Un raport de joi de la un grup britanic de supraveghere a guvernului a constatat ca producatorul chinez de echipamente de telecomunicatii Huawei are defecte de baza, dar profund problematice in codul de produs care creeaza riscuri de securitate.
Deficientele, multe dintre care Huawei promisese anterior sa le repare, provin din procesele sale de dezvoltare software, potrivit raportului. Constatarile vin in urma unui efort concertat al administratiei Trump de a interzice produsele Huawei din intreaga lume (in special in retelele 5G) din cauza preocuparilor conform carora dispozitivele Huawei sunt controlate de guvernul chinez sau ca Huawei ar lua ordine de la Beijing pentru a submina securitatea.
Desi discursul geopolitic s-a incalzit, raportul a concluzionat ca defectele din codul Huawei sunt legate de “competenta de baza in inginerie si igiena securitatii cibernetice” si ar putea fi exploatate de oricine.
Raportul nu concluzioneaza ca bug-urile sunt create intentionat de guvernul chinez. O astfel de expunere larga este inca problematica – ar putea fi exploatata si de agentiile de spionaj din SUA si de restul celor Cinci Ochi, dar aceasta este o preocupare mai putin importanta pentru Casa Alba.
“Nu exista niciun backdoor, deoarece Huawei nu are nevoie de un backdoor, are o usa din fata”, spune James Lewis, fost oficial al Departamentului de Stat si director al Programului de Tehnologie si Politica Publica al Centrului pentru Studii Strategice si Internationale. “Guvernul britanic are multe probleme cu hacking-ul chinezesc. Nu este ca si cum hackerii suedezi intra in fiecare saptamana pentru a fura proprietatea intelectuala britanica, daca Huawei era o companie suedeza sau o companie braziliana sau ceva nu ar avea aceste probleme. Dar este vazut ca un instrument al unui guvern chinez foarte agresiv “.
Companiile de telecomunicatii americane au evitat in mare parte Huawei din cauza unui raport al Congresului din 2012 despre amenintarea securitatii nationale potential riscata de produsele companiei.
Si presedintele Trump a cerut un ordin executiv pentru a interzice complet echipamentul companiei. Dar operatorii de retea din alte tari, inclusiv Marea Britanie, au lucrat pentru a incorpora in siguranta echipamentul Huawei.
In 2009, Marea Britanie a infiintat Centrul de evaluare a securitatii Cyber Security in vederea auditarii hardware-ului si software-ului Huawei, deoarece a parasit fabricile companiei inainte de expedierea in SUA.
Acesta a fost consiliul de supraveghere al centrului care a produs raportul de joi. Documentul a remarcat dificultatea de a stabili daca codul grupului auditat este de fapt acelasi cu codul care ruleaza in produsele Huawei.
Intr-o anumita masura, provocarea de a evalua riscuri de securitate in produsele Huawei se leaga de problemele mai mari ale industriei cu privire la modul de corectare a integritatii software-ului proprietar. Unele dintre vulnerabilitatile sistemice de securitate dezvaluite in raport sunt banale, dar analistii de securitate remarca faptul ca acest tip de audit ar putea dezvalui imprudente jenante in majoritatea produselor companiilor – chiar daca defectele Huawei sunt mai pronuntate.
“Companiile prefera in mod evident sa nu primeasca audituri de securitate care solicita astfel de lucruri, de aceea au standarde interne de securitate si asigurare a calitatii”, spune Lukasz Olejnik, consilier independent in domeniul securitatii informatice si cercetator la Centrul pentru Tehnologie si Afaceri Globale al Universitatii din Oxford.
Desi raportul nu concluzioneaza ca produsele Huawei includ backdoor-uri, amploarea problemelor pe care le descopera va continua probabil sa amplifice eforturile Casei Albe de a indeparta SUA si aliatii sai de la Huawei. Marea Britanie a incercat sa incorporeze in siguranta produsele Huawei in infrastructura sa de telecomunicatii timp de aproape un deceniu, dar raportul indica faptul ca expunerea ar putea fi prea mult pentru ca tara sa-si riste siguranta.
“Marea Britanie a incercat mult timp sa decupleze chestiunea increderii si a spionajului din partea tehnica, argumentand ca riscul tehnic este gestionabil si ca exista oricum riscuri de securitate,” spune Olejnik. “Dar raportul pare sa submineze garantiile anterioare ale capacitatii Regatului Unit de a gestiona riscuri de securitate”.
La randul sau, Huawei sustine ca se straduieste sa consolideze protectia securitatii in workflow-ul sau de inginerie si afirma ca sprijina colaborarea dintre industrie si autoritatile de reglementare internationale pentru a asigura o securitate robusta in retelele de telecomunicatii din intreaga lume. “Raportul Consiliului de Supraveghere al Consiliului de Supraveghere al HCSEC din 2019 detaliaza unele preocupari legate de capacitatile Huawei de inginerie software”, a declarat compania intr-o declaratie emisa joi.
“Problemele identificate … ofera o contributie vitala pentru transformarea continua a capacitatilor noastre de inginerie software”. Compania a promis sa investeasca 2 miliarde de dolari in imbunatatiri de inginerie.
Dupa ani de promisiuni, insa, observatorii spun ca este dificil sa se creada ca Huawei va avea prioritate in a face schimbari semnificative. Mai ales daca compania vede beneficii pentru a fi buggy-by-design.