmandate osapoolte avatud lähtekoodiga tarkvara komponentide keskmine vanus Huawei püsivara puhul on 5,36 aastat." Pealegi on "tuhandeid komponente, mis on vanemad kui 10 aastat". Ilmselt jättis osa vananenud ja vananenud tarkvaradest Huawei seadmed haavatavaks kurikuulsa Heartbleedi, väga kurikuulsa ja laialt levinud viiruse vastu juba 2011. aastal.

Kas Huawei on ainus avatud lähtekoodiga tarkvara kasutav ettevõte?

Oluline on märkida, et Huawei sarnased ettevõtted toetuvad tarkvara arendamise ja riistvaralise juurutamise kiirendamiseks sageli avatud lähtekoodiga tarkvarale. Pealegi avastavad need ettevõtted sageli tagaukseid ja haavatavusi ning kiirustavad neid lappima. Sisuliselt on see väga levinud praktika. Kuid isegi oluline on see, et ettevõtted värskendavad tarkvara sageli ja üritavad kasutada uusimat või stabiilsemat versiooni, millel on mitu veaparandust.

Singapur hoiab valikud avatud Huawei ja 5G võrkudes

- Faisal S. (@ whiz913) 27. juuni 2019

Praegu on Huawei peamised konkurendid Ericsson, Nokia ja Cisco. Muide, kõik need ettevõtted kujundavad ise kiirete, ülimadalate latentsustega 5G võrguseadmete iteratsioone. Need organisatsioonid hindavad endiselt kõige optimaalsemat riistvarakombinatsiooni, et täita 5G paljusid nõudeid, sealhulgas usaldusväärset ühendust asjade Interneti (IoT) seadmete, ühendatud autode ja muude elektroonikaseadmetega. Kuigi 5G tugineb väljakujunenud tehnoloogiatele ja sideprotokollidele, peab platvorm kasutama palju tipptasemel tehnoloogiat. Pealegi on uuel mobiilsidestandardil kõigi varasemate standarditega võrreldes palju ulatuslikum haare. Seetõttu on ülitähtis luua tugev turvalisus ja vältida andmete rikkumist või infoleket.

Soovitan: