URL:https://www.wired.com/story/huawei-threat-isnt-backdoors-its-bugs
published:3/29/2019
received:3/30/2019 9:42:53 PM
translator:nana
华为的问题不是后门,而是软件漏洞
3月28日,英国政府某监管机构宣称:中国电信设备制造商华为的产品代码中包含底层基础漏洞,可致安全风险。该机构发布的报告将这些缺陷归咎于华为的软件开发过程。报告在特朗普政府号召全球抵制华为产品(尤其是5G无线网络)的过程中发布,此前公众的顾虑多为华为设备被中国政府控制,或者只要中国政府要求,华为就会破坏这些设备的安全防护。
尽管地缘政治分歧日渐激化,该报告的结论却是华为代码中的漏洞与基本工程能力和网络安全防范有关,是任何人都可以利用的。报告并未作出这些漏洞是专门为中国政府所设后门的结论。这么广泛的暴露面自然是有问题的——可被美国间谍机构和五眼联盟中任何一个国家的情报机构利用,但白宫并不关心这个,只要华为有问题,不管什么问题都可以拿来大做文章。
战略与国际研究中心“技术及公共政策项目”总监,前国务院官员 James Lewis 称:“没有后门。因为华为不需要后门。这根本就是个大门。英国政府在处理中国黑客问题上一直很头疼。这跟瑞典黑客每周闯入英国计算机系统盗取英国知识产权的问题还不一样。如果华为是一家瑞典或者巴西的公司都还好说,但这家公司一直以来都被当成中国政府的有力工具。”
2012年一份国会报告指出华为产品可造成潜在国家安全威胁后,大多数美国电信公司已经禁用了华为设备。美国总统特朗普还真认真考虑过发布总统令以全面禁止该公司的设备。但其他国家的网络运营商,包括英国的在内,一直在努力安全地纳入价廉物美的华为无线设备。英国甚至还在2010年设立了华为网络安全评估中心,在华为设备出厂运往美国前审计其软件和硬件。
正是该中心的监管委员会发布了这份报告。报告文档中还提到,就连送审代码是否真是华为产品实际运行代码都很难判断。
某种程度上讲,华为产品风险评估中的挑战与准确审查专利软件完整性这一行业性问题相关。报告中发现的一些系统性安全漏洞都相当基础,但安全分析师指出:此类审计可能揭开大多数公司产品中令人尴尬的疏漏,华为的失误虽然严重,也不过是其中之一而已。
独立网络安全顾问,牛津大学技术与全球事务中心副研究员 Lukasz Olejnik 表示:“公司企业明显不想让安全审计曝出此类事情,所以他们都有内部安全标准和品控。”
虽然报告并未作出华为产品包含恶意后门的结论,其发现的问题依然可能推进白宫令美国及其盟友远离华为的举动。近十年来,英国一直在尝试将华为产品安全地引入其电信基础设施,但该报告显示,这些漏洞可能仅凭英国自身的能力无法缓解。
Olejnik说:“英国长期以来试图将信任和间谍问题从技术层面上剥离,称技术风险是可控的,而且无论如何总会有某些风险。但该报告的出台,似乎破坏了此前英国管理华为风险的能力保证。”
华为表示,正在强化工程工作流中的安全防护;并宣称支持行业和国际监管机构间的协作,以确保全球电信网络安全。3月28号的声明中,华为称:“《2019 HCSEC 监管委员会报告》罗列了对华为软件工程能力的一些担忧。报告中发现的问题为我们正在进行的软件工程能力转型提供了重要入口。”华为承诺在工程改进方面投入20亿美元。
不过,做出重大改变的可能性不大。
