Huawei forlot potensielt utnyttbar bakdør i nettverksfastvare krever krav om sikkerhetsselskap
USA har lenge hevdet at Huawei truet sin digitale sikkerhet. Nå hevder et sikkerhetsselskap å ha avdekket flere potensielt utnyttbare bakdører i ganske mange av programvaren det kinesiske selskapet distribuerte. Etter hvert som løpet for å distribuere 5G-nettverk får fart, kan slike påstander ytterligere sette tele- og nettverksgigantens forretningsutsikter over hele verden i fare.
Forskere fra IoT-sikkerhetsfirmaet Finite State har tilsynelatende avslørt at over halvparten av utstyret fra Kinas telekomgigant, Huawei, har "minst en potensiell bakdør". Det er betydelig bevis for at Huaweis firmware for nettverksenheter hadde feil, som bevisst kunne blitt distribuert for å gjøre dem sårbare, hevder firmaet. Mens de undersøkte Huawei-programvaren som er installert i nettverksutstyret, sa selskapet: ”Det er betydelige bevis for at null-dagers sårbarheter basert på minnekorrupsjoner er rikelig i Huawei-firmware. Oppsummert, hvis du inkluderer kjente sårbarheter med fjerntilgang sammen med mulige bakdører, ser Huawei-enheter ut til å ha høy risiko for potensielt kompromiss. "
Konklusjonene trukket av sikkerhetsforskerne i Finite State ser ut til å være ganske like det Ian Levy, teknisk direktør for Storbritannias National Cyber Security Center (NCSC), en enhet av spionbyrået GCHQ hadde trukket tidligere denne måneden. Den gang hadde Levy nettopp avsluttet å evaluere Huawei-utstyr på grunn av vedvarende påstander om at det kinesiske selskapets 5G-nettverksutstyr kunne brukes av Kina til å gjennomføre utbredte statssponserte spionasjekampanjer. Levy hadde rett og slett hevdet at sikkerhetstiltak implementert av Huawei i utstyret var "objektivt verre og sjuskete" sammenlignet med alle sine konkurrenter innen kablet og trådløs nettverksvirksomhet. "Fra et teknisk sikkerhetssynspunkt i forsyningskjeden er Huawei-enheter noen av de verste vi noensinne har analysert," hevdet Levy.
Forskerne bemerket i sin rapport at til tross for Huaweis offentlige forpliktelser om å forbedre sikkerheten, avslørte analysen at Huaweis "sikkerhetsstilling" faktisk "avtar over tid". Forskerne hevdet at de gransket 558 Huawei bedriftsnettverksprodukter. De har visstnok kammet gjennom 1,5 millioner filer i rundt 10.000 firmwarebilder.
Huawei etterlot seg mer enn hundre sikkerhetsfeil og sårbarheter?
Analysen viste tilsynelatende at mer enn 55 prosent av firmwarebildene har minst en potensiell bakdør. Noen av de bemerkelsesverdige sikkerhetssmutthullene og tilsynelatende forsettlige sårbarhetene som er igjen i firmwarefilene, inneholder hardkodede legitimasjonsbeskrivelser som kan brukes som en bakdør, usikker bruk av kryptografiske nøkler. Selskapet hevdet også å ha observert “indikasjoner på dårlig praksis for programvareutvikling.” Samlet hevder Finite State å ha oppdaget omtrent 102 kjente sårbarheter i gjennomsnitt i hvert Huawei-firmwarebilde. Det var angivelig bevis for mange null-dagers sårbarheter også.
Et interessant aspekt som dukket opp under analysen var Huaweis bruk av programvare med åpen kildekode. Huawei stolte regelmessig på OpenSSL. Open source-plattformen er et ofte brukt kryptografisk bibliotek for å beskytte og kryptere digital kommunikasjon. I enkle ord brukes OpenSSL ofte av nettsteder for å aktivere HTTPS. Huawei klarte angivelig ikke å oppdatere slik programvare med åpen kildekode, hevdet sikkerhetsforskerne. "Gjennomsnittsalderen for tredjeparts programvare med åpen kildekode i Huawei-firmware er 5,36 år." Videre er det "tusenvis av forekomster av komponenter som er mer enn ti år gamle." Tilsynelatende etterlot noe av den utdaterte og foreldede programvaren Huaweis utstyr sårbart for det beryktede Heartbleed, et svært beryktet og vidt spredt virus tilbake i 2011.
Bruker Huawei det eneste selskapet med åpen kildekode-programvare?
Det er viktig å merke seg at selskaper som ligner på Huawei, ofte stole på programvare med åpen kildekode for å akselerere programvareutvikling og distribusjon i maskinvare. Dessuten oppdager disse selskapene ofte bakdører og sårbarheter og skynder seg å lappe dem. I hovedsak er det en veldig vanlig praksis. Men det som til og med er viktig er at selskaper ofte oppdaterer programvaren og prøver å bruke den nyeste eller mest stabile versjonen som har flere feilrettinger.
For tiden er Huaweis hovedkonkurrenter Ericsson, Nokia og Cisco. Forøvrig designer alle disse selskapene sine egne iterasjoner av høyhastighets, ultra-lav latenstid 5G nettverksutstyr. Disse organisasjonene vurderer fremdeles den mest optimale kombinasjonen av maskinvare for å oppfylle de mange kravene til 5G, inkludert pålitelig tilkobling til IoT-enheter (Internet of Things), tilkoblede biler og andre elektroniske enheter. Selv om 5G er avhengig av etablerte teknologier og kommunikasjonsprotokoller, må plattformen bruke mye banebrytende teknologi. Videre har den nye mobilkommunikasjonsstandarden langt større rekkevidde sammenlignet med alle tidligere standarder. Derfor er det viktig å sette opp sterk sikkerhet og forhindre databrudd eller informasjonslekkasje.