Logo hr.nowadaytechnol.com

Huawei Je Napustio Potencijalno Iskoristiv Backdoor U Mrežnom Firmware-u Tvrdeći Da Je Tvrtka Za Zaštitu

Sadržaj:

Huawei Je Napustio Potencijalno Iskoristiv Backdoor U Mrežnom Firmware-u Tvrdeći Da Je Tvrtka Za Zaštitu
Huawei Je Napustio Potencijalno Iskoristiv Backdoor U Mrežnom Firmware-u Tvrdeći Da Je Tvrtka Za Zaštitu

Video: Huawei Je Napustio Potencijalno Iskoristiv Backdoor U Mrežnom Firmware-u Tvrdeći Da Je Tvrtka Za Zaštitu

Video: Huawei Je Napustio Potencijalno Iskoristiv Backdoor U Mrežnom Firmware-u Tvrdeći Da Je Tvrtka Za Zaštitu
Video: Evo koja K A Z N A sledi Kristijanu ZBOG UPADA na PRIIVATNI POSED #zadruga #zadrugainfo 2024, Ožujak
Anonim
Image
Image

SAD već dugo tvrde da je Huawei prijetio svojoj digitalnoj sigurnosti. Sada zaštitarska tvrtka tvrdi da je otkrila nekoliko potencijalno iskoristivih backdoor-a u prilično malo softvera koji je kineska tvrtka primijenila. Kako utrka za uvođenjem 5G umrežavanja dobiva na brzini, takve bi tvrdnje mogle dodatno ugroziti poslovne izglede telekoma i umreženog giganta širom svijeta.

Istraživači IoT zaštitarske tvrtke Finite State očito su otkrili da više od polovice opreme kineskog telekomunikacijskog diva, Huawei, ima "barem jedno potencijalno zaklonjeno mjesto". Postoje značajni dokazi da je Huaweijev firmware mrežnih uređaja imao nedostataka, koji su se mogli namjerno primijeniti kako bi postali ranjivi, tvrde u tvrtki. Iznoseći svoja istraživanja o Huaweijevom softveru instaliranom u njegovu mrežnu opremu, tvrtka je rekla: „Postoje značajni dokazi da ranjivosti nultog dana temeljene na oštećenjima memorije obiluju Huaweijevim firmwareom. Ukratko, ako uključite poznate ranjivosti s daljinskim pristupom, zajedno s mogućim backdoor-ovima, čini se da Huawei uređaji imaju visok rizik od potencijalnih kompromisa."

Čini se da su zaključci sigurnosnih istraživača iz Finite Statea prilično slični onima koje je Ian Levy, tehnički direktor britanskog Nacionalnog centra za kibernetsku sigurnost (NCSC), jedinice špijunske agencije GCHQ, donio ranije ovog mjeseca. Tada je Levy upravo završio ocjenjivanje Huaweijeve opreme zbog ustrajnih tvrdnji da bi Chinto mrežnu opremu kineske tvrtke 5G mogao koristiti za provođenje raširenih špijunskih kampanja koje financira država. Levy je izravno tvrdio da su sigurnosne mjere koje je Huawei primijenio u svojoj opremi "objektivno lošije i lošije" u usporedbi sa svim konkurentima u poslu žičnog i bežičnog umrežavanja. "S gledišta sigurnosti lanca opskrbe, Huawei uređaji su jedni od najgorih što smo ikad analizirali", tvrdio je Levy.

Istraživači su u svom izvješću primijetili da je unatoč Huaveijevim javnim obvezama da poboljša sigurnost, analiza otkrila da se Huaweijevo "sigurnosno držanje" zapravo s vremenom smanjuje. Istraživači su tvrdili da su detaljno pregledali oko 558 mrežnih proizvoda tvrtke Huawei. Navodno su pročešljali 1,5 milijuna datoteka unutar oko 10 000 slika firmvera.

Huawei je ostavio više od stotinu sigurnosnih propusta i ranjivosti?

Analiza je očito otkrila da više od 55 posto slika ugrađenog softvera ima barem jednu potencijalnu pozadinu. Neke značajne sigurnosne rupe i naizgled namjerne ranjivosti ostavljene unutar datoteka firmware-a uključuju čvrsto kodirane vjerodajnice koje se mogu koristiti kao skrivena vrata, nesigurna upotreba kriptografskih ključeva. Tvrtka je također tvrdila da je primijetila "naznake loše prakse razvoja softvera". Sveukupno, Finite State tvrdi da je otkrio oko 102 poznate ranjivosti u prosjeku na svakoj Huaweijevoj slici firmvera. Navodno su postojali dokazi i o brojnim ranjivostima nula dana.

"U Huaweiju postoji sustavni problem i to je ono što ovdje možemo pokazati." Opsežna sigurnosna sonda mrežne opreme Huawei otkriva da oprema kineske tvrtke predstavlja velik rizik za korisnike / vi @ globeandmail

- Steven Chase (@stevenchase) 26. lipnja 2019

Jedan zanimljiv aspekt koji se pojavio tijekom analize bila je Huaweijeva upotreba softverskih komponenti otvorenog koda. Huawei se redovito oslanjao na OpenSSL. Open source platforma je često korištena kriptografska knjižnica za zaštitu i šifriranje digitalnih komunikacija. Jednostavnim riječima, web stranice često koriste OpenSSL za omogućavanje HTTPS-a. Huawei navodno nije uspio ažurirati takav softver otvorenog koda, tvrde istraživači sigurnosti. "Prosječna starost softverskih komponenata otvorenog koda treće strane u Huaweijevom firmwareu je 5,36 godina." Štoviše, postoje "tisuće primjeraka komponenata starih više od 10 godina." Očito je neki zastarjeli i zastarjeli softver Huaweijevu opremu ostavio ranjivom na zloglasni Heartbleed, vrlo zloglasni i rašireni virus još 2011. godine.

Je li Huawei jedina tvrtka koja koristi softver otvorenog koda?

Važno je napomenuti da se tvrtke slične Huaweiju često oslanjaju na softver otvorenog koda kako bi ubrzale razvoj i uvođenje softvera u hardver. Štoviše, ove tvrtke često otkrivaju backdoor i ranjivosti i žure ih popraviti. U osnovi je to vrlo uobičajena praksa. No, ono što je čak važno jest da tvrtke često ažuriraju softver i pokušavaju koristiti najnoviju ili najstabilniju verziju koja ima nekoliko ispravki programskih pogrešaka.

Singapur drži opcije otvorenima na Huawei i 5G mrežama

- Faisal S. (@ whiz913) 27. lipnja 2019

Trenutno su Huaweijevi glavni konkurenti Ericsson, Nokia i Cisco. Inače, sve ove tvrtke dizajniraju vlastite iteracije mrežne opreme velike brzine, ultra niske latencije. Te organizacije još uvijek procjenjuju najoptimalniju kombinaciju hardvera za ispunjavanje mnogih zahtjeva 5G-a, uključujući pouzdanu vezu s uređajima Interneta stvari (IoT), povezanim automobilima i drugim elektroničkim uređajima. Iako se 5G oslanja na uspostavljene tehnologije i komunikacijske protokole, platforma mora koristiti puno vrhunske tehnologije. Štoviše, novi standard mobilne komunikacije ima daleko veći doseg u usporedbi sa svim prethodnim standardima. Stoga je presudno postaviti jaku sigurnost i spriječiti probijanje podataka ili curenje informacija.

Preporučeni: