Отчет: Huawei озадачен «долгосрочными рисками безопасности»

Отчет: Huawei озадачен «долгосрочными рисками безопасности»

Официальные лица Великобритании, которым поручено оценить безопасность сети Huawei и ее пригодность в качестве ведущего партнера 5G в предстоящих развертываниях, опубликовали отчет о своих выводах. Соединенное Королевство и Huawei заключили соглашение, согласно которому соблюдение Huawei стандартов безопасности контролируется Центром оценки кибербезопасности (HCSEC) Huawei. Эта организация контролируется Советом по надзору за HCSEC, который является автором этого самого последнего отчета. Их выводы весьма негативные - но они также могут, наконец, пролить некоторый свет на то, почему Huawei была такая разделяющий темы за последние несколько лет.

Предупреждения о методах безопасности Huawei начались во время администрации Обамы, но усилились после того, как президент Трамп вступил в должность. Однако в этих отчетах отсутствовал какой-либо твердый технический смысл того, почему следует избегать оборудования и программного обеспечения Huawei. Содержит ли оборудование бэкдоры или другие шпионские программы? Одной из регулярных тем, касающихся кулера для воды wfoojjaec, была степень, в которой последовательные, но смутные предупреждения правительства отражали реальные проблемы безопасности. В интересах раскрытия информации: я склонен думать, что у правительства, вероятно, были причины, о которых оно не хотело публично раскрывать. Если отчет Великобритании отражает опыт США, то, безусловно, есть проблемы, которые необходимо решить.

В своем отчете OB HCSEC утверждает, что «в инженерных процессах Huawei были выявлены и другие существенные технические проблемы, приводящие к новым рискам в телекоммуникационных сетях Великобритании» (выделено оригиналом). В нем также говорится, что Huawei не добилась прогресса в решении каких-либо критических проблем безопасности, выявленных в предыдущем году. В результате Совет по надзору пишет, что было бы «неуместным изменять уровень гарантии с прошлого года или комментировать потенциальные будущие уровни гарантии».

Маленькая сотовая антенна Verizon 5G. Huawei оценивается как поставщик сетевого оборудования 5G.
Маленькая сотовая антенна Verizon 5G. Huawei оценивается как поставщик сетевого оборудования 5G.

Далее в отчете утверждается, что OB не видел ничего такого, что могло бы вселить уверенность в том, что Huawei сможет решить эти проблемы. Хотя компания предложила план для этого, Великобритания не уверена в своей способности выполнить указанный план. В следствии:

Совет по надзору может предоставить лишь ограниченную гарантию того, что все риски для национальной безопасности Великобритании от участия Huawei в критически важных сетях Великобритании могут быть в достаточной степени смягчены в долгосрочной перспективе. (акцент оригинал)

Так в чем проблема?

OB HCSEC выявил несколько ключевых проблем. Согласно отчету, Huawei не может предоставить программные сборки, которые демонстрируют бинарную эквивалентность по всем своим продуктам. Он не может продемонстрировать, что проблемы, возникающие в одной сборке, должным образом решаются в следующей посредством «нормальной работы устойчивого процесса разработки». Он не может обеспечить сквозную гарантию того, что конкретный набор исходного кода является именно тем, который используется построить конкретный двоичный файл. Его инструменты управления конфигурацией не всегда используются в различных семействах продуктов, что не позволяет гарантировать комплексную безопасность. Конфигурация виртуальной машины при запуске сборки плохая, а сборки не чистые. Управление конфигурацией среды сборки практически отсутствует, и нет последовательного развертывания поддержки цепочки инструментов. Управление конфигурацией исходного кода плохое:

Во-вторых, интеграция в общую архитектуру продукта очень плохая, с несколькими копиями и версиями компонентов, по-видимому, компонентами с одинаковыми версиями, содержащими значительные различия, циклические зависимости между компонентами и некоторые компоненты, регрессирующие в версии между общими приращениями продукта.

Huawei продолжает полагаться на старую и почти устаревшую ОС RTOS (Wind River VxWorks 5.5, ОС, дебютировавшая в 2002 году). Huawei приобрела расширенную лицензию для VxWorks 5.5, но срок ее действия истекает в 2020 году. Huawei разработала собственную ОС для замены VxWorks 5.5, но HCSEC отмечает:

Собственная эквивалентная операционная система Huawei подвержена многим из тех же процессов разработки Huawei, что и другие компоненты, и у NCSC в настоящее время недостаточно доказательств, чтобы судить о качестве разработки программного обеспечения и последствиях кибербезопасности этого компонента. Кроме того, он использует более современные модели памяти и безопасности, и поэтому интеграция с существующим продуктом, работающим в операционной системе, приносит риск. Это означает, что переход на эту операционную систему реального времени может не улучшить ситуацию в долгосрочной перспективе, в то же время привлекая риск интеграции для британских операторов ... Однако NCSC по-прежнему обеспокоен временем, прошедшим с момента обнаружения этой проблемы, без представления достоверного плана.

HCSEC провел анализ тенденций различных исправлений и исправлений, предоставленных Huawei, и обнаружил, что они неадекватны, а в окончательном коде показано «значительное количество основных дефектов». Когда его попросили представить план действий для решения проблемы продолжающегося существования эти проблемы, независимо от того, что придумал Huawei, были сочтены неадекватными. NCSC (Национальный центр кибербезопасности, который внес свой вклад в доклад) заявил, однако, что он считает, что дефекты, которые мешают оборудованию Huawei - и отчет довольно обескураживающий в этом отношении - не являются результатом «вмешательства со стороны китайского государственного субъекта. »

Короче говоря, Huawei не пытается загадить свое программное или аппаратное обеспечение секретными задними дверями, но также очень, очень плохо в безопасности. Это не тот вывод, который трудно понять, особенно с учетом того, сколько компаний пострадали от нарушений безопасности или подверглись собственной плохой практике.

Лучшие фотографии: Кевин Фрейер / Getty Images

Читать далее

Boeing по-прежнему озадачил выпуски клапанов Starliner
Boeing по-прежнему озадачил выпуски клапанов Starliner

Следующий выстрел Боинг при получении сортеров в космос, вероятно, не придет до 2022 года.

Ультима Туле уже озадачивает исследователей нового горизонта, еще до того, как мы прибыли
Ультима Туле уже озадачивает исследователей нового горизонта, еще до того, как мы прибыли

Ультима Туле уже озадачивает исследователей еще до того, как появятся Новые Горизонты.

НАСА озадачено тем, что буровой инструмент InSight выскочил из марсиан
НАСА озадачено тем, что буровой инструмент InSight выскочил из марсиан

После того как НАСА сообщает, что, наконец, добившись некоторого прогресса с роющимся зондом «крота», Марс только что бесцеремонно изгнал устройство из своего туннеля.

iOS 13.2 эффективно ломает многозадачность, убивает фоновые задачи
iOS 13.2 эффективно ломает многозадачность, убивает фоновые задачи

У Apple есть большая проблема с iOS 13.2 - она закрывает приложения так быстро, многозадачность эффективно нарушается.