Britiske hug til Huawei for at have dårligt styr på softwareudvikling

Den kinesiske televirksomhed Huawei får kritik i forhold til sikkerhed på flere punkter i en ny rapport fra britisk udvalg. Det oplyser Washington Post.

Huawei, der blandt andet er leverandør til teleinfrastrukturen i Danmark, har den senere tid været beskyldt for at udgøre en trussel, blandt andet i forhold til spionage, mod de vestlige demokratier.

I Storbritannien har man siden 2010 forsøgt at foregribe eventuelle sikkerhedsudfordringer med den kinesiske virksomhed via Huawei Cybersecurity Evaluation Center (HCSEC).

Det er et samarbejde mellem virksomheden og de britiske myndigheder, hvor produkter og procedurer bliver gennemgået i forhold til, hvorvidt de udgør en trussel mod Storbritannien.

Siden 2014 har et tilsynsudvalg udsendt en årlig evalueringsrapport i forhold til arbejdet i HCSEC.

I spidsen for udvalget sidder det britiske svar på NSA, efterretningstjenesten GCHQ.

Sidste år var rapporten kritisk på flere områder, det er den også i år.

Rapporten taler blandt andet om »betydelige tekniske problemer« i forhold til Huaweis udviklingsprocesser.

Der er flere tekniske beskrivelser i rapporten, som vi her gengiver nogle af på originalsproget.

It-sikkerhedsmessen Infosecurity Denmark 2019 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 1. og 2. maj i Øksnehallen i København.

Konferenceprogrammet dækker compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt data og cloud og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau.

Du bliver også opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere.

Læs mere og tilmeld dig

Læs mere om Version2 Data & Cloud Expo, der afholdes sammen med Infosecurity Denmark

Binary equivalence

Blandt andet kritiseres Huaweis arbejde med det, der kaldes binary equivalence. Begrebet handler om at kunne kunne producere den samme binære fil ud fra den samme kildekode ved hver build.

Det kan være relevant, fordi eksempelvis de britiske myndigheder ellers kan have svært ved at validere, at den binære fil faktisk kommer fra den kildekode, myndighederne har inspiceret, hvis outputtet hele tiden ændrer sig.

»The issue in all cases is with Huawei’s underlying build process which provides no end-to-end integrity, no good configuration management, no lifecycle management of software components across versions, use of deprecated and out of support tool chains (some of which are non-deterministic) and poor hygiene in the build environments, many of which cannot be easily recreated by HCSEC,« lyder kritikken af Huawei i rapporten i forhold til binary equivalence.

Forældet styresystem

Huawei får også kritik for brugen af et forældet, unavngivet styresystem.

Seminar: Sådan tiltrækker du it-talenter til industrien

»Huawei continues to use an old and soon-to-be out of mainstream support version of a well-known and widely used real time operating system supplied by a third party. Huawei has separately purchased a premium long-term support agreement from the vendor to address vulnerabilities in a commercially viable manner in the future, but the underlying cyber security risks brought about by the single memory space, single user context security model remain,« lyder det i rapporten.

Det bemærkes også, at HCSEC har fundet alvorlige sårbarheder i Huawei-produkter, som er blevet rapporteret, men ikke rettet.

»HCSEC has continued to find serious vulnerabilities in the Huawei products examined. Several hundred vulnerabilities and issues were reported to UK operators to inform their risk management and remediation in 2018. Some vulnerabilities identified in previous versions of products continue to exist.«

Evalueringsrapporten peger på flere andre problemer. Rapporten kan læses i sin helhed her.

Begrænset garanti

Rapporten konkluderer, at der som følge af problemerne kun kan give en begrænset garanti i forhold til, hvorvidt sikkerheds-risici forbundet med Huawei-udstyr, som allerede bliver brugt i Storbritannien, kan håndteres på længere sigt.

»The Oversight Board continues to be able to provide only limited assurance that the long-term security risks can be managed in the Huawei equipment currently deployed in the UK,« hedder det i rapporten.

Også i forhold til fremtidig brug af Huawei-udstyr udtrykker udvalget bekymring i evalueringsrapporten.

»That there remains no end-to-end integrity of the products as delivered by Huawei and limited confidence on Huawei’s ability to understand the content of any given build and its ability to perform true root cause analysis of identified issues. This raises significant concerns about vulnerability management in the long-term.«

Washington Post har talt med sikkerhedsforskeren Matthew Green fra John Hopkins University.

Han mener, at budskabet fra GCHQ til Huawei med rapporten reelt er, at den kinesiske virksomhed ikke kan skrive software, om det så gjaldt livet.

Ifølge Green, så viser rapporten, at de britiske myndigheder ikke kan verificere, at koden, der faktisk kører i 4G-nettet også kommer fra den kildekode, myndighederne har inspiceret.

Og i den forbindelse bemærker han, at det kun nytter noget at kunne se kildekoden, hvis det faktisk er den kode, der reelt også kører på enhederne.

Green hæfter sig blandt andet ved, at rapporten kommer ind på, at der findes adskillige kopier af fire forskellige versioner af krypterings-frameworket OpenSSL i noget af Huaweis software.

»Det er problematisk, fordi nogle ældre udgaver af OpenSSL har sårbarheder, hvilket betyder, at kryptografien kan være upålidelig,« siger han til Washington Post.

Version2 har rettet henvendelse i til Huawei for en kommentar i forhold til rapporten. Vi påtænker at vende tilbage, såfremt der er nævneværdigt nyt at berette desangående.