Britiske hug til Huawei for at have dårligt styr på softwareudvikling

Illustration: ricochet64/Bigstock
GCHQ-rapport kritiserer den kinesiske televirksomhed Huawei på en række tekniske områder i forhold til sikkerheden.

Den kinesiske televirksomhed Huawei får kritik i forhold til sikkerhed på flere punkter i en ny rapport fra britisk udvalg. Det oplyser Washington Post.

Huawei, der blandt andet er leverandør til teleinfrastrukturen i Danmark, har den senere tid været beskyldt for at udgøre en trussel, blandt andet i forhold til spionage, mod de vestlige demokratier.

I Storbritannien har man siden 2010 forsøgt at foregribe eventuelle sikkerhedsudfordringer med den kinesiske virksomhed via Huawei Cybersecurity Evaluation Center (HCSEC).

Det er et samarbejde mellem virksomheden og de britiske myndigheder, hvor produkter og procedurer bliver gennemgået i forhold til, hvorvidt de udgør en trussel mod Storbritannien.

Siden 2014 har et tilsynsudvalg udsendt en årlig evalueringsrapport i forhold til arbejdet i HCSEC.

I spidsen for udvalget sidder det britiske svar på NSA, efterretningstjenesten GCHQ.

Sidste år var rapporten kritisk på flere områder, det er den også i år.

Rapporten taler blandt andet om »betydelige tekniske problemer« i forhold til Huaweis udviklingsprocesser.

Der er flere tekniske beskrivelser i rapporten, som vi her gengiver nogle af på originalsproget.

Binary equivalence

Blandt andet kritiseres Huaweis arbejde med det, der kaldes binary equivalence. Begrebet handler om at kunne kunne producere den samme binære fil ud fra den samme kildekode ved hver build.

Det kan være relevant, fordi eksempelvis de britiske myndigheder ellers kan have svært ved at validere, at den binære fil faktisk kommer fra den kildekode, myndighederne har inspiceret, hvis outputtet hele tiden ændrer sig.

»The issue in all cases is with Huawei’s underlying build process which provides no end-to-end integrity, no good configuration management, no lifecycle management of software components across versions, use of deprecated and out of support tool chains (some of which are non-deterministic) and poor hygiene in the build environments, many of which cannot be easily recreated by HCSEC,« lyder kritikken af Huawei i rapporten i forhold til binary equivalence.

Forældet styresystem

Huawei får også kritik for brugen af et forældet, unavngivet styresystem.

»Huawei continues to use an old and soon-to-be out of mainstream support version of a well-known and widely used real time operating system supplied by a third party. Huawei has separately purchased a premium long-term support agreement from the vendor to address vulnerabilities in a commercially viable manner in the future, but the underlying cyber security risks brought about by the single memory space, single user context security model remain,« lyder det i rapporten.

Det bemærkes også, at HCSEC har fundet alvorlige sårbarheder i Huawei-produkter, som er blevet rapporteret, men ikke rettet.

»HCSEC has continued to find serious vulnerabilities in the Huawei products examined. Several hundred vulnerabilities and issues were reported to UK operators to inform their risk management and remediation in 2018. Some vulnerabilities identified in previous versions of products continue to exist.«

Evalueringsrapporten peger på flere andre problemer. Rapporten kan læses i sin helhed her.

Begrænset garanti

Rapporten konkluderer, at der som følge af problemerne kun kan give en begrænset garanti i forhold til, hvorvidt sikkerheds-risici forbundet med Huawei-udstyr, som allerede bliver brugt i Storbritannien, kan håndteres på længere sigt.

»The Oversight Board continues to be able to provide only limited assurance that the long-term security risks can be managed in the Huawei equipment currently deployed in the UK,« hedder det i rapporten.

Også i forhold til fremtidig brug af Huawei-udstyr udtrykker udvalget bekymring i evalueringsrapporten.

»That there remains no end-to-end integrity of the products as delivered by Huawei and limited confidence on Huawei’s ability to understand the content of any given build and its ability to perform true root cause analysis of identified issues. This raises significant concerns about vulnerability management in the long-term.«

Washington Post har talt med sikkerhedsforskeren Matthew Green fra John Hopkins University.

Han mener, at budskabet fra GCHQ til Huawei med rapporten reelt er, at den kinesiske virksomhed ikke kan skrive software, om det så gjaldt livet.

Ifølge Green, så viser rapporten, at de britiske myndigheder ikke kan verificere, at koden, der faktisk kører i 4G-nettet også kommer fra den kildekode, myndighederne har inspiceret.

Og i den forbindelse bemærker han, at det kun nytter noget at kunne se kildekoden, hvis det faktisk er den kode, der reelt også kører på enhederne.

Green hæfter sig blandt andet ved, at rapporten kommer ind på, at der findes adskillige kopier af fire forskellige versioner af krypterings-frameworket OpenSSL i noget af Huaweis software.

»Det er problematisk, fordi nogle ældre udgaver af OpenSSL har sårbarheder, hvilket betyder, at kryptografien kan være upålidelig,« siger han til Washington Post.

Version2 har rettet henvendelse i til Huawei for en kommentar i forhold til rapporten. Vi påtænker at vende tilbage, såfremt der er nævneværdigt nyt at berette desangående.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Cederberg

Det ser ikke godt ud, men jeg gætter på at man kan finde eksempler på samme hos alle andre leverandører. Alle kæmper for at levere produkter så hurtigt som muligt og hvis noget virker og vurderes sikkert er det godt nok. Indtil det ikke gør eller der findes et sikkerhedshul.

Det ændrer bare ikke ved at Huawei har meget tætte bånd til det kinesiske styre. Og at kineserne selv bruger overvågning rigtigt mange steder og ikke altid respekterer andre landes lovgivning (fx. kidnapper personer i udlandet). Der er således grund til at tro at kineserne vil udnytte spredningen af kinesisk designet netværksudstyr rundt om i verden. Jeg ville gøre det samme.

[Og ja amerikanerne gør det samme. Dem er vi allieret med. Vores forsvar bygger bl.a. på amerikanske våben og garantier. Vi kan ikke slippe for amerikanernes aktiviteter på kort sigt; netop derfor er der ikke grund til at lukke endnu en spiller ind. Specielt ikke en spiller hvis værdier er meget forskellige fra vores.]

Log ind eller Opret konto for at kommentere