USA: Huawei har haft adgang til mobilnetværk i 10 år

12. februar 2020 kl. 11:2820
USA: Huawei har haft adgang til mobilnetværk i 10 år
Illustration: studio4a / Bigstockphoto.com.
Huawei har siden 2009 haft adgang til de netværk, firmaet har sat op for kunder. Firmaet bruger bagdør beregnet til politi-myndigheder.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Huawei kan tilgå de mobilnetværk, firmaet har hjulpet med at bygge rundt om i verden.

Firmaet har haft mulighed for at bruge den ’bagdør’, der er beregnet til politi-myndigheder. Det har man haft i over et årti, det skriver The Wall Street Journal (kræver login).

Det er amerikanske embedsfolk, som har videregivet informationen videre til både Storbritannien og Tyskland i slutningen af sidste år.

Efter sigende har man fra amerikansk side beviser på, at den kinesiske telegigant har haft adgang til 4G-netværket siden 2009.

Artiklen fortsætter efter annoncen

Rober O’Brien, national sikkerhedsrådgiver i USA, har udtalt til Kylie Atwood, at Huawei skjult kan tilgå følsom og personlig information fra de systemer, de har sat op rundt omkring i verden.

Han mener desuden, at de løsninger Huawei tilbyder er en ’fristende gave’, men altså de altså ’har sin pris’.

Huawei har afvist anklagerne.

3 er klar til at sige farvel til Huawei i Danmark

Herhjemme er teleselskabet 3 klar til at sige farvel til Huawei som leverandør af tele-udstyr.

Det er nemlig ikke ’politisk comme il faut’, udtaler Morten Christiansen, topchef hos 3, til mediet Itwatch.

Man har derfor indbudt netværksleverandører til at komme med et tilbud på 5G-netværk.

TDC fyrede sidste år Huawei som leverandør og hyrede den svenske telekommunikationsvirksomhed Ericsson.

20 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
20
13. februar 2020 kl. 20:36

Det er desværre ikke så forfærdeligt svært.. Hvis man hacker git serveren - så kan man tilføje et commit til repo'et - og når brugere af det repo pull'er opdateringer ned - kommer der bare et ekstra commit blandt mange - bliver nemt overset.

Der er alle mulige distribuerede udgaver af repo. Der er branches. Der er lokale kopier. Listen fortsætter. Der laves code reviews. Når der findes fejl i koden, så kigger man tilbage på history. Nogen steder følger testere med i commit historikken for at spotte områder der skal testes ekstra. Hvis man er seriøs med sin kode, så kommer den slags ikke bare ind.

Hvis man har resourcerne til at hacke infrastruktur, ville man i stedet f.eks. vælge build servere, og tilføje kode til de producerede artifacts.

Det er jeg ganske enig i og den slags er set før. Der er ingen tvivl om at det er det nemmeste sted at ramme fordi man som udvikler er nødt til at stole på de værktøjer man bruger.

Løsningen er selvfølgeligt at bygge koden flere steder hvor man har tools fra flere forskellige kilder og sammenligne. Det er selvfølgeligt en kontinuert opgave. Man skal også holde øje med at den kode der puttes i hardware rent faktisk er den som man har bygget. Man skal også holde øje med alle de hardware komponenter som indgår i de produkter man laver ... det er ikke nemt at garantere at de produkter man leverer er udskyldige. Men at pille ved sourcekoden er ikke den rette måde at gøre det på. Med mindre man kan få en insider til at putte noget skidt ind.

Og i mellemtiden lytter CIA med hvor det virkeligt betyder noget.</p>
<p><a href="https://www.berlingske.dk/politisk-morgenpost/det-danske-forsvar-har-i-…;
<p>OG sjovt nok bliver der ikke snakket meget om det!

Måske betyder det ikke så meget. Kloge myndigheder krypterer information før det overleveres til hardware man ikke selv har lavet.

Har en stor leverandør til et teleselskab ikke normalt adgang til deres installationer hos deres kunder?

Det har de sikkert. Men de fortæller også kunden om sådan en adgang og de bruger den ikke uden at fortælle kunden om det.

19
13. februar 2020 kl. 15:33

Det er desværre ikke så forfærdeligt svært.. Hvis man hacker git serveren - så kan man tilføje et commit til repo'et - og når brugere af det repo pull'er opdateringer ned - kommer der bare et ekstra commit blandt mange - bliver nemt overset.

Ændring i Git repo er super fjollet - det er supernemt at opdage, og som du selv nævner, kan du ikke lave history rewrite uden det virkeligt springer i øjnene, hvorfor ændringer nødvendigvis kommer som et nyt commit og dermed er helt fremme i synlig historik.

Hvis man har resourcerne til at hacke infrastruktur, ville man i stedet f.eks. vælge build servere, og tilføje kode til de producerede artifacts.

18
13. februar 2020 kl. 12:37

Men det er ganske enkelt meget svært og nemt at opdage hvis NSA forsøger at rette i sourcekoden på Huawei's servere. Der laves reviews af ændringer, sourcekoden findes mange steder og der laves sammenligninger på kryds og tværs. Den slags vil blive opdaget i alle nogenlunde seriøse virksomheder. Det var det jeg mente med mit oprindelige indlæg.

Det er desværre ikke så forfærdeligt svært.. Hvis man hacker git serveren - så kan man tilføje et commit til repo'et - og når brugere af det repo pull'er opdateringer ned - kommer der bare et ekstra commit blandt mange - bliver nemt overset. (hvis de derimod forsøger at ændre et eksisterende commit - vil det blive opdaget lokalt). Jeg ser ikke nogen steder de laver signede commits OG tvinger at build setup'et er adskilt fra deres GIT setup - således at de på build tidspunkt, rent faktisk checker at ALLE commits i træet der bygges, også har gyldige GPG signaturer.. Om Huawei har gjort noget af dette for at beskytte sig - ved jeg ikke.

Det er ihvertfald ikke noget der nævnes med ét ord i f.ex. gitlab - og jeg er ved at implementere det selv, vha. et pre-build-script setting på mine runners, så et sikkerhedsbrud på en gitlab server (hvilket jeg har oplevet), ikke betyder at de kan ændre i de git repos der ligger derpå - uden at build vil afvise at build'e.

17
13. februar 2020 kl. 10:25

Har en stor leverandør til et teleselskab ikke normalt adgang til deres installationer hos deres kunder? Disse installationer er da så komplicerede at teleselskaberne ikke kan drive dem selv... Har Eriksson, Nokia og hvad de ellers hedder ikke også tilsvarende adgange?

15
13. februar 2020 kl. 09:11

The Wall Street Journal har spurgt omkring hos store teleudbydere mm, der blankt afviser, at Huawei rent teknisk kan gøre det: It is extremely implausible and would be discovered immediately.

Bare for klarheds skyld, det er en talsperson fra Huawei selv der sagde at det var ekstremt usandsynligt, ikke andre teleudbydere:

A senior Huawei official dismissed the suggestion that Huawei could access the interface in the way U.S. officials described. “The use of the lawful interception interface is strictly regulated and can only be accessed by certified personnel of the network operators. No Huawei employee is allowed to access the network without an explicit approval from the network operator,” the official said.
<em>Network access without operator permission “is extremely implausible and would be discovered immediately,” the official said.</em>

14
12. februar 2020 kl. 23:38

Tak for et fornuftigt svar!

Som jeg har skrevet tidligere når du har bragt dette citat, så er der ingen steder indikationer på at NSA faktisk har været i stand til at ændre sourcekoden på Huawei's servere. Men at NSA har haft våde drømme om at gøre det er en ganske anden sag. ... TAO handler ikke om at indsætte svagheder i sourcekoden til Huawei's (eller andres produkter). Det handler om at opfange færdig og fin hardware på vej fra fabrikken og så indsætte svagheder deri.

Jeg er enig i den analyse. Og dermed har NSA netop en grov mulighed for at fremvise "kinesiske" bagdøre, som NSA selv har indkodet i Huaweis produkter. Citatet er ganske rigtigt fra EETimes India, den nu ligger i arkiv .

The Wall Street Journals bidrag har jeg læst her. De uddyber, at panikken ikke drejer sig om direkte misbrug af den lovbefalede bagdør til politi-myndigheder, men om at Huawei has built equipment that secretly preserves the manufacturer’s ability to access networks through these interfaces without the carriers’ knowledge.

The Wall Street Journal har spurgt omkring hos store teleudbydere mm, der blankt afviser, at Huawei rent teknisk kan gøre det: It is extremely implausible and would be discovered immediately. Men hvis NSA kan og gør dette, kan Huawei vel også?

13
12. februar 2020 kl. 22:32

Jeg har den underlige vane, at jeg læser kilder, og vedlægger dem, så andre får mulighed for at forstå. I dette tilfælde links til otte analyser, der fortæller hvor tæt på Huaweis interne kildekode, der var lykkedes the NSA unit involved, the Office of Tailored Access Operations (TAO), at komme på det nævnte tidspunkt:

Jeg skal undskylde at jeg overså at du havde et link i dit oprindelige indlæg (Det er ikke så tydeligt på min mobiltelefon). Dit link til EE-times virker i øvrigt ikke og jeg tror det er der dit citat kommer fra.

TAO handler ikke om at indsætte svagheder i sourcekoden til Huawei's (eller andres produkter). Det handler om at opfange færdig og fin hardware på vej fra fabrikken og så indsætte svagheder deri. Derfor er der ingen tvivl om at NSA har (mindst) en del af Huawei sourcekode og hardware designs. Det er nødvendigt for at kunne indsætte svagheder i de færdige produkter. Iflg. Snowdons papirer gør NSA det samme med hardware fra andre leverandører (både amerikanske og ikke amerikanske).

Men det er ganske enkelt meget svært og nemt at opdage hvis NSA forsøger at rette i sourcekoden på Huawei's servere. Der laves reviews af ændringer, sourcekoden findes mange steder og der laves sammenligninger på kryds og tværs. Den slags vil blive opdaget i alle nogenlunde seriøse virksomheder. Det var det jeg mente med mit oprindelige indlæg.

... A NSA special-operations unit bored into the company's technical data, eventually compromising servers holding source code for the firmware that runs the routers and switches Huawei builds for large corporations and telecommunications companies. The goal was to build secret backdoors or security flaws...

Som jeg har skrevet tidligere når du har bragt dette citat, så er der ingen steder indikationer på at NSA faktisk har været i stand til at ændre sourcekoden på Huawei's servere. Men at NSA har haft våde drømme om at gøre det er en ganske anden sag. De har givetvis mange vidtløftige drømme. Specielt når de skal bede om penge til nye operation ...

12
12. februar 2020 kl. 17:24

Petersen: Ja, men i 2009 havde Trump ikke adgang til NSA. ;-)

NSA anses for den mindst Trumfpinficerede del af USAs statsapparat. De kører i højere grad efter samme grimme mål og metoder som under Obama og bagud.

Cederberg: Forstår du nogen som helst af hvordan man laver den slags produkter? Tror du at Huawei blot tager patches fra NSA uden at se på hvad de gør?

Jeg har den underlige vane, at jeg læser kilder, og vedlægger dem, så andre får mulighed for at forstå. I dette tilfælde links til otte analyser, der fortæller hvor tæt på Huaweis interne kildekode, der var lykkedes the NSA unit involved, the Office of Tailored Access Operations (TAO), at komme på det nævnte tidspunkt:

... A NSA special-operations unit bored into the company's technical data, eventually compromising servers holding source code for the firmware that runs the routers and switches Huawei builds for large corporations and telecommunications companies. The goal was to build secret backdoors or security flaws...

10
12. februar 2020 kl. 15:49

Som allerede nævnt så burde det være relativt nemt at gemme en bagdør så den ikke bliver fundet, skal vi ikke lige se om beviset er andet end "Code example - Admin-tool (FOR TEST ENVIRONMENT ONLY)" inden vi går for meget amok.

Som tidligere set så viste det sig jo også at være noget kode som aldrig skulle i produktion

9
12. februar 2020 kl. 15:30

Hvis Huawei ønskede at skjule at de tilgik systemet, så er der mere skjulte metoder til at tilgå systemet på. Det her ligner mere noget som er glemt og som amerikanerne blæser op.

Men i et system der facilitere mobiltelefoni er det ærkenemt at gemme bagdøre som i praksis ikke kan findes med mindre man sidder med hele sourcekoden. Og selv hvis man får sourcekoden, så kan man ikke vide om man har fået det hele eller om det er den kode der kører på systemet.

7
12. februar 2020 kl. 15:00

Måske lige så tilforladeligt som den Amerikanske senator som påstod at Kina havde et hemmeligt virus laboratorium under Wuhan. ( I al retfærdighed som svar på at der var nedgravede biohazard cylindre i baghaven på USA Konsulatet i Wuhan)

Hvis Huaway ikke lyttede til samtaler etc så ville de nok være de eneste.

5
12. februar 2020 kl. 14:02

I 2009 havde NSA fuld adgang til Huaweis kildekode - i så høj grad, at det lykkedes NSA at indbygge egne bagdøre direkte i Huaweis produkter. Så USA kan sagtens fremvise dokumentation - for de har selv anbragt koden!

4
12. februar 2020 kl. 13:15

Ja det er kedeligt når USA og allierede ikke har patent på deres egne metoder.

Her er en udmærket avis artikel der igen viser, hvordan USA med vest tyskland har oprettet et firma for netop at gøre det som de anklager alle andre for at gøre.

Netop at skabe bagdøre kun for at kunne lytte med. Og samtidig skabe en forretning.

3
12. februar 2020 kl. 12:10

...der er dokumentation for dette som de er villige til at vise.

Eller er det måske endnu en påstand som de kommer med som de ikke kan vise (det er fortrolig) som en vis krig i mellemøsten?

Politimyndigheder har, i civiliserede lande, ikke selv adgang til anlægget, det har operatøren og operatøren har, med myndighedernes velsignelse, outsourcet driften til Huawei. dermed har Huawei adgang - det er noget man har påpeget bl.a. her på Version2.

2
12. februar 2020 kl. 12:07

Jo, hvis man vil have bagdøre i systemerne, så får man bagdøre i systemerne. Som Snowden vist formulerede det, man kan ikke lave en adgang, som kun "de gode" kan benytte.

1
12. februar 2020 kl. 11:51

Er det ikke lige netop bagdøre/åbne ladeporte regeringer og efterretningstjenester efterlyser der skal være i al hw/sw? Så er Huawei vel egentlig bare med på noderne...