Huawei om bagdørs-beskyldning: Hvis målet er at nedlægge netværk, er der lettere og mere effektive måder

Illustration: Liu Yinhanxiao
Den kinesiske teleleverandør Huawei svarer på bekymringer om 'Kill Switche' og bagdøre i hardware og software.

Som flere vil vide, har TDC meldt ud, at det bliver svenske Ericsson, der skal stå for opbygningen af den danske televirksomheds 5G-netværk og altså ikke kinesiske Huawei, som TDC har samarbejdet med om 4G-nettet.

Det er ikke nogen hemmelighed, at Huawei den senere tid - både i Danmark og i Vesten generelt - har været beskyldt for at udgøre en sikkerhedsrisiko.

Frygten er gået på, at Huaweis produkter i centrale dele af de vestlige telenet kan bruges til at spionere på vegne af den kinesiske regering, ligesom bekymringen også er, at der måske kan slukkes for hele eller dele af telenettet, hvis kineserne ønsker det.

Læs også: Britisk forsvarsminister blander sig i Huawei-anklager: »Jeg er alvorligt bekymret«

Læs også: USA beder allierede droppe Huawei-udstyr

Version2 har netop været en tur i Kina som følge af en invitation fra Huawei. En ikke uvæsentlig del af presseprogrammet gik ud på at fortælle de primært danske journalister om Huaweis dedikation til cybersikkerhed.

Selvom det kan virke lidt på bagkant - nu hvor TDC har valgt en anden leverandør - så tænker vi, vi vil præsentere læserne for Huaweis forsvar i forhold til nogle af de mere konkrete og ikke mindst tekniske kritikpunkter.

Huaweis software indeholder - også - sårbarheder

Android, Windows, Linux, Mac OS, iOS og en hel masse andre softwareprodukter har det til fælles, at de indeholder fejl, hvor nogle udgør deciderede sårbarheder. Altså sikkerhedshuller, der potentielt kan tillade en angriber (herunder en statsstøttet aktør) at lave ulykker.

Huaweis software indeholder også sikkerhedshuller. Nogle af dem bliver fundet i regi af Huaweis såkaldte Independent Cyber Security Lab (ICSL).

Her er Martin Wang direktør. Hos ICLS bliver diverse slutprodukter - det vil sige alt fra mobiltelefoner til netværksudstyr - testet i forhold til sikkerhed, inden produkterne bliver sendt videre til kunderne.

Test involverer her blandt andet pentesting via open source-værktøjer som Metasploit, Wireshark og TCPdump til pentesting. Derudover bliver kommercielle værktøjer som Fortify og Coverity brugt til audit af kildekode.

Version2’s besøg hos ICLS bestod fortrinsvis af et kig ind i et snurrende serverrum, som faciliterer diverse test, og så en præsentation for pressen ved Martin Wang. Lidt usædvanligt måtte de tilstedeværende journalister hverken tage billeder eller lydoptage Wang under presse-seancen.

Det gjorde nu heller ikke så meget, da Wangs præsentation var mere powerpoint og fakta end knivskarpe holdninger i forhold til den kritik, Huawei er blevet bombarderet med de senere år.

Wang fortalte blandt andet om de certificeringer, ICSL har. ISO9001, ISO27001, ISO2800 og ISCCC for at nævne nogle stykker.

Og så fremgik det også af Wangs præsentation, at der i 2008 var 5 ansatte i ICSL, mens tallet i 2018 var 137.

Global Cyber Security & Privacy Officer

Organisatorisk set, så befinder John Suffolk sig over ICSL. Han er Senior Vice President and the Global Cyber Security & Privacy Officer (GSPO) hos Huawei. Som GSPO hos Huawei har John Suffolk mulighed for at nedlægge veto mod, at et produkt bliver frigivet, skulle test ved ICSL afsløre for mange problemer, forklarede Wang.

John Suffolk er Senior Vice President and the Global Cyber Security & Privacy Officer (GSPO) hos Huawei. Illustration: Liu Yinhanxiao

Turen til Kina indebar en selvstændig presseseance med et par primært danske medier og John Suffolk.

Der var tale om en Q&A-session, hvor de få journalister kunne stille spørgsmål. Suffolk var relativ bramfri sammenlignet med de øvrige Huawei-ansatte, Version2 mødte på turen.

Under snakken med John Suffolk måtte journalisterne godt optage lyd.

Angående det faktum, at Huaweis produkter indeholder sårbarheder som al anden software, så kunne John Suffolk fortælle, at der trods omfattende test indimellem sker det, at produkter, som indeholder sårbarheder, slipper ud til kunderne.

Som John Suffolk påpegede, og som mere end én Version2-læser vil vide, så er det reelt umuligt at undgå fejl, når antallet af kodelinjer når en vis størrelse. Eksempelvis nogle millioner linjer.

Det betyder, at selvom et produkt er blevet testet i flere instanser, så sker det ifølge John Suffolk jævnligt, at tredjeparter og kunder finder sårbarheder i Huaweis produkter.

»Og nogle gange tænker man: ‘Hvordan kan alle have misset det?’,« sagde John Suffolk.

Huawei kan i forbindelse med kodefejl og sårbarheder stå med et andet problem end eksempelvis Apple, Google og Microsoft.

Den kinesiske virksomhed kan have svært ved at bevise, at sårbarheden faktisk skyldes en reel kodefejl og ikke et bevidst forsøg på at placere en bagdør i softwaren for at hjælpe den kinesiske regering.

I princippet kunne man sige det samme om fejl hos Google, Apple og Microsoft i forhold til den amerikanske regering, men det er en anden historie.

John Suffolk medgiver, at Huawei ikke kan bevise, at sådan en kodefejl vitterligt er en fejl og ikke eksempelvis en bevidst placeret bagdør. Her peger han på, at Huawei har givet flere eksterne parter adgang til at inspicere virksomhedens kildekode.

»Vi ville være et ret dumt selskab, hvis vi giver ethvert selskab i verden adgang til kildekoden i vores laboratorier, hvis vi havde plantet noget der (i koden, red.).«

Kildekode-inspektion

I forhold til kildekode så har Huawei nemlig - i lyset af den vestlige frygt for spionage - åbnet flere faciliteter, hvor kunder og stater har mulighed for at inspicere kildekode og netværksudstyr.

Ifølge John Suffolk er det relativt få interessenter - Storbritannien er en af dem - der faktisk kigger kildekode igennem.

Læs også: Britisk forsvarsminister blander sig i Huawei-anklager: »Jeg er alvorligt bekymret«

»Få kunder kigger nogensinde på kildekode. Det er en brøkdel, der kigger på kildekoden. Vi oplever generelt ikke, at kildekodedebatten er den største debat.«

Suffolk forklarer, at teleoperatører eksempelvis går mere op i pålidelighed og driftsstabilitet end kildekode.

Hvad kildekode-inspektionen angår, så anfører Suffolk, at medmindre man er mere end almindeligt specialiseret og har mange ressourcer til det, så er det ikke realistisk at finde fejl og sårbarheder i kildekoden alene ved at se på den.

Ifølge John Suffolk vil flere regeringer hellere lave dynamiske tests involverende tusindvis af automatiserede use cases op mod Huaweis produkter, end de vil sidde og kigge kodelinjer.

»De er mere interesserede i den tilgang, fordi det er virkeligheden. De er mere interesserede i at få deres bedste hackere og deres bedste sikkerhedshold til at lave white box testing

Laver selv chippen

En ting er koden, noget andet er hardwaren. Mens mange virksomheder bruger CPU'er fra tredjepartsleverandører som Intel, så laver Huawei sine egne chips. Det gør Apple i øvrigt også. I den forbindelse kunne man anføre, at Huawei med fuld kontrol over hardwaren også har mulighed for at skjule en bagdør på et niveau, hvor de færreste vil finde den.

Læs også: Huawei bliver brugt i alle dele af de danske mobilnet

Da Version2 forelægger John Suffolk den bekymring, starter han med at sige, at man jo kan sige det samme om eksempelvis amerikanske Intel, der som bekendt laver CPU’er til alverdens computere.

Version2's udsendte bemærker i den forbindelse, at selvom Intel skulle vise sig at spionere på vegne af for eksempel den amerikanske efterretningstjeneste NSA, så ville mange europæere formentlig foretrække amerikansk overvågning frem for kinesisk.

Herefter vender John Suffolk tilbage til udgangspunktet, altså: Hvad nu hvis Huawei benytter sine chip-faciliteter til at skjule bagdøre i hardwaren?

»Hvad er formålet med at gøre det på chip-niveau? Hvad prøver man at opnå? Prøver man at få data ud af nogens netværk?« sagde Suffolk.

Hvis pointen er at hive data ud om eksempelvis en masse danskeres færden og gebærden via telenettet, så er bagdøre på chip-niveau ikke en smart måde at gøre det på, mener John Suffolk.

Han peger på, at teleoperatører overvåger trafikken på deres netværk. Så selv hvis Huawei-hardware i telenettet skulle indeholde en bagdør, der i det skjulte skulle bruges til at sende data til Kina, så ville det lyse op i forhold til operatørens monitorering af netværkstrafikken, hvis der eksempelvis pludselig blev sendt data til en obskur og ukendt ip-adresse.

»Problemet er ikke, at det er umuligt, problemet er, hvad formålet er. Og er der lettere måder at opnå det på?«

Som eksempel nævner John Suffolk, at det ville være nemmere at stikke den rette medarbejder en pose penge for at give adgang til data end at indbygge en bagdør i en chip.

Et lignende argument har Suffolk i forhold til den såkaldte 'Kill Switch'. Betegnelsen dækker over et trusselsscenarie, hvor Huawei skulle have en særlig skjult mulighed for at slukke for mobilnettet i et land.

»Det er teoretisk muligt, men det er på samme tid umuligt, fordi du er begrænset af, hvordan du får adgang til ting, du er begrænset af at holde det hemmeligt (i forhold til, hvor mange ansatte der ved det, red.) … og igen, hvis dit mål er at nedlægge et netværk, så er der lettere og mere effektive måder.«

Her nævner John Suffolk en metode til at slukke for et telenetværk, han ikke vil citeres for.

Binær vs. kildekode

Tilbage til softwaren. Selvom Huawei tilbyder kunder at kigge kode og teste produkter, hvilken garanti har kunderne så for, at den kildekode, de har fået lov at kigge på, også er den binære kode, der faktisk havner på netværksudstyret?

Trusselsscenariet kunne være, at eksempelvis en teleoperatør eller en efterretningstjeneste har kigget Huawei-kode grundigt igennem og fundet frem til, at alt ser fint ud. Men den faktiske kode, der ender med at køre på telenettet, er ændret og indeholder eksempelvis en bagdør.

Her er nøgleordet digitale signaturer. John Suffolk forklarer, at at udviklere hos Huawei ikke har kontrol over den såkaldte build-proces. Det er der, hvor kildekode bliver omdannet til den binære kode, der kører på hardwaren i eksempelvis et telenet.

Koden bliver efter build-processen digitalt signeret. Herefter kan den digitale signatur på den kode, der kører på hardwaren sammenlignes med signaturen på den kode, der kommer fra build-centeret. Og hvis signaturerne matcher, er der i udgangspunktet tale om samme kode.

Binary equivalence

Derudover arbejder Huawei på noget andet.

Læs også: Sikkerhed gennem mistillid: Riv firmwaren ud af laptoppen og lav builds flere steder

»Vi prøver at lave noget ganske specielt, og det er et mareridt. Helt og aldeles et mareridt. Vi prøver at lave noget kaldet binary equivalence.«

Binary equivalence går ud på altid at kunne producere den samme binære fil ud fra den samme kildekode. Det lyder måske enkelt, men det er det ikke.

Compilere, altså de programmer, der omdanner kildekode til binærkode, laver eksempelvis ikke altid samme output, selvom kildekoden er den samme, forklarer John Suffolk.

»En simpel ting som dato og tidspunkt kan være forskellig,« siger han.

Og den slags små variationer kan betyde, at den binære kode ændrer sig. Og det kan være noget rod, hvis man - her Huawei - eksempelvis skal overbevise en kunde om, at det altså ikke er som følge af ændringer i kildekoden, at den binære kode - som er den, der ender på produkterne - ændrer sig.

John Suffolk forklarer, at Huawei i forhold til nogle produkter er tæt på 100 pct. binary equivalent. Og at variationerne i de binære filer i disse tilfælde kan forklares.

Når det er sagt, så vil der trods 100 procent binary equivalence stadig være mere banale og reelle problemer i forhold til it-sikkerheden hos eksempelvis Huaweis kunder, påpeger John Suffolk:

»Jeg kan lægge en masse arbejde i at bevise, at den binære build er rigtig, og så har en eller anden admin ikke skiftet kodeord.«

Altså brugerne er ofte et svagt led. Tilbage står også en anden kendsgerning.

Uanset hvor meget virksomheden åbner for kildekoden, uanset hvor meget binary equivalence der opnås, og uanset hvor godt John Suffolk svarer for sig, så står Huawei stadig tilbage med det samme grundlæggende problem:

Det er så godt som umuligt for Huawei (og andre virksomheder) at bevise, at spionage og andre ondsindede aktiviteter ikke finder sted og ikke kan finde sted. Fair? Måske ikke, men det er realiteten, der betyder, at dem der måtte ønske det - både herhjemme og i Vesten generelt - fortsat vil kunne så tvivl om Huaweis rolle som leverandør af kritisk infrastruktur.

Version2 var inviteret til Kina af Huawei, der blandt andet har betalt flybilletter og hotelophold.

Enkelte af John Suffolks citater er blevet præcisere siden artiklens offentliggøres, så den danske oversættelse lægger sig tættere op ad de originale engelsksprogede udsagn. Meningen er uændret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thomas Toft

Vi er rigtig blevet en del af USA's handelskrig mod Kina. Igen og igen høre man seriøse kilder i positioner til at vælge udstyr til infrastruktur (citeret f.eks. i BBC artikler) at Huawei ikke er deres valg pga. prisen men fordi de er bedre tekniske og på udviklingsomådet. I danske medier er sagen mudderkastning uden hold i virkeligheden i stort set alle artikler.

Michael Cederberg

Den der laver et telenetværk kan tracke individuelle personers location i realtime. Den der laver hardwaren til et telenetnætværk kan indbygge microprocessorer i alt hardware*; denne hardware kan nemt kommunikere med resten af verden. Det er ikke noget problemet at putte mindre mængder data ind i de store strømme af data der flyder gennem systemet.

I Huaweis tilfælde kunne de ...

  • ... indbygge microprocessorer med egen flashram i deres systemer.
  • ... lade koden være inaktiv fra start - dvs. ingen vil kunne observere at den er der
  • ... lade kode trigge til at gå aktivt af en "magisk" netværkspakke sendt af en "agents" mobiltelefon som del af helt almindelig kommunikation
  • ... lade koden lække data gennem helt almindelig kommunikation (fx. en mobiltelefon der kommunikerede med en server; netværksudstyret kunne udskifte det data mobiltelefonen sendte med lækket data - det kunne fx. ske i basestation i mobilnetværket - eneste måde at opdage dette var hvis man står ude i marken og lytter med på hvad "agentens" mobiltelefon sender af data)
  • ... lade det lækkede data være alle telefoners placering ca. hver 15 min. For 1 mio. telefoner fylder dette ca. 15MB. En dråbe i datahavet.

På den måde ville kineserne stå med et realtime view af alle brugernes placering (eller mere præcist: brugernes telefoners placering).

In real life er det hele mere kompliceret, men hvis man leverer det meste hardware og kan genbruge samme setup rundt omkring i verden, så er det helt klart det værd.

(*) En af sidste års store "nyheder" var at Intel Management Extentions (ME) kørte en Minix kerne i baggrunden på mange computere. Kernen kørte neden under Windows/Linux/MacOS/Whatever og kunne ikke ses på nogen måde af andre programmer. Kun BIOS kunne se den. NSA fik Intel til at lave en feature sådan at ME kunne slås fra - men featuren var kun tilgængelig for NSA. Man kan spekulere over hvorfor ... men når amerikanerne kan, så kan kineserne også.

Bjarne Nielsen

Vi er rigtig blevet en del af USA's handelskrig mod Kina.

Ah, ja, men det skyldes udelukkende at fjolset-in-chief selv kædede den aktuelle handelskrig og Huawei sammen. Snak om en elefant i porcelænsbutik og om at skyde sig selv i foden!

Det er ellers af administration forsøgt lanceret som en sikkerhedspolitisk problemstilling, hvad de egentlig godt kan have en pointe i. At der så også er en underliggende dagsorden om, hvem som på langt sigt skal have teknisk lederskab her i verden, er også et aspekt.

Men når administrationen så vælger at bruge bøllemetoder inkl. gemen afpresning, så fremmer det ikke just deres sag, og gør det i virkeligheden vanskeligere for alle os andre at følge deres ønsker (og skader alvorligt deres omdømme på langt sigt).

Amatører!

Finn Christensen

På den måde ville kineserne stå med et realtime view af alle brugernes placering (eller mere præcist: brugernes telefoners placering).

Og det er ganske normalt - en del af kulturen for "Riget i Midten"..
https://www.version2.dk/artikel/kina-begynder-alvor-at-rangere-sine-borg...
https://www.version2.dk/artikel/kinesiske-vivo-nex-telefon-afsloerer-omf...
https://www.version2.dk/artikel/overvaagningssystem-kan-identificere-bor...

Styret - partiet - er et etparti kommandosystem, der er over loven, og derfor har det ikke den fjerneste betydning hvad Huawei, firmaer, en fremmed regering eller dens befolkjning tror og mener. Riget i Midten tænker og planlægger traditionelt langsigtet, så selvfølgelig er der ikke nogen "synlig" bagdør eller andet skrammel (tværtimod) i udviklings- og opbygningsfaserne.

Husk din historie, hvis du er så gammel, at det endnu var et seriøst fag i din folkeskole. Det er verdens ældste stadig eksisterende civilisation, hvilket spiller en kæmpe rolle for, hvordan kineserne opfatter sig selv.

Samt hvordan Kina opfatter[1] det meget "yngre" Europa, dets underlige religiøse slagsmål og demokrati gennem århundrede og opkomlingen samt "babyen" USA.

Undgår for enhver pris at "tabe ansigt" ..https://tibetkommissionen.dk/node/31

Michael Cederberg

Mystisk sætning om BIOS
" Kun BIOS kunne se den"..

Mig bekendt kan BIOS ikke "se" noget i retning af software tråde eller aktiviteter i OS. BIOS er en samling initialiserings rutiner og basal IO/IRQ håndtering til HW. Mig bekendt er der intet OS med avanceret task håndtering i BIOS.

BIOS er et for upræcist begreb i dag til at jeg skulle have brugt det. Men min klare forståelse er at CPU'en efter reset starter i ring -3 med at køre de første instruktioner i "BIOS" (som i dag er mange forskellige ting). Disse loader resten af BIOS fra flashram. Herefter loader BIOS Intel ME koden. Sidst loades operativ systemets bootloader og den startes i ring 0.

Operativ systemets bootloader og operativ systemet kan ikke se noget af ring -3, -2, -1. Det ved i princippet ikke at de eksisterer.

Det kan godt være jeg er lidt rusten på navngivningen af ovenstående (det er efterhånden mere end et år siden det hele kom frem), men konceptuelt er det korrekt.

Jan Heisterberg

Michael Cederberg beskriver eet scenarie, som kan være slemt nok.

Et andet scenarie, som vi har set hos Maersk og netop i disse dage hos Norsk Hydro, handler om at "lamme" infrastrukturen og "landet" gennem e.g. nedlukning ef mobilnetværket mv.
Præcis som Michael beskriver det, er det en reel teknisk mulighed.
Og hvis du ikke tror på det, så læs om Strux og Irans atomprogram ...

Derfor kunne det være hensigtsmæssigt, at hele landets infrastruktur for kommunikation IKKE er bygget af een leverandør. Her tænker jeg på beredskabernes SINE netværk, Forsvarets kommunikationsnetværk, skibsfartens VHF og AIS kommunikation, alles fastnet telefon, alles bredbånd, landets radio- og TV kommunikation. Fly kommunikation og kontrol i alle aspekter. Togsignaler.
Selv uden onde hensigter KUNNE der jo være en uopdaget fejl hos een leverandør - hvilket er set i fortiden.

Derfor er der en reel trussel - kald det elektrisk krig.
Den kan forberedes af leverandører, eller agenter indsat i leverandør-kæden.

P.S.: Det vil aldrig gennem test, inspektion, jura eller lignende, være muligt at forsvare sig - men derfor behøver vi ikke være naive.

Per Larsen

Men af det gode.
Vi skal her i Europa, ikke lægge flere store æg i Kina. Alt derfra er billigere. Det er også handelskrig og vores blå-øjethed.
Heldigvis er der nogle af de store virksomheder, der vender tilbage til Europa, i erkendelse af div. kvalitetsproblemstillinger i Kina' produktion. Herunder også transport omk.

Det er udmærket at TDC har valgt en europæisk leverandør, men så må vi jo bare tro på, at underkomponenterne ikke er produceret i Kina, -- hvilket de med stor sandsynlighed er?

Knud Aagaard

Jeg kender ikke en dyt til, hvad der sker under overfladen af min Huawei telefon, men efter at have læst artiklen og kommentarerne, kom jeg til at tænke på Apple. En Apple telefon er vel klargjort til brug, når den ankommer fra Kina til USA? Hvorfra kommer de danske Apple telefoner?
Jeg håber 'Den Store Elefant' elsker sin 'Kina phone'.

Michael Cederberg

Strøtanke.
Jeg kender ikke en dyt til, hvad der sker under overfladen af min Huawei telefon, men efter at have læst artiklen og kommentarerne, kom jeg til at tænke på Apple. En Apple telefon er vel klargjort til brug, når den ankommer fra Kina til USA? Hvorfra kommer de danske Apple telefoner?
Jeg håber 'Den Store Elefant' elsker sin 'Kina phone'.

Det er meget nemmere at se om en device indeholder mystiske ting, hvis man selv har designet den. Jeg gætter på at det hvide hus ikke ringer til Foxcon og bestiller 10 guldfarvede iphones indgraveret med initialerne DT.

Netop de telefoner bliver nok produceret i USA og det hvide hus (sammen med Apple) undersøger helt sikkert alle komponenter der indgår. Problemet opstår hvis en komponent er designet i Kina (eller andre steder hvor man ikke kan komme efter designeren hvis han laver noget uautoriseret).

Lars Petersen

Hvad angår kildekode, så er det ikke noget problem med acme.sh da det er et shellscript. Problemet er nærmere at programmet fylder 170KB, så jeg har ikke orket at læse det igennem. Og jeg skulle som minimum læse opgraderingerne igennem også, dog kun forskellen. Jeg våger så pelsen og satser på at der ikke er noget lusk med programmet, til trods for at hovedudvikleren er kineser.

PS: acme.sh bruges til generering af Let's encrypt certifikater.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize