Huawei förbud: Vinnare, förlorare, och vad som är på spel (en hel del)
ZDNet Jason Cipriani och Jason Perlow prata med Karen Roby om hur säkerhet och handel brouhaha påverkar allt från den framtida regionala flygbolag och nedre raderna av tech-jättar 5G framtidsutsikter och konsumenternas plånböcker. Läs mer: https://zd.net/2WzVRbq
På hälen av nyheter som misstänks Kinesiska staten sponsrade hackare bröt sig in i telekom-jättarna IBM och HPE, forskare har visat att över hälften av utrustning från Kinas telekom jätte, Huawei, har “minst en potential bakdörr”.
Forskare från IoT bevakningsföretag Finite State har gett en svidande bedömning av tillståndet i säkerhet i Huaweis nätverk-enhet firmware, med argumentet “det finns starka bevis för zero-day sårbarheter baserat på minne korruption förekommer rikligt i Huawei firmware”.
“Sammanfattningsvis, om du har känt, remote-access sårbarheter tillsammans med eventuella bakdörrar, Huawei enheter förefaller ha en hög risk för potentiella kompromiss” som företaget skrev i en ny rapport.
Slutsatserna echo senaste kommentarer av Ian Levy, teknisk chef på det BRITTISKA National Cyber Security Centre (NCSC), en enhet av spy byrån GCHQ.
Efter en bedömning av Huawei utrustning oro över sin 5G redskap som kan användas av Kina för att spionera på landet, Levy sa Huawei säkerhet var “objektivt sämre” och “usel” jämfört med konkurrenterna, som Ericsson, Nokia och Cisco.
Rapporten på Huawei firmware säkerhet följer också en från Reuters på onsdagen avslöjar att hackare känd som Moln Hopper, som påstods vara att arbeta för Kinas Ministerium för statssäkerhet, hackad Ericsson, Fujitsu, Tata, NTT Data, Dimension Data, CSC, och HPE spin-off DXC-Teknik. Hackare bröt sig in i företag via managed service providers HPE och IBM.
Finite State sade i sin rapport att trots Huawei offentliga åtaganden för att förbättra säkerhet, analys visade Huawei är “säkerhet hållning” är faktiskt “att minska över tid.”
“Från en teknisk säkerhet i leveranskedjan synvinkel, Huawei enheter är några av de värsta vi någonsin analyseras,” bolaget skrev.
Det säger att det har analyserat 1,5 miljoner filer inom ca 10 000 firmware bilder som används i hela 558 Huawei företag i nätverk produkter.
Mer än 55 procent av firmware bilder har minst en potential bakdörr, enligt Ändliga. De brister som har hårdkodade referenser som kan användas som en bakdörr, osäker användning av kryptografiska nycklar, och tyder på dålig utveckling av programvara metoder.
Det bör dock komma ihåg att även OSS tech företag, såsom Cisco, regelbundet fixa bakdörr står i deras utrustning.
Finite State ändå funnit att i genomsnitt finns det 102 kända sårbarheter i varje Huawei firmware bild, tillsammans med bevis för att många zero-day sårbarheter.
Ett av de centrala problemen Finite State fann ligger i Huaweis användning och underlåtenhet att uppdatera programvara med öppen källkod komponenter, i synnerhet OpenSSL, ett ofta använt kryptografiska biblioteket för avskärmning kommunikation på webben som används för att aktivera HTTPS på webbplatser. Som med smartphones, kunder med hjälp av nätverksutrustning förlita sig på leverantörer att leverera uppdateringar för dessa komponenter.
Man fann att den genomsnittliga åldern för tredje parts programvara med öppen källkod komponenter i Huawei firmware är 5.36 år och säger att det finns “tusentals fall av komponenter som är mer än 10 år gammal”.
Den äldsta versionen av OpenSSL som finns i Huawei firmware släpptes av open-source projekt under 1999. Bolaget sade att det finns 389 binärer på Huawei firmware som var utsatta för Heartbleed, kritisk bugg lämnas ut i 2014 som tillåter en angripare att stjäla e-post och annan kommunikation som normalt skulle vara skyddad av Transport Layer Security protocol.
Huawei var inte tillgänglig att svara på rapport eller en tvist bevakningsföretag slutsatser vid tidpunkten för publicering. Historien kommer att uppdateras om Huawei svarar.
Mer på Huawei och säkerhet
Dessa hackare bröt sig in 10 telekomföretag att stjäla kundernas telefon posterHuawei säkerhet: ‘Betydande’ tekniska brister är en risk för våra telekomnätverk, säger BRITTISKAFacebook för att stoppa Huawei pre-installation av appar till smartphonesHuawei ramper upp sin tekniska Kalla Krigets propagandaS&P varnar för Huawei förbudet kommer att drabba OSS tech lång siktinte låta it-säkerhet drivs av rädsla, varnar NCSC chiefHuaweis laptop division annullera beställningar mitt rykten om att avsluta PC-marknaden TechRepublicFCC-kommissionär säger Huawei redskap bör brytas ut ur AMERIKANSKA nätverk CNET
Relaterade Ämnen:
Kina
Säkerhet-TV
Hantering Av Data
CXO
Datacenter