Som flere vil vide, har TDC meldt ud, at det bliver svenske Ericsson, der skal stå for opbygningen af den danske televirksomheds 5G-netværk og altså ikke kinesiske Huawei, som TDC har samarbejdet med om 4G-nettet.
Det er ikke nogen hemmelighed, at Huawei den senere tid - både i Danmark og i Vesten generelt - har været beskyldt for at udgøre en sikkerhedsrisiko.
Frygten er gået på, at Huaweis produkter i centrale dele af de vestlige telenet kan bruges til at spionere på vegne af den kinesiske regering, ligesom bekymringen også er, at der måske kan slukkes for hele eller dele af telenettet, hvis kineserne ønsker det.
Læs også: USA beder allierede droppe Huawei-udstyr
Version2 har netop været en tur i Kina som følge af en invitation fra Huawei. En ikke uvæsentlig del af presseprogrammet gik ud på at fortælle de primært danske journalister om Huaweis dedikation til cybersikkerhed.
Selvom det kan virke lidt på bagkant - nu hvor TDC har valgt en anden leverandør - så tænker vi, vi vil præsentere læserne for Huaweis forsvar i forhold til nogle af de mere konkrete og ikke mindst tekniske kritikpunkter.
Huaweis software indeholder - også - sårbarheder
Android, Windows, Linux, Mac OS, iOS og en hel masse andre softwareprodukter har det til fælles, at de indeholder fejl, hvor nogle udgør deciderede sårbarheder. Altså sikkerhedshuller, der potentielt kan tillade en angriber (herunder en statsstøttet aktør) at lave ulykker.
Huaweis software indeholder også sikkerhedshuller. Nogle af dem bliver fundet i regi af Huaweis såkaldte Independent Cyber Security Lab (ICSL).
Her er Martin Wang direktør. Hos ICLS bliver diverse slutprodukter - det vil sige alt fra mobiltelefoner til netværksudstyr - testet i forhold til sikkerhed, inden produkterne bliver sendt videre til kunderne.
Test involverer her blandt andet pentesting via open source-værktøjer som Metasploit, Wireshark og TCPdump til pentesting. Derudover bliver kommercielle værktøjer som Fortify og Coverity brugt til audit af kildekode.
Version2’s besøg hos ICLS bestod fortrinsvis af et kig ind i et snurrende serverrum, som faciliterer diverse test, og så en præsentation for pressen ved Martin Wang. Lidt usædvanligt måtte de tilstedeværende journalister hverken tage billeder eller lydoptage Wang under presse-seancen.
Det gjorde nu heller ikke så meget, da Wangs præsentation var mere powerpoint og fakta end knivskarpe holdninger i forhold til den kritik, Huawei er blevet bombarderet med de senere år.
Wang fortalte blandt andet om de certificeringer, ICSL har. ISO9001, ISO27001, ISO2800 og ISCCC for at nævne nogle stykker.
Og så fremgik det også af Wangs præsentation, at der i 2008 var 5 ansatte i ICSL, mens tallet i 2018 var 137.
Global Cyber Security & Privacy Officer
Organisatorisk set, så befinder John Suffolk sig over ICSL. Han er Senior Vice President and the Global Cyber Security & Privacy Officer (GSPO) hos Huawei. Som GSPO hos Huawei har John Suffolk mulighed for at nedlægge veto mod, at et produkt bliver frigivet, skulle test ved ICSL afsløre for mange problemer, forklarede Wang.
Turen til Kina indebar en selvstændig presseseance med et par primært danske medier og John Suffolk.
Der var tale om en Q&A-session, hvor de få journalister kunne stille spørgsmål. Suffolk var relativ bramfri sammenlignet med de øvrige Huawei-ansatte, Version2 mødte på turen.
Under snakken med John Suffolk måtte journalisterne godt optage lyd.
Angående det faktum, at Huaweis produkter indeholder sårbarheder som al anden software, så kunne John Suffolk fortælle, at der trods omfattende test indimellem sker det, at produkter, som indeholder sårbarheder, slipper ud til kunderne.
Som John Suffolk påpegede, og som mere end én Version2-læser vil vide, så er det reelt umuligt at undgå fejl, når antallet af kodelinjer når en vis størrelse. Eksempelvis nogle millioner linjer.
Det betyder, at selvom et produkt er blevet testet i flere instanser, så sker det ifølge John Suffolk jævnligt, at tredjeparter og kunder finder sårbarheder i Huaweis produkter.
»Og nogle gange tænker man: ‘Hvordan kan alle have misset det?’,« sagde John Suffolk.
Huawei kan i forbindelse med kodefejl og sårbarheder stå med et andet problem end eksempelvis Apple, Google og Microsoft.
Den kinesiske virksomhed kan have svært ved at bevise, at sårbarheden faktisk skyldes en reel kodefejl og ikke et bevidst forsøg på at placere en bagdør i softwaren for at hjælpe den kinesiske regering.
I princippet kunne man sige det samme om fejl hos Google, Apple og Microsoft i forhold til den amerikanske regering, men det er en anden historie.
John Suffolk medgiver, at Huawei ikke kan bevise, at sådan en kodefejl vitterligt er en fejl og ikke eksempelvis en bevidst placeret bagdør. Her peger han på, at Huawei har givet flere eksterne parter adgang til at inspicere virksomhedens kildekode.
»Vi ville være et ret dumt selskab, hvis vi giver ethvert selskab i verden adgang til kildekoden i vores laboratorier, hvis vi havde plantet noget der (i koden, red.).«
Kildekode-inspektion
I forhold til kildekode så har Huawei nemlig - i lyset af den vestlige frygt for spionage - åbnet flere faciliteter, hvor kunder og stater har mulighed for at inspicere kildekode og netværksudstyr.
Ifølge John Suffolk er det relativt få interessenter - Storbritannien er en af dem - der faktisk kigger kildekode igennem.
»Få kunder kigger nogensinde på kildekode. Det er en brøkdel, der kigger på kildekoden. Vi oplever generelt ikke, at kildekodedebatten er den største debat.«
Suffolk forklarer, at teleoperatører eksempelvis går mere op i pålidelighed og driftsstabilitet end kildekode.
Hvad kildekode-inspektionen angår, så anfører Suffolk, at medmindre man er mere end almindeligt specialiseret og har mange ressourcer til det, så er det ikke realistisk at finde fejl og sårbarheder i kildekoden alene ved at se på den.
Ifølge John Suffolk vil flere regeringer hellere lave dynamiske tests involverende tusindvis af automatiserede use cases op mod Huaweis produkter, end de vil sidde og kigge kodelinjer.
»De er mere interesserede i den tilgang, fordi det er virkeligheden. De er mere interesserede i at få deres bedste hackere og deres bedste sikkerhedshold til at lave white box testing.«
Laver selv chippen
En ting er koden, noget andet er hardwaren. Mens mange virksomheder bruger CPU'er fra tredjepartsleverandører som Intel, så laver Huawei sine egne chips. Det gør Apple i øvrigt også. I den forbindelse kunne man anføre, at Huawei med fuld kontrol over hardwaren også har mulighed for at skjule en bagdør på et niveau, hvor de færreste vil finde den.
Da Version2 forelægger John Suffolk den bekymring, starter han med at sige, at man jo kan sige det samme om eksempelvis amerikanske Intel, der som bekendt laver CPU’er til alverdens computere.
Version2's udsendte bemærker i den forbindelse, at selvom Intel skulle vise sig at spionere på vegne af for eksempel den amerikanske efterretningstjeneste NSA, så ville mange europæere formentlig foretrække amerikansk overvågning frem for kinesisk.
Herefter vender John Suffolk tilbage til udgangspunktet, altså: Hvad nu hvis Huawei benytter sine chip-faciliteter til at skjule bagdøre i hardwaren?
»Hvad er formålet med at gøre det på chip-niveau? Hvad prøver man at opnå? Prøver man at få data ud af nogens netværk?« sagde Suffolk.
Hvis pointen er at hive data ud om eksempelvis en masse danskeres færden og gebærden via telenettet, så er bagdøre på chip-niveau ikke en smart måde at gøre det på, mener John Suffolk.
Han peger på, at teleoperatører overvåger trafikken på deres netværk. Så selv hvis Huawei-hardware i telenettet skulle indeholde en bagdør, der i det skjulte skulle bruges til at sende data til Kina, så ville det lyse op i forhold til operatørens monitorering af netværkstrafikken, hvis der eksempelvis pludselig blev sendt data til en obskur og ukendt ip-adresse.
»Problemet er ikke, at det er umuligt, problemet er, hvad formålet er. Og er der lettere måder at opnå det på?«
Som eksempel nævner John Suffolk, at det ville være nemmere at stikke den rette medarbejder en pose penge for at give adgang til data end at indbygge en bagdør i en chip.
Et lignende argument har Suffolk i forhold til den såkaldte 'Kill Switch'. Betegnelsen dækker over et trusselsscenarie, hvor Huawei skulle have en særlig skjult mulighed for at slukke for mobilnettet i et land.
»Det er teoretisk muligt, men det er på samme tid umuligt, fordi du er begrænset af, hvordan du får adgang til ting, du er begrænset af at holde det hemmeligt (i forhold til, hvor mange ansatte der ved det, red.) … og igen, hvis dit mål er at nedlægge et netværk, så er der lettere og mere effektive måder.«
Her nævner John Suffolk en metode til at slukke for et telenetværk, han ikke vil citeres for.
Binær vs. kildekode
Tilbage til softwaren. Selvom Huawei tilbyder kunder at kigge kode og teste produkter, hvilken garanti har kunderne så for, at den kildekode, de har fået lov at kigge på, også er den binære kode, der faktisk havner på netværksudstyret?
Trusselsscenariet kunne være, at eksempelvis en teleoperatør eller en efterretningstjeneste har kigget Huawei-kode grundigt igennem og fundet frem til, at alt ser fint ud. Men den faktiske kode, der ender med at køre på telenettet, er ændret og indeholder eksempelvis en bagdør.
Her er nøgleordet digitale signaturer. John Suffolk forklarer, at at udviklere hos Huawei ikke har kontrol over den såkaldte build-proces. Det er der, hvor kildekode bliver omdannet til den binære kode, der kører på hardwaren i eksempelvis et telenet.
Koden bliver efter build-processen digitalt signeret. Herefter kan den digitale signatur på den kode, der kører på hardwaren sammenlignes med signaturen på den kode, der kommer fra build-centeret. Og hvis signaturerne matcher, er der i udgangspunktet tale om samme kode.
Binary equivalence
Derudover arbejder Huawei på noget andet.
»Vi prøver at lave noget ganske specielt, og det er et mareridt. Helt og aldeles et mareridt. Vi prøver at lave noget kaldet binary equivalence.«
Binary equivalence går ud på altid at kunne producere den samme binære fil ud fra den samme kildekode. Det lyder måske enkelt, men det er det ikke.
Compilere, altså de programmer, der omdanner kildekode til binærkode, laver eksempelvis ikke altid samme output, selvom kildekoden er den samme, forklarer John Suffolk.
»En simpel ting som dato og tidspunkt kan være forskellig,« siger han.
Og den slags små variationer kan betyde, at den binære kode ændrer sig. Og det kan være noget rod, hvis man - her Huawei - eksempelvis skal overbevise en kunde om, at det altså ikke er som følge af ændringer i kildekoden, at den binære kode - som er den, der ender på produkterne - ændrer sig.
John Suffolk forklarer, at Huawei i forhold til nogle produkter er tæt på 100 pct. binary equivalent. Og at variationerne i de binære filer i disse tilfælde kan forklares.
Når det er sagt, så vil der trods 100 procent binary equivalence stadig være mere banale og reelle problemer i forhold til it-sikkerheden hos eksempelvis Huaweis kunder, påpeger John Suffolk:
»Jeg kan lægge en masse arbejde i at bevise, at den binære build er rigtig, og så har en eller anden admin ikke skiftet kodeord.«
Altså brugerne er ofte et svagt led. Tilbage står også en anden kendsgerning.
Uanset hvor meget virksomheden åbner for kildekoden, uanset hvor meget binary equivalence der opnås, og uanset hvor godt John Suffolk svarer for sig, så står Huawei stadig tilbage med det samme grundlæggende problem:
Det er så godt som umuligt for Huawei (og andre virksomheder) at bevise, at spionage og andre ondsindede aktiviteter ikke finder sted og ikke kan finde sted. Fair? Måske ikke, men det er realiteten, der betyder, at dem der måtte ønske det - både herhjemme og i Vesten generelt - fortsat vil kunne så tvivl om Huaweis rolle som leverandør af kritisk infrastruktur.
Version2 var inviteret til Kina af Huawei, der blandt andet har betalt flybilletter og hotelophold.
Enkelte af John Suffolks citater er blevet præcisere siden artiklens offentliggøres, så den danske oversættelse lægger sig tættere op ad de originale engelsksprogede udsagn. Meningen er uændret.
