Spoločnosť Huawei zanechala potenciálne využiteľné zadné vrátka v oblasti sieťových firmvérov, ktoré si nárokujú bezpečnostnú spoločnosť

Huawei (Souce - tlačová udalosť spoločnosti Huawei)

USA už dlho tvrdia, že Huawei ohrozuje svoju digitálnu bezpečnosť. Teraz bezpečnostná spoločnosť tvrdí, že objavila niekoľko potenciálne využiteľných zadných vrátok v pomerne veľkom množstve softvéru, ktorý nasadila čínska spoločnosť. Pretože preteky v zavádzaní sietí 5G získavajú rýchlosť, mohli by tieto nároky ďalej ohroziť obchodné vyhliadky telekomunikačných a sieťových gigantov na celom svete.

Vedci z bezpečnostnej firmy IoT Finite State zjavne odhalili, že viac ako polovica vybavenia čínskeho telekomunikačného giganta Huawei má „minimálne jeden potenciálny zadný vrátok“. Existujú značné dôkazy o tom, že firmvér sieťového zariadenia spoločnosti Huawei mal chyby, ktoré mohli byť zámerne nasadené, aby boli zraniteľné, tvrdí firma. Pri výskume softvéru Huawei nainštalovaného v sieťovom zariadení spoločnosť uviedla: „Existujú značné dôkazy o tom, že vo firmvéri Huawei sú hojné chyby zabezpečenia v podobe nulového dňa založené na poškodení pamäte. Stručne povedané, ak zahrniete známe chyby zabezpečenia vzdialeného prístupu spolu s možnými zadnými vrátkami, zdá sa, že zariadenia Huawei sú vystavené vysokému riziku možného kompromisu. “

Závery, ktoré vyvodili výskumníci v oblasti bezpečnosti vo Finite State, sa zdajú byť dosť podobné tým, ktoré Ian Levy, technický riaditeľ britského Národného centra pre kybernetickú bezpečnosť (NCSC), jednotky špionážnej agentúry GCHQ, urobil začiatkom tohto mesiaca. V tom čase Levy práve ukončil hodnotenie zariadení Huawei podľa pretrvávajúcich tvrdení, že Čína môže využívať sieťové zariadenia 5G čínskej spoločnosti na uskutočňovanie rozsiahlych špionážnych kampaní sponzorovaných štátom. Spoločnosť Levy priamo tvrdila, že bezpečnostné opatrenia nasadené spoločnosťou Huawei do jej zariadení sú „objektívne horšie a chatrnejšie“ v porovnaní so všetkými jej konkurentmi v oblasti káblových a bezdrôtových sietí. „Z technického hľadiska zabezpečenia dodávateľského reťazca sú zariadenia Huawei jedny z najhorších, aké sme kedy analyzovali,“ tvrdil Levy.

The uviedli vedci vo svojej správe že napriek verejným záväzkom spoločnosti Huawei k zlepšeniu bezpečnosti analýza ukázala, že „bezpečnostná pozícia spoločnosti Huawei“ v skutočnosti „časom klesá“. Vedci tvrdili, že preskúmali asi 558 podnikových sieťových produktov Huawei. Údajne prečesali 1,5 milióna súborov v rámci asi 10 000 obrázkov firmvéru.

Spoločnosť Huawei zanechala viac ako sto bezpečnostných chýb a zraniteľností?

Analýza zjavne odhalila, že viac ako 55 percent obrázkov firmvéru má minimálne jeden potenciálny backdoor. Niektoré z pozoruhodných bezpečnostných medzier a zdanlivo úmyselné chyby zabezpečenia, ktoré zostali vo vnútri súborov firmvéru, obsahujú pevne zakódované poverenia, ktoré je možné použiť ako zadné vrátka a nebezpečné použitie kryptografických kľúčov. Spoločnosť tiež tvrdila, že pozorovala „náznaky zlých postupov pri vývoji softvéru“. Celkovo spoločnosť Finite State tvrdí, že v priemere objavila okolo 102 známych slabých miest v každom obraze firmvéru Huawei. Údajne tiež boli dôkazy o početných zraniteľnostiach nulového dňa.

'V spoločnosti Huawei existuje systematický problém a to je to, čo sme tu schopní ukázať.' Rozsiahla bezpečnostná sonda sieťového zariadenia Huawei zistila, že výstroj čínskej firmy predstavuje pre používateľov veľké riziko @globeandmail https://t.co/da3nnnAwdC

- Steven Chase (@stevenchase) 26.06.2019

Jedným zaujímavým aspektom, ktorý sa objavil počas analýzy, bolo použitie softvérových komponentov open-source spoločnosťou Huawei. Huawei sa pravidelne spoliehal na OpenSSL. Open source platforma je bežne používaná kryptografická knižnica na ochranu a šifrovanie digitálnej komunikácie. Jednoduchými slovami, webové stránky často používajú OpenSSL na povolenie HTTPS. Spoločnosť Huawei údajne nedokázala aktualizovať taký softvér s otvoreným zdrojovým kódom, tvrdili bezpečnostní experti. „Priemerný vek softvérových komponentov open source softvéru tretích strán vo firmvéri Huawei je 5,36 rokov.“ Okrem toho existujú „tisíce prípadov komponentov starších ako 10 rokov“. Podľa všetkého časť zastaraného a zastaraného softvéru spôsobila, že vybavenie spoločnosti Huawei bolo zraniteľné voči neslávne známemu Heartbleed, veľmi notorickému a široko rozšírenému vírusu už v roku 2011.

Je Huawei jedinou spoločnosťou, ktorá používa softvér s otvoreným zdrojovým kódom?

Je dôležité poznamenať, že spoločnosti podobné spoločnosti Huawei sa pri urýchlení vývoja a nasadenia softvéru v hardvéri často spoliehajú na softvér typu open-source. Tieto spoločnosti navyše často objavujú zadné vrátka a zraniteľné miesta a ponáhľajú sa ich opraviť. V podstate ide o veľmi bežnú prax. Je však dokonca dôležité, aby spoločnosti často aktualizovali softvér a pokúšali sa používať najnovšiu alebo najstabilnejšiu verziu s niekoľkými opravami chýb.

Singapur necháva otvorené možnosti v sieťach Huawei a 5G https://t.co/kXLKx2TFVG

- Faisal S. (@ whiz913) 27. júna 2019

V súčasnosti sú hlavnými konkurentmi spoločnosti Huawei spoločnosti Ericsson, Nokia a Cisco. Mimochodom, všetky tieto spoločnosti navrhujú vlastné iterácie vysokorýchlostných sieťových zariadení s veľmi nízkou latenciou 5G. Tieto organizácie stále vyhodnocujú najoptimálnejšiu kombináciu hardvéru na splnenie mnohých požiadaviek 5G vrátane spoľahlivého pripojenia k zariadeniam internetu vecí (IoT), pripojeným automobilom a ďalším elektronickým zariadeniam. Aj keď sa 5G spolieha na zavedené technológie a komunikačné protokoly, platforma musí využívať množstvo špičkových technológií. Nový mobilný komunikačný štandard má navyše oveľa väčší dosah v porovnaní so všetkými predchádzajúcimi štandardmi. Preto je veľmi dôležité nastaviť silné zabezpečenie a zabrániť úniku údajov alebo úniku informácií.