困于前门? - iYouPort
困于前门?
- “没有后门,因为华为不需要后门。它有一个前门”,这一结论来最一份最新调查报告,”前门”是什么样的?……
英国政府监管组织的一份报告发现,中国电信设备制造商华为在其产品代码中存在基本的但严重的缺陷,这些缺陷会带来安全风险。 据报道 ,华为之前承诺改进的缺点源于其软件开发流程中存在的问题。
调查结果来自特朗普政府一致努力在全球范围内(特别是在5G无线网络中)禁止华为产品,由于担心华为设备是由中国政府控制的,或者华为会接到北京方面的命令,有可能破坏其安全保护措施。
虽然地缘政治语话变得激烈,但该报告得出的结论是,华为代码中的缺陷与“基础工程能力和网络安全卫生”有关,漏洞可以被任何人利用。该报告没有得出“漏洞是为中国政府故意创建的后门“的结论。 这些漏洞也可能被美国间谍机构和五眼联盟的其他部分所利用,但这对白宫来说似乎不那么重要。
“没有后门,因为华为不需要后门。它有一个前门,”前国务院官员兼战略与国际研究中心技术与公共政策项目主任 James Lewis 说。“英国政府在中国黑客攻击方面存在很多问题。并不是说瑞典黑客每周都会闯入窃取英国知识产权的行列。如果华为是瑞典公司或巴西公司,那么就不会有这些麻烦。但它被视为一个非常激进的中国政府的工具。“
自2012年国会关于该公司产品可能构成的国家安全威胁的报告发布以来,美国电信公司在很大程度上避开了华为。特朗普一直在考虑一项行政命令,以全面禁止该公司的设备。但包括英国在内的其他国家的网络运营商已经开始努力安全地整合华为的有效低成本无线设备。英国甚至在2010年建立了华为网络安全评估中心,以审核华为的硬件和软件。
正是该中心的监督委员会制作了这份报告。 该文件指出他们甚至难以确定集团审计的代码是否与华为产品中实际运行的代码相同。
在某种程度上,评估华为产品风险的挑战 涉及如何准确审查专有软件完整性的更大的行业性问题 。报告中披露的一些系统性安全漏洞基本上是费力的,但安全分析师指出,这种类型的审计可能会揭示大多数公司产品的尴尬疏忽 — — 即使华为的错误更加严重。
“公司显然更愿意不接受安全审计,因此他们有内部安全标准和质量保证,”Lukasz Olejnik 说,他是牛津大学技术与全球事务中心的独立网络安全顾问和研究助理。
虽然报告没有得出华为产品包括邪恶后门的结论,但它所揭露的问题的严重程度仍可能会推动白宫引导美国及其盟友远离华为的努力。英国已经尝试将华为的产品安全地融入其电信基础设施近十年,但该报告指出,该国的风险敞口可能太大,无法自行缓解。
“英国长期以来一直试图将信任和间谍事务与技术方面分离开来,认为技术风险是可控的,无论如何总是存在风险,”Olejnik 说,“但该报告似乎破坏了过去对英国管理华为风险能力的保证。”
华为认为,它正在努力加强其工程工作流程中的安全保护,并表示它支持行业和国际监管机构之间的协作,以确保全球电信网络的强大安全性。
“2019年 HCSEC 监督委员会报告详细介绍了对华为软件工程能力的一些担忧,”该公司在一份声明中表示,“所确定的问题……为我们的软件工程能力的持续转变提供了重要的提示”。该公司已承诺投资20亿美元用于改进工程。
不过,经过多年的经验,观察人士表示很难相信华为会优先考虑做出重大改变。特别是如果该公司看到设计错误带来的好处的话。
“ T here is no backdoor, because Huawei doesn’t need a backdoor. It has a front door,” HUAWEI’S PROBLEM ISN’T CHINESE BACKDOORS. IT’S BUGGY SOFTWARE
文章版权归原作者所有。
