USA: Huawei har haft adgang til mobilnetværk i 10 år

Illustration: studio4a / Bigstockphoto.com
Huawei har siden 2009 haft adgang til de netværk, firmaet har sat op for kunder. Firmaet bruger bagdør beregnet til politi-myndigheder.

Huawei kan tilgå de mobilnetværk, firmaet har hjulpet med at bygge rundt om i verden.

Firmaet har haft mulighed for at bruge den ’bagdør’, der er beregnet til politi-myndigheder. Det har man haft i over et årti, det skriver The Wall Street Journal (kræver login).

Læs også: Tysk avis: Huawei samarbejder med kinesiske efterretningstjenester

Det er amerikanske embedsfolk, som har videregivet informationen videre til både Storbritannien og Tyskland i slutningen af sidste år.

Efter sigende har man fra amerikansk side beviser på, at den kinesiske telegigant har haft adgang til 4G-netværket siden 2009.

Rober O’Brien, national sikkerhedsrådgiver i USA, har udtalt til Kylie Atwood, at Huawei skjult kan tilgå følsom og personlig information fra de systemer, de har sat op rundt omkring i verden.

Han mener desuden, at de løsninger Huawei tilbyder er en ’fristende gave’, men altså de altså ’har sin pris’.

Huawei har afvist anklagerne.

3 er klar til at sige farvel til Huawei i Danmark

Herhjemme er teleselskabet 3 klar til at sige farvel til Huawei som leverandør af tele-udstyr.

Det er nemlig ikke ’politisk comme il faut’, udtaler Morten Christiansen, topchef hos 3, til mediet Itwatch.

Læs også: Huawei er droppet: TDC og Ericsson lover landsdækkende 5G i 2020

Man har derfor indbudt netværksleverandører til at komme med et tilbud på 5G-netværk.

TDC fyrede sidste år Huawei som leverandør og hyrede den svenske telekommunikationsvirksomhed Ericsson.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Maciej Szeliga

...der er dokumentation for dette som de er villige til at vise.

Eller er det måske endnu en påstand som de kommer med som de ikke kan vise (det er fortrolig) som en vis krig i mellemøsten?

Politimyndigheder har, i civiliserede lande, ikke selv adgang til anlægget, det har operatøren og operatøren har, med myndighedernes velsignelse, outsourcet driften til Huawei. dermed har Huawei adgang - det er noget man har påpeget bl.a. her på Version2.

  • 12
  • 0
#7 Jens Ole Stilling

Måske lige så tilforladeligt som den Amerikanske senator som påstod at Kina havde et hemmeligt virus laboratorium under Wuhan. ( I al retfærdighed som svar på at der var nedgravede biohazard cylindre i baghaven på USA Konsulatet i Wuhan)

Hvis Huaway ikke lyttede til samtaler etc så ville de nok være de eneste.

  • 2
  • 0
#8 Michael Cederberg
  • 1
  • 0
#9 Michael Cederberg

Hvis Huawei ønskede at skjule at de tilgik systemet, så er der mere skjulte metoder til at tilgå systemet på. Det her ligner mere noget som er glemt og som amerikanerne blæser op.

Men i et system der facilitere mobiltelefoni er det ærkenemt at gemme bagdøre som i praksis ikke kan findes med mindre man sidder med hele sourcekoden. Og selv hvis man får sourcekoden, så kan man ikke vide om man har fået det hele eller om det er den kode der kører på systemet.

  • 3
  • 0
#10 Anders Bruun

Som allerede nævnt så burde det være relativt nemt at gemme en bagdør så den ikke bliver fundet, skal vi ikke lige se om beviset er andet end "Code example - Admin-tool (FOR TEST ENVIRONMENT ONLY)" inden vi går for meget amok.

Som tidligere set så viste det sig jo også at være noget kode som aldrig skulle i produktion

  • 0
  • 2
#12 Tom Paamand

Petersen: Ja, men i 2009 havde Trump ikke adgang til NSA. ;-)

NSA anses for den mindst Trumfpinficerede del af USAs statsapparat. De kører i højere grad efter samme grimme mål og metoder som under Obama og bagud.

Cederberg: Forstår du nogen som helst af hvordan man laver den slags produkter? Tror du at Huawei blot tager patches fra NSA uden at se på hvad de gør?

Jeg har den underlige vane, at jeg læser kilder, og vedlægger dem, så andre får mulighed for at forstå. I dette tilfælde links til otte analyser, der fortæller hvor tæt på Huaweis interne kildekode, der var lykkedes the NSA unit involved, the Office of Tailored Access Operations (TAO), at komme på det nævnte tidspunkt:

... A NSA special-operations unit bored into the company's technical data, eventually compromising servers holding source code for the firmware that runs the routers and switches Huawei builds for large corporations and telecommunications companies. The goal was to build secret backdoors or security flaws...

  • 4
  • 0
#13 Michael Cederberg

Jeg har den underlige vane, at jeg læser kilder, og vedlægger dem, så andre får mulighed for at forstå. I dette tilfælde links til otte analyser, der fortæller hvor tæt på Huaweis interne kildekode, der var lykkedes the NSA unit involved, the Office of Tailored Access Operations (TAO), at komme på det nævnte tidspunkt:

Jeg skal undskylde at jeg overså at du havde et link i dit oprindelige indlæg (Det er ikke så tydeligt på min mobiltelefon). Dit link til EE-times virker i øvrigt ikke og jeg tror det er der dit citat kommer fra.

TAO handler ikke om at indsætte svagheder i sourcekoden til Huawei's (eller andres produkter). Det handler om at opfange færdig og fin hardware på vej fra fabrikken og så indsætte svagheder deri. Derfor er der ingen tvivl om at NSA har (mindst) en del af Huawei sourcekode og hardware designs. Det er nødvendigt for at kunne indsætte svagheder i de færdige produkter. Iflg. Snowdons papirer gør NSA det samme med hardware fra andre leverandører (både amerikanske og ikke amerikanske).

Men det er ganske enkelt meget svært og nemt at opdage hvis NSA forsøger at rette i sourcekoden på Huawei's servere. Der laves reviews af ændringer, sourcekoden findes mange steder og der laves sammenligninger på kryds og tværs. Den slags vil blive opdaget i alle nogenlunde seriøse virksomheder. Det var det jeg mente med mit oprindelige indlæg.

... A NSA special-operations unit bored into the company's technical data, eventually compromising servers holding source code for the firmware that runs the routers and switches Huawei builds for large corporations and telecommunications companies. The goal was to build secret backdoors or security flaws...

Som jeg har skrevet tidligere når du har bragt dette citat, så er der ingen steder indikationer på at NSA faktisk har været i stand til at ændre sourcekoden på Huawei's servere. Men at NSA har haft våde drømme om at gøre det er en ganske anden sag. De har givetvis mange vidtløftige drømme. Specielt når de skal bede om penge til nye operation ...

  • 1
  • 0
#14 Tom Paamand

Tak for et fornuftigt svar!

Som jeg har skrevet tidligere når du har bragt dette citat, så er der ingen steder indikationer på at NSA faktisk har været i stand til at ændre sourcekoden på Huawei's servere. Men at NSA har haft våde drømme om at gøre det er en ganske anden sag. ... TAO handler ikke om at indsætte svagheder i sourcekoden til Huawei's (eller andres produkter). Det handler om at opfange færdig og fin hardware på vej fra fabrikken og så indsætte svagheder deri.

Jeg er enig i den analyse. Og dermed har NSA netop en grov mulighed for at fremvise "kinesiske" bagdøre, som NSA selv har indkodet i Huaweis produkter. Citatet er ganske rigtigt fra EETimes India, den nu ligger i arkiv .

The Wall Street Journals bidrag har jeg læst her. De uddyber, at panikken ikke drejer sig om direkte misbrug af den lovbefalede bagdør til politi-myndigheder, men om at Huawei has built equipment that secretly preserves the manufacturer’s ability to access networks through these interfaces without the carriers’ knowledge.

The Wall Street Journal har spurgt omkring hos store teleudbydere mm, der blankt afviser, at Huawei rent teknisk kan gøre det: It is extremely implausible and would be discovered immediately. Men hvis NSA kan og gør dette, kan Huawei vel også?

  • 4
  • 0
#15 Jens Arhøj

The Wall Street Journal har spurgt omkring hos store teleudbydere mm, der blankt afviser, at Huawei rent teknisk kan gøre det: It is extremely implausible and would be discovered immediately.

Bare for klarheds skyld, det er en talsperson fra Huawei selv der sagde at det var ekstremt usandsynligt, ikke andre teleudbydere:

A senior Huawei official dismissed the suggestion that Huawei could access the interface in the way U.S. officials described. “The use of the lawful interception interface is strictly regulated and can only be accessed by certified personnel of the network operators. No Huawei employee is allowed to access the network without an explicit approval from the network operator,” the official said. Network access without operator permission “is extremely implausible and would be discovered immediately,” the official said.

  • 0
  • 0
#18 Klavs Klavsen

Men det er ganske enkelt meget svært og nemt at opdage hvis NSA forsøger at rette i sourcekoden på Huawei's servere. Der laves reviews af ændringer, sourcekoden findes mange steder og der laves sammenligninger på kryds og tværs. Den slags vil blive opdaget i alle nogenlunde seriøse virksomheder. Det var det jeg mente med mit oprindelige indlæg.

Det er desværre ikke så forfærdeligt svært.. Hvis man hacker git serveren - så kan man tilføje et commit til repo'et - og når brugere af det repo pull'er opdateringer ned - kommer der bare et ekstra commit blandt mange - bliver nemt overset. (hvis de derimod forsøger at ændre et eksisterende commit - vil det blive opdaget lokalt). Jeg ser ikke nogen steder de laver signede commits OG tvinger at build setup'et er adskilt fra deres GIT setup - således at de på build tidspunkt, rent faktisk checker at ALLE commits i træet der bygges, også har gyldige GPG signaturer.. Om Huawei har gjort noget af dette for at beskytte sig - ved jeg ikke.

Det er ihvertfald ikke noget der nævnes med ét ord i f.ex. gitlab - og jeg er ved at implementere det selv, vha. et pre-build-script setting på mine runners, så et sikkerhedsbrud på en gitlab server (hvilket jeg har oplevet), ikke betyder at de kan ændre i de git repos der ligger derpå - uden at build vil afvise at build'e.

  • 1
  • 0
#19 Sune Marcher

Det er desværre ikke så forfærdeligt svært.. Hvis man hacker git serveren - så kan man tilføje et commit til repo'et - og når brugere af det repo pull'er opdateringer ned - kommer der bare et ekstra commit blandt mange - bliver nemt overset.

Ændring i Git repo er super fjollet - det er supernemt at opdage, og som du selv nævner, kan du ikke lave history rewrite uden det virkeligt springer i øjnene, hvorfor ændringer nødvendigvis kommer som et nyt commit og dermed er helt fremme i synlig historik.

Hvis man har resourcerne til at hacke infrastruktur, ville man i stedet f.eks. vælge build servere, og tilføje kode til de producerede artifacts.

  • 0
  • 0
#20 Michael Cederberg

Det er desværre ikke så forfærdeligt svært.. Hvis man hacker git serveren - så kan man tilføje et commit til repo'et - og når brugere af det repo pull'er opdateringer ned - kommer der bare et ekstra commit blandt mange - bliver nemt overset.

Der er alle mulige distribuerede udgaver af repo. Der er branches. Der er lokale kopier. Listen fortsætter. Der laves code reviews. Når der findes fejl i koden, så kigger man tilbage på history. Nogen steder følger testere med i commit historikken for at spotte områder der skal testes ekstra. Hvis man er seriøs med sin kode, så kommer den slags ikke bare ind.

Hvis man har resourcerne til at hacke infrastruktur, ville man i stedet f.eks. vælge build servere, og tilføje kode til de producerede artifacts.

Det er jeg ganske enig i og den slags er set før. Der er ingen tvivl om at det er det nemmeste sted at ramme fordi man som udvikler er nødt til at stole på de værktøjer man bruger.

Løsningen er selvfølgeligt at bygge koden flere steder hvor man har tools fra flere forskellige kilder og sammenligne. Det er selvfølgeligt en kontinuert opgave. Man skal også holde øje med at den kode der puttes i hardware rent faktisk er den som man har bygget. Man skal også holde øje med alle de hardware komponenter som indgår i de produkter man laver ... det er ikke nemt at garantere at de produkter man leverer er udskyldige. Men at pille ved sourcekoden er ikke den rette måde at gøre det på. Med mindre man kan få en insider til at putte noget skidt ind.

Og i mellemtiden lytter CIA med hvor det virkeligt betyder noget.

https://www.berlingske.dk/politisk-morgenpost/det-danske-forsvar-har-i-a...

OG sjovt nok bliver der ikke snakket meget om det!

Måske betyder det ikke så meget. Kloge myndigheder krypterer information før det overleveres til hardware man ikke selv har lavet.

Har en stor leverandør til et teleselskab ikke normalt adgang til deres installationer hos deres kunder?

Det har de sikkert. Men de fortæller også kunden om sådan en adgang og de bruger den ikke uden at fortælle kunden om det.

  • 0
  • 0
Log ind eller Opret konto for at kommentere