Arról továbbra sincs bizonyíték, hogy a kínai gyártó szándékosan építene hátsó kapukat a termékeibe, de a rossz minőségű kódok és a félprofi problémakezelés majdnem ugyanilyen eredményre vezet.

Az olasz Swascan kutatói néhány nappal ezelőtt tették közzé a cég hivatalos blogján, hogy kritikus sérülékenységeket fedeztek fel a Huawei bizonyos webes alkalmazásainak és szervereinek működésében. A milánói székhelyű biztonsági cég szerint a hibákat kihasználva a potenciális támadók ügyféladatokhoz férhetnek hozzá, és beavatkozhatnak a vállalati rendszerek egyes folymataiba is. Ennél pontosabb információ azonban nem áll rendelkezésre a felfedezett sebezhetőségekről, a Huawei ugyanis a hibákat jelentő Swascannek nem engedélyezte a problémák részletesebb bemutatását.

A társaság csak a bugok természetéről írt egy szűkszavú közleményben: ennek alapján a lefoglalt memóriaterületen túli írás-olvasással és az operációs rendszereken távoli parancsfuttatással kapcsolatos támadások lehetőségéről van szó, amit a biztonsági kutatók a The Register kérdésére meg is erősítettek. Ahogy azt a lap beszámolója is kiemeli, a Huaweinek természetesen nincs semmiféle kötelezettsége a hibák pontos közzétételére, sőt az iparágban az sem lenne példa nélküli, ha teljes titoktartásra kötelezné a sérülékenységeket jelentő szakembereket.

A dolognak az ad némi jelentőséget, hogy ebben az esetben bevallottan kritikus problémákról beszélünk egy olyan társaság esetében, amely korábban már előadta, hogy a routereiben talált sérülékenységeket évekkel azután sem javította, hogy arról külső szervezetnél dolgozó szakemberek értesítették a vállalatot. Ugyanakkor az Egyesült Királyságban működő Huawei Cyber Security Assessment Center (HCSAC) tavasszal kiadott jelentése alapján a központ több száz komoly sebezhetőséget talált a cég termékeiben az előző év során, melyek kapcsán kiderült, hogy néhány korábban már azonosított problémát sem hárított el a kínai gyártó.

Időnként évekig is ülnek a frissítéseken

A Huawei az utóbbi időben az amerikai-kínai kereskedelmi háború egyik központi szereplőjévé vált, miután az Egyesült Államokban nemzetbiztonsági kockázatokra hivatkozva feketelistáta kerültek a cég termékei, közülük is elsősorban a Kínából származó telekommunikációs hálózati eszközök. Szándékos, kémkedésre alkalmas hátsó kapukról eddig senki sem mutatott be bizonyítékokat a Huawei gyártmányaiban (ilyenekről a HCSAC jelentésében sincs szó), azt viszont már sokadszor állapították meg, hogy a Huaweitől egyszerűen nem megfelelő színvonalú kódok kerülnek ki, és gyakran a fejlesztések során követendő biztonsági szabályokra sem figyelnek.

Az amerikai, IoT-rendszerekkel kapcsolatos biztonsági szolgáltatásokat nyújtó Finite State a múlt hónapban közölt hasonló megállapításokat. A cég a Huawei 558 különféle vállalati hálózati termékét vizsgálta meg közel 10 ezer firmware-kép és a hozzájuk kapcsolódó 1,5 millió fájl elemzésével, ami praktikusan 2019 áprilisáig a Huawei által kiadott firmware-ek 14 évét ölelte fel. A kutatás megállapításai nagyjából úgy foglalhatók össze, hogy az iparág legkevésbé biztonságos eszközeiről van szó – a Finite State is arra a következtetésre jutott, hogy a gyártó egyes termékei nagyon komoly biztonsági kockázatokat hordoznak, és ismét csak nem a szándékos ügyeskedés, hanem az elégtelen mérnöki munka miatt.

Elméletben persze nem zárható ki, hogy a felfedezett, potenciális hátsó kapukat rejtő sebezhetőségek szándékosan hibás konfiguráció eredményei, ami azért is érdekes, mert 2016 óta a kínai cégeket törvény kötelezi az ottani hírszerző szolgálatokkal való együttműködésre. Éppen ez az amerikai kifogások alapja, függetlenül attól, hogy hibák más gyártók termékeiben is előfordulnak, és éppen az USA a legjobb példa rá, hogy a piaci cégek titkosszolgálati megkörnyékezése vagy az államilag szponzorált kiberkémkedés nem kizárólag a kínaiak hitbizománya.

A Huawei természetesen nem győzi hangsúlyozni, hogy prioritásként kezeli a kiberbiztonságot, és aktívan folytatja műszaki eljárásainak és kockázatkezelési rendszereinek fejlesztését. A témában megszólaló szakértők már korábban is a beszállítói lánc problémáira hívták fel a figyelmet, ami klasszikus támadási vektornak számít nem csak az infrastrukturális elemek tesztüzemét, hanem a tömeges gyártás és szállítás ellenőrzését is beleértve.

Ahogy július elején mi is beszámoltunk róla, hogy a G20-as országok csúcstalálkozóján az amerikai fél bejelentette a Huawei elleni szankciók részleges feloldását, ami a gyakorlatban azt jelenti, hogy a kínai gyártó eszközei ezután is tiltólistán maradnak az Egyesült Államokban, de az amerikai szállítók ismét eladhatnak majd bizonyos technológiákat és technológiai termékeket a kínaiaknak. A Reuters riportjából ugyanakkor az is kiderült, hogy az exportszabályozásért felelős amerikai kormányügynökség tisztviselőinek egy belső iránymutatás szerint a lehető legszigorúbb módon kell elbírálniuk a technológiai kivitel iránti céges kereseteket.

Biztonság

IKEA bútorok összeszerelésével szívatják az ipari robotokat

Az USC kutatói olyan tesztkörnyezetet fejlesztettek ki, amely reményeik szerint alkalmas lesz az összetett manipulációs feladatok hatékonyságának mérésére és felgyorsítására.
 
Nem elég beszélni róla, tenni is kell azért, hogy jövőállóbbak legyenek a vállalatok. Szerencsére ebben rengeteg technológia áll már a rendelkezésre, csak győzzünk válogatni közöttük.

a melléklet támogatója az Invitech

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2019 Bitport.hu Média Kft. Minden jog fenntartva.