Звіт: Huawei зіткнувся зі "довгостроковими ризиками безпеки"
Чиновники Великобританії, які мають намір оцінити мережеву безпеку Huawei та загальну придатність бути провідним партнером 5G у своїх майбутніх розгортаннях, опублікували звіт про свої результати. У Великобританії та Huawei є угода, згідно з якою відповідність Huawei стандартам безпеки контролюється Центром оцінки Huawei Cyber Security (HCSEC). Цю організацію контролює Наглядова рада HCSEC, яка є автором цього останнього звіту. Їх висновки досить негативні - але вони також можуть пролити світло на те, чому Huawei була такою розділяючою темою протягом останніх кількох років.
Попередження про практику безпеки компанії Huawei почалися під час адміністрації Обами, але посилилися після того, як президент обійшов президент. Однак у цих звітах не було жодного твердого технічного розуміння того, чому обладнання та програмне забезпечення Huawei слід уникати. Чи обладнання містило бекдори або інші форми шпигунських програм? Однією з регулярних тем навколо охолоджувача води wfoojjaec був ступінь, до якого послідовні, але невизначені застереження уряду відображали фактичні проблеми безпеки. В інтересах розкриття інформації: я вважаю, що уряд, мабуть, мав причини, які не хотіли б публічно розкривати. Якщо звіт Великобританії відображає досвід США, то, безумовно, є питання, які необхідно вирішити.
У своєму звіті ОК HCSEC стверджує, що “в інженерних процесах Huawei були виявлені інші важливі технічні питання, що призводять до нових ризиків у телекомунікаційних мережах Великобританії” (оригінал оригіналу). У ньому також зазначено, що Huawei не досягла прогресу у вирішенні будь-яких критичних проблем безпеки, визначених у попередньому році. Як наслідок, Наглядова рада пише, що було б «недоречно змінювати рівень впевненості в минулому році або робити коментарі щодо потенційних майбутніх рівнів гарантії».
У доповіді йдеться про те, що ОБ не бачив нічого, що дало б йому впевненість, що Huawei може вирішити ці питання. Хоча компанія запропонувала план для цього, Великобританія не має впевненості в її здатності виконувати зазначений план. Як результат:
Наглядова рада може лише забезпечити обмежену гарантію того, що всі ризики для національної безпеки Великобританії від залучення Huawei до критичних мереж у Великобританії можуть бути достатньо пом'якшені в довгостроковій перспективі. (оригінал оригіналу)
Що таке проблема?
ОК HCSEC визначив кілька ключових питань. Згідно з доповіддю, Huawei не може надавати програмні засоби, що демонструють двійкову еквівалентність у своїх продуктових лініях. Вона не може продемонструвати, що проблеми, які виникають в одному збірок, належним чином вирішуються в наступному через "нормальне функціонування стійкого інженерного процесу". Це не може забезпечити повну гарантію того, що певний набір вихідних кодів є саме тим, який використовується будувати конкретний двійковий. Інструменти керування конфігурацією не використовуються послідовно в різних категоріях продуктів, що перешкоджає гарантії наскрізної безпеки. Конфігурація віртуальної машини при запуску збірок є поганою, а збірки не є чистими. Управління конфігурацією середовища збирання є поганим і не існує, без послідовного розгортання підтримки інструментів. Керування налаштуванням вихідного коду є поганим:
По-друге, інтеграція в загальну архітектуру продукту дуже погана, з кількома копіями і версіями компонентів, явно ідентичних версій компонентів, що містять значні відмінності, кругові залежності між компонентами і деякі компоненти регресують у версії між загальними збільшеннями продукту.
Huawei продовжує покладатися на стару і дуже майже застарілу ОС RTOS (Wind River VxWorks 5.5, операційна система, яка дебютувала в 2002 році). Huawei придбала розширену ліцензію на VxWorks 5.5, але ця ліцензія закінчується в 2020 році. Huawei розробила власну ОС для заміни VxWorks 5.5, але примітки HCSEC:
Власна еквівалентна операційна система Huawei підпорядкована багатьом з тих самих процесів розробки Huawei, що й інші компоненти, і зараз NCSC не має достатніх доказів для того, щоб зробити висновок про якість програмної інженерії та наслідки кібербезпеки цього компонента. Крім того, він використовує більш сучасну пам'ять і моделі безпеки, тому інтеграція з існуючим продуктом, що працює на операційній системі, приносить ризик. Це означає, що перехід до цієї операційної системи в реальному часі може не поліпшити ситуацію довгостроково, при цьому принести ризик інтеграції для операторів Великобританії… Однак NCSC залишається стурбованим тим, що минув час з моменту відкриття цього питання без представлення достовірного плану.
HCSEC провів аналіз тенденцій різних виправлень та виправлень, які Huawei надав, і визнав їх неадекватними, з остаточним кодом, що демонструє «значне число основних дефектів». ці проблеми, які б Huawei придумали, вважалися неадекватними. NCSC (Національний центр кібербезпеки, який вніс доповідь) заявив, однак, що він вважає, що недоліки, які гальмують обладнання Huawei - і цей звіт є досить суворим у цьому відношенні - не є результатом «втручання китайського державного актора». "
Коротше кажучи, Huawei не намагається розгадати своє програмне або апаратне забезпечення з секретними задніми дверима, але це також дійсно, дуже погано в безпеці. Це не висновок, який важко зрозуміти, особливо враховуючи, скільки компаній постраждали від порушень безпеки або були викриті свої власні бідні практики.
Топ кредит фото: Кевін Фрейер / Getty Images