Logo sl.nowadaytechnol.com

Huawei Je Zapustil Potencialno Izkoriščljivo Zakulisje V Omrežju Firmware Claims Company

Kazalo:

Huawei Je Zapustil Potencialno Izkoriščljivo Zakulisje V Omrežju Firmware Claims Company
Huawei Je Zapustil Potencialno Izkoriščljivo Zakulisje V Omrežju Firmware Claims Company

Video: Huawei Je Zapustil Potencialno Izkoriščljivo Zakulisje V Omrežju Firmware Claims Company

Video: Huawei Je Zapustil Potencialno Izkoriščljivo Zakulisje V Omrežju Firmware Claims Company
Video: ClaimsPrincipal, ClaimsIdentity и Claims | Серии изданий по идентификации и безопасности ASP.NET CORE | Эпизод # 3 2024, Marec
Anonim
Image
Image

ZDA že dolgo trdijo, da je Huawei ogrožal svojo digitalno varnost. Zdaj varnostno podjetje trdi, da je v kar nekaj programski opremi, ki jo je kitajsko podjetje razširilo, odkrilo več potencialno izkoriščenih zalednih vrat. Ker tekma po uvajanju omrežij 5G povečuje hitrost, bi takšne trditve lahko še bolj ogrozile poslovne možnosti telekomunikacijskih in mrežnih velikanov po vsem svetu.

Raziskovalci varnostnega podjetja IoT Finite State so očitno razkrili, da ima več kot polovica opreme kitajskega telekomunikacijskega velikana Huawei "vsaj eno potencialno zakulisje". Obstajajo trdni dokazi, da je imela Huaweijeva vdelana programska oprema mrežnih naprav pomanjkljivosti, ki bi jih lahko namerno uporabili, da bi postali ranljivi, trdijo v podjetju. Medtem ko je podjetje raziskovalo Huaweijevo programsko opremo, nameščeno v njegovi omrežni opremi, je družba dejala: „Obstajajo trdni dokazi, da je v Huawei-jevi vdelani programski opremi veliko ranljivosti na dan, ki temelji na pokvarjenosti pomnilnika. Če povzamemo, če vključite znane ranljivosti z oddaljenim dostopom in morebitne zakritje, se zdi, da imajo naprave Huawei veliko tveganje za potencialne kompromise."

Zaključki varnostnih raziskovalcev iz države Finite State so videti precej podobni tistim, ki jih je Ian Levy, tehnični direktor britanskega nacionalnega centra za kibernetsko varnost (NCSC), enota vohunske agencije GCHQ, sprejel v začetku tega meseca. Takrat je Levy pravkar končal ocenjevanje opreme Huawei glede na vztrajne trditve, da bi Chinto lahko uporabljal mrežno opremo 5G kitajskega podjetja, da bi vodil razširjene vohunske kampanje, ki jih financira država. Levy je naravnost trdil, da je bil varnostni ukrep, ki ga je Huawei uporabil v svoji opremi, "objektivno slabši in slabejši" v primerjavi z vsemi konkurenti na področju žičnega in brezžičnega omrežja. "S stališča varnosti dobavne verige so naprave Huawei nekatere najslabše, kar smo jih kdaj analizirali," je zatrdil Levy.

Raziskovalci so v svojem poročilu ugotovili, da je kljub Huaweijevim javnim zavezam k izboljšanju varnosti analiza pokazala, da se Huaweijeva "varnostna drža" sčasoma dejansko zmanjšuje. Raziskovalci so trdili, da so preučili približno 558 izdelkov Huawei za mreženje podjetij. Po poročanju naj bi prečesali 1,5 milijona datotek znotraj približno 10.000 slik vdelane programske opreme.

Huawei je pustil več kot sto varnostnih napak in ranljivosti?

Analiza je očitno pokazala, da ima več kot 55 odstotkov slik vdelane programske opreme vsaj eno potencialno zakulisje. Nekatere omembe vredne varnostne vrzeli in na videz namerne ranljivosti, ki so ostale v datotekah vdelane programske opreme, vključujejo trdo kodirane poverilnice, ki bi jih lahko uporabili kot zakulisno in nevarno uporabo kriptografskih ključev. Družba je tudi trdila, da je opazila "znake slabe prakse razvoja programske opreme." Na splošno družba Finite State trdi, da je v vsaki podobi vdelane programske opreme Huawei v povprečju odkrila približno 102 znani ranljivosti. Po poročanju naj bi obstajali tudi dokazi o številnih ranljivostih nič dni.

"Huawei ima sistematične težave in to lahko pokažemo tukaj." Obsežna varnostna sonda omrežne opreme Huawei ugotavlja, da oprema kitajskega podjetja predstavlja veliko tveganje za uporabnike / vi @ globeandmail

- Steven Chase (@stevenchase) 26. junija 2019

Zanimiv vidik, ki se je pojavil med analizo, je bila Huaweijeva uporaba odprtokodnih programskih komponent. Huawei se je redno zanašal na OpenSSL. Odprtokodna platforma je pogosto uporabljena kriptografska knjižnica za zaščito in šifriranje digitalnih komunikacij. Preprosto povedano, spletna mesta pogosto uporabljajo OpenSSL, da omogočijo HTTPS. Huawei naj ne bi posodobil takšne odprtokodne programske opreme, so trdili raziskovalci varnosti. "Povprečna starost neodprtih komponent odprtokodne programske opreme v vdelani programski opremi Huawei je 5,36 leta." Poleg tega obstaja "na tisoče primerov komponent, starih več kot 10 let." Očitno je nekatera zastarela in zastarela programska oprema Huaweijevo opremo že leta 2011 pustila ranljivo za zloglasni Heartbleed, zelo razvpit in razširjen virus.

Ali je Huawei edino podjetje, ki uporablja odprtokodno programsko opremo?

Pomembno je omeniti, da se podjetja, podobna Huaweiju, pogosto zanašajo na odprtokodno programsko opremo, da pospešijo razvoj in uvajanje programske opreme v strojni opremi. Poleg tega ta podjetja pogosto odkrijejo zakulisje in ranljivosti ter jih pohitejo popraviti. V bistvu je to zelo pogosta praksa. Pomembno pa je, da podjetja pogosto posodobijo programsko opremo in poskušajo uporabiti najnovejšo ali najstabilnejšo različico, ki ima več popravkov napak.

Singapur ohranja odprte možnosti v omrežjih Huawei in 5G

- Faisal S. (@ whiz913) 27. junija 2019

Trenutno so glavni konkurenti Huaweia Ericsson, Nokia in Cisco. Mimogrede, vsa ta podjetja načrtujejo svoje lastne ponovitve mrežne opreme z visoko hitrostjo in ultra majhno zakasnitvijo 5G. Te organizacije še vedno ocenjujejo najbolj optimalno kombinacijo strojne opreme za izpolnitev številnih zahtev 5G, vključno z zanesljivo povezavo z napravami interneta stvari (IoT), povezanimi avtomobili in drugimi elektronskimi napravami. Čeprav se 5G zanaša na uveljavljene tehnologije in komunikacijske protokole, mora platforma uporabljati veliko vrhunske tehnologije. Poleg tega ima novi standard mobilne komunikacije veliko večji doseg v primerjavi z vsemi prejšnjimi standardi. Zato je ključnega pomena vzpostaviti močno varnost in preprečiti kršitve podatkov ali uhajanje informacij.

Priporočena: