Arról továbbra sincs bizonyíték, hogy a kínai gyártó szándékosan építene hátsó kapukat a termékeibe, de a rossz minőségű kódok és a félprofi problémakezelés majdnem ugyanilyen eredményre vezet.
Hirdetés
 

Az olasz Swascan kutatói néhány nappal ezelőtt tették közzé a cég hivatalos blogján, hogy kritikus sérülékenységeket fedeztek fel a Huawei bizonyos webes alkalmazásainak és szervereinek működésében. A milánói székhelyű biztonsági cég szerint a hibákat kihasználva a potenciális támadók ügyféladatokhoz férhetnek hozzá, és beavatkozhatnak a vállalati rendszerek egyes folymataiba is. Ennél pontosabb információ azonban nem áll rendelkezésre a felfedezett sebezhetőségekről, a Huawei ugyanis a hibákat jelentő Swascannek nem engedélyezte a problémák részletesebb bemutatását.

A társaság csak a bugok természetéről írt egy szűkszavú közleményben: ennek alapján a lefoglalt memóriaterületen túli írás-olvasással és az operációs rendszereken távoli parancsfuttatással kapcsolatos támadások lehetőségéről van szó, amit a biztonsági kutatók a The Register kérdésére meg is erősítettek. Ahogy azt a lap beszámolója is kiemeli, a Huaweinek természetesen nincs semmiféle kötelezettsége a hibák pontos közzétételére, sőt az iparágban az sem lenne példa nélküli, ha teljes titoktartásra kötelezné a sérülékenységeket jelentő szakembereket.

A dolognak az ad némi jelentőséget, hogy ebben az esetben bevallottan kritikus problémákról beszélünk egy olyan társaság esetében, amely korábban már előadta, hogy a routereiben talált sérülékenységeket évekkel azután sem javította, hogy arról külső szervezetnél dolgozó szakemberek értesítették a vállalatot. Ugyanakkor az Egyesült Királyságban működő Huawei Cyber Security Assessment Center (HCSAC) tavasszal kiadott jelentése alapján a központ több száz komoly sebezhetőséget talált a cég termékeiben az előző év során, melyek kapcsán kiderült, hogy néhány korábban már azonosított problémát sem hárított el a kínai gyártó.

Időnként évekig is ülnek a frissítéseken

A Huawei az utóbbi időben az amerikai-kínai kereskedelmi háború egyik központi szereplőjévé vált, miután az Egyesült Államokban nemzetbiztonsági kockázatokra hivatkozva feketelistáta kerültek a cég termékei, közülük is elsősorban a Kínából származó telekommunikációs hálózati eszközök. Szándékos, kémkedésre alkalmas hátsó kapukról eddig senki sem mutatott be bizonyítékokat a Huawei gyártmányaiban (ilyenekről a HCSAC jelentésében sincs szó), azt viszont már sokadszor állapították meg, hogy a Huaweitől egyszerűen nem megfelelő színvonalú kódok kerülnek ki, és gyakran a fejlesztések során követendő biztonsági szabályokra sem figyelnek.

Az amerikai, IoT-rendszerekkel kapcsolatos biztonsági szolgáltatásokat nyújtó Finite State a múlt hónapban közölt hasonló megállapításokat. A cég a Huawei 558 különféle vállalati hálózati termékét vizsgálta meg közel 10 ezer firmware-kép és a hozzájuk kapcsolódó 1,5 millió fájl elemzésével, ami praktikusan 2019 áprilisáig a Huawei által kiadott firmware-ek 14 évét ölelte fel. A kutatás megállapításai nagyjából úgy foglalhatók össze, hogy az iparág legkevésbé biztonságos eszközeiről van szó – a Finite State is arra a következtetésre jutott, hogy a gyártó egyes termékei nagyon komoly biztonsági kockázatokat hordoznak, és ismét csak nem a szándékos ügyeskedés, hanem az elégtelen mérnöki munka miatt.

Elméletben persze nem zárható ki, hogy a felfedezett, potenciális hátsó kapukat rejtő sebezhetőségek szándékosan hibás konfiguráció eredményei, ami azért is érdekes, mert 2016 óta a kínai cégeket törvény kötelezi az ottani hírszerző szolgálatokkal való együttműködésre. Éppen ez az amerikai kifogások alapja, függetlenül attól, hogy hibák más gyártók termékeiben is előfordulnak, és éppen az USA a legjobb példa rá, hogy a piaci cégek titkosszolgálati megkörnyékezése vagy az államilag szponzorált kiberkémkedés nem kizárólag a kínaiak hitbizománya.

A Huawei természetesen nem győzi hangsúlyozni, hogy prioritásként kezeli a kiberbiztonságot, és aktívan folytatja műszaki eljárásainak és kockázatkezelési rendszereinek fejlesztését. A témában megszólaló szakértők már korábban is a beszállítói lánc problémáira hívták fel a figyelmet, ami klasszikus támadási vektornak számít nem csak az infrastrukturális elemek tesztüzemét, hanem a tömeges gyártás és szállítás ellenőrzését is beleértve.

Ahogy július elején mi is beszámoltunk róla, hogy a G20-as országok csúcstalálkozóján az amerikai fél bejelentette a Huawei elleni szankciók részleges feloldását, ami a gyakorlatban azt jelenti, hogy a kínai gyártó eszközei ezután is tiltólistán maradnak az Egyesült Államokban, de az amerikai szállítók ismét eladhatnak majd bizonyos technológiákat és technológiai termékeket a kínaiaknak. A Reuters riportjából ugyanakkor az is kiderült, hogy az exportszabályozásért felelős amerikai kormányügynökség tisztviselőinek egy belső iránymutatás szerint a lehető legszigorúbb módon kell elbírálniuk a technológiai kivitel iránti céges kereseteket.

Biztonság

Kikupálódott a szingapúri dohányosokra vadászó MI

A szigorú törvényeiről és magas technológiai szintjéről ismert városállam a tilos helyen dohányzókat is automatikus megfigyeléssel igyekszik tetten érni.
 
Hirdetés

A NIS2-megfelelőség néhány technológiai aspektusa

A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.

Az uniós direktíva felpezsdíti a magyar kiberbiztonsági piacot, az auditokból átfogóbb képet kapunk a gazdaság és az ország kiberképességeiről is. Interjú dr. Bencsik Balázzsal, az SZTFH kibervédelmi igazgatójával.

a melléklet támogatója a RelNet Technológia Kft.

CIO KUTATÁS

TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?

Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »

Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!

LÁSSUNK NEKI!

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.