漏洞多!华为设备更易受黑客攻击
根据网络安全专家的一项最新研究,相比竞争对手的设备,华为技术有限公司制造的电信设备更有可能存在可以被黑客恶意利用的漏洞。美国高级官员表示,这份研究似乎可信。
华为是全球最大的电信设备供应商,也是下一代5G无线技术的领军企业。
根据网络安全专家的一项最新研究,相比竞争对手的设备,华为技术有限公司(Huawei Technologies Co.)制造的电信设备更有可能存在可以被黑客恶意利用的漏洞。美国高级官员表示,这份研究似乎可信。
这些测试结果被编入了一份新报告,这份报告已于最近几周呈交给美国和英国多个政府机构的高级官员和议员。报告之所以引人注目,不仅是因为调查结果本身,还因为这份报告在特朗普政府官员中间广泛传阅。这些官员们认为,报告进一步印证了他们针对华为的政策决定是合理的。
一位看过这份报告的白宫官员表示,报告支持了美国的判断,即2009年以来,华为在为国际客户安装的部分系统中一直留有隐蔽通道。这位官员说,华为并未向客户或地方政府披露这条隐蔽通道,这条通道允许华为在这些本地系统中记录信息和修改数据库。
《华尔街日报》(The Wall Street Journal)看到的这份报告是由俄亥俄州哥伦布市的网络安全公司Finite State编写的。
尽管这份报告记录了在华为设备中发现的大量网络安全漏洞,以及据称由华为工程师们在安全方面做出的一系列糟糕的决定,但并没有指责华为故意在其产品中植入漏洞,也没有直接回应美国关于华为可能为中国政府从事电子间谍活动的指控。长期以来,华为一直否认这一说法。
一位华为高管表示,公司对有助于提高产品安全性的独立研究表示欢迎,但补充说,他无法就Finite State报告中的细节置评,因为这家公司没有向华为分享全部内容。这位华为高管表示,如果没有细节,他们无法对分析的专业性和稳健性发表评论。
华为已成为中美两国之间不断升级的技术争夺风波的重点,尤其是在5G蜂窝技术临近之际。
美国商务部5月份以担心国家安全为由将华为列入“实体清单”,禁止企业在未获得美国政府批准的情况下向华为提供美国原产技术。
Finite State首席执行长怀克豪斯(Matt Wyckhouse)于2017年与他人联合创办了这家公司,之前他曾在附近一家私营的非营利性应用科学技术公司Battelle工作了近13年。Battelle从事私营和公共领域的研究工作。
身为计算机科学家的怀克豪斯曾在Battelle旗下的国家安全部门工作,他表示Finite State是出于公益做这项工作的,并不代表任何政府。Battelle的国家安全部门负责处理国防和情报部门合同。怀克豪斯还表示,他认为让政策制定者了解这一问题的最好办法是将研究结果公诸于众。他计划于本周公开发表其研究成果。
怀克豪斯称:“我们希望5G是安全的”。
Finite State称,该公司使用专有的自动化系统,对华为企业网络产品线内558种产品的近1万个固件镜像中嵌入的超过150万个独特文件做了分析。
Finite State表示,华为设备的漏洞发现率大大高于竞争对手设备的平均水平,另外,在被测试的固件镜像中,有55%至少存在一个被报告作者描述为“潜在后门”的漏洞,这类漏洞能让了解相关固件和密钥的攻击者登入设备。
这份报告包含了一个研究案例,将华为一款高端网络交换机与Arista Networks Inc. (ANET)和瞻博网络(Juniper Networks Inc., JNPR)的类似设备做了比较。研究发现,在九个比较类别中,华为的设备在六个类别上含有更高的风险因素,而且整体上高出不少。
怀克豪斯表示,根据他们的经验,总体而言,这些是他们见过的最高的数字。
据案例研究中的一个例子显示,与Finite State的全部固件数据集相比,华为的网络交换机使用硬编码默认密码的认证数量的风险百分比为91%。
相比之下,Arista和瞻博网络设备的风险百分比是0%。
美国国土安全部负责网络安全的最高级别官员克雷布斯(Chris Krebs)说,Finite State的研究加剧了人们对对华为设备的担忧,并且印证了这样一个结论:华为还没有展示出要改善产品安全的意愿或能力。
克雷布斯说,在建造、部署并维护可信赖的、安全的设备方面,华为没有表现出相应的技术成熟度,也缺乏这样做的决心,而且,考虑到中国政府可能施加影响,迫使像华为这样的企业尊令行事,这种担忧又进一步加剧,他们认为,无论是现在还是未来,使用华为设备都存在不可接受的风险。
审阅了Finite State这份报告的白宫官员表示,这些结果揭示出华为公然违反标准规定。他们说,报告中发现的问题还暗示华为可能故意让产品设计包含一些漏洞。
比如,报告发现的一些漏洞是已经很出名的网络安全问题,并不难避免。报告指出,在测试的设备中,29%的设备至少有一个编码进固件的默认用户名和密码,如果相关的认证信息没有修改,恶意行为者就能轻易连入这些设备。
一个特别不同寻常的发现是,至少在一个案例中,当用户用一个新版本的固件给网络交换机打补丁之后,安全问题反而比被更换掉的已经使用了两年的固件版本大幅恶化了。补丁本来是为了减少网络安全漏洞,但对比两个版本会发现,在被衡量的九个类别中,新版本在七个类别上表现反倒更差。
美中经济和安全审议委员会(U.S.-China Economic and Security Review Commission)成员韦塞尔(Michael Wessel)说,多年来,华为事实上是在向国际社会公然挑战,认为国际社会无法发现这些经常在产品使用中暴露出来的安全漏洞。他表示:“从Finite State发现的漏洞的范围和程度来看,很难说这不是故意的。”美中经济和安全审议委员会是一个由美国两党人士组成的机构,负责向国会提供建议。
知情人士表示,英国国家网络安全中心(National Cyber Security Centre)也审阅了Finite State的研究报告,认为基本上与他们自己在3月份发布的报告中的技术分析一致。英国的报告指责华为多次未能解决其产品中的已知安全漏洞,还就华为未显示出修复相关漏洞的决心告诫了该公司。
美国政府2012年对华为的相关安全风险进行了一项评估,虽然没有找到证明该公司被中国用作间谍工具的明确证据,但得出的结论是,因为存在许多可能被黑客利用的漏洞,华为设备构成了网络安全风险。
威斯康星州共和党众议员加拉格尔(Mike Gallagher)称,这份报告凸显了国会议员和其他人阻止华为获得全球电信供应链主导地位的紧迫性。
加拉格尔表示:“我一直认为美国应该把华为当作中共的附属机构,但就连我也被报告中揭示的华为网络架构内部的安全漏洞之多吓了一跳。”他在今年早些时候提出了针对中国电信设备企业的议案。
