„Huawei“ („Souce“ - „Huawei“ spaudos renginys)
JAV jau seniai tvirtina, kad „Huawei“ kelia grėsmę savo skaitmeniniam saugumui. Apsaugos bendrovė teigia, kad nemažai programinės įrangos, kurią įdiegė Kinijos įmonė, aptiko keletą potencialiai išnaudojamų užpakalinių durų. Įsibėgėjus lenktynėms dėl 5G tinklų diegimo, tokie teiginiai gali dar labiau pakenkti telekomunikacijų ir tinklų milžinės verslo perspektyvoms visame pasaulyje.
IoT saugumo firmos „Finite State“ tyrėjai, matyt, atskleidė, kad daugiau nei pusė Kinijos telekomunikacijų milžinės „Huawei“ įrangos turi „bent vieną potencialų užnugarį“. Yra rimtų įrodymų, kad „Huawei“ tinklo įrenginio programinė aparatinė įranga turi trūkumų, kuriuos buvo galima panaudoti sąmoningai, kad jie taptų pažeidžiami. Tyrinėdama „Huawei“ programinę įrangą, įdiegtą jos tinklo įrangoje, bendrovė teigė: „Yra daug įrodymų, kad„ Huawei “programinėje programinėje įrangoje yra daugybė atminties sugadinimo nulinės dienos pažeidžiamumų. Apibendrinant galima pasakyti, kad jei įtrauksite žinomas nuotolinės prieigos spragas ir galimas užpakalines duris, atrodo, kad „Huawei“ įrenginiams gresia didelė galimo kompromiso rizika.
Atrodo, kad „Finite State“ saugumo tyrėjų padarytos išvados yra gana panašios į tai, ką anksčiau šį mėnesį padarė JK Nacionalinio kibernetinio saugumo centro (NCSC), šnipų agentūros GCHQ padalinio, techninis direktorius Ianas Levy. Tada Levy ką tik baigė vertinti „Huawei“ įrangą dėl nuolatinių teiginių, kad Kinijos bendrovės 5G tinklo įrangą Kinija gali naudoti plačioms valstybės remiamoms šnipinėjimo kampanijoms vykdyti. Levy visiškai teigė, kad saugumo priemonės, kurias „Huawei“ pritaikė savo įrangoje, buvo „objektyviai blogesnės ir menkesnės“, palyginti su visais jos konkurentais laidinio ir belaidžio tinklo versle. „Žiūrint iš techninio tiekimo grandinės saugumo požiūriu,„ Huawei “įrenginiai yra vieni blogiausių, kuriuos mes kada nors analizavome“, - tvirtino Levy.
tyrėjai pažymėjo savo ataskaitoje nepaisant viešų „Huawei“ įsipareigojimų pagerinti saugumą, analizė atskleidė, kad „Huawei“ laikysena „laikui bėgant“ iš tikrųjų „mažėja“. Tyrėjai teigė, kad jie ištyrė apie 558 „Huawei“ įmonių tinklo produktus. Pranešama, kad jie sušukavo 1,5 milijono failų per maždaug 10 000 programinės aparatinės įrangos vaizdų.
„Huawei“ paliko daugiau nei šimtą saugumo trūkumų ir pažeidžiamumų?
Analizė akivaizdžiai atskleidė, kad daugiau nei 55 proc. Programinės aparatinės įrangos vaizdų turi bent vieną potencialų užpakalinę durį. Kai kuriose dėmesio vertose spragose ir, atrodytų, tyčinėse programinės aparatinės įrangos bylose esančiose spragose, yra sudėtingai užkoduoti kredencialai, kurie gali būti naudojami kaip užpakalinė dalis, nesaugus kriptografinių raktų naudojimas. Bendrovė taip pat teigė pastebėjusi „prastos programinės įrangos kūrimo praktikos požymių“. Apskritai „Finite State“ teigia, kad kiekviename „Huawei“ programinės aparatinės įrangos vaizde vidutiniškai aptiko apie 102 žinomus pažeidžiamumus. Pranešama, kad taip pat buvo daugybė nulinės dienos pažeidžiamumų.
„„ Huawei “yra sisteminė problema, ir tai mes čia galime parodyti“. Didelio masto „Huawei“ tinklo įrangos saugumo tyrimas nustato, kad Kinijos firmos įranga kelia didelę riziką vartotojams @globeandmail https://t.co/da3nnnAwdC
- Stevenas Chase'as (@stevenchase) 2019 m. Birželio 26 d
Vienas įdomus aspektas, iškilęs analizės metu, buvo „Huawei“ atvirojo kodo programinės įrangos komponentų naudojimas. „Huawei“ reguliariai rėmėsi „OpenSSL“. Atvirojo kodo platforma yra dažniausiai naudojama kriptografinė biblioteka, skirta apsaugoti ir šifruoti skaitmeninius ryšius. Paprastais žodžiais tariant, „OpenSSL“ dažnai naudoja svetainės, kad įgalintų HTTPS. Pranešama, kad „Huawei“ nesugebėjo atnaujinti tokios atvirojo kodo programinės įrangos, tvirtino saugumo tyrėjai. „Vidutinis trečiųjų šalių atvirojo kodo programinės įrangos komponentų amžius„ Huawei “programinėje įrangoje yra 5,36 metai.“ Be to, yra „tūkstančiai komponentų, kuriems yra daugiau nei 10 metų, egzempliorių“. Akivaizdu, kad dėl kai kurios pasenusios ir pasenusios programinės įrangos „Huawei“ įranga buvo pažeidžiama liūdnai pagarsėjusio „Heartbleed“ - labai pagarsėjusio ir plačiai paplitusio viruso - dar 2011 m.
Ar vienintelė „Huawei“ įmonė naudoja atvirojo kodo programinę įrangą?
Svarbu pažymėti, kad bendrovės, panašios į „Huawei“, dažnai pasikliauja atvirojo kodo programine įranga, kad pagreitintų programinės įrangos kūrimą ir diegimą aparatinėje įrangoje. Be to, šios įmonės dažnai atranda užpakalines duris ir pažeidžiamumus ir skuba jas lopyti. Iš esmės tai yra labai įprasta praktika. Bet net svarbu tai, kad įmonės dažnai atnaujina programinę įrangą ir bando naudoti naujausią arba stabiliausią versiją, kurioje yra keli klaidų taisymai.
Singapūras palaiko galimybes „Huawei“ ir 5G tinkluose https://t.co/kXLKx2TFVG
- Faisalas S. (@ whiz913) 2019 m. Birželio 27 d
Šiuo metu pagrindiniai „Huawei“ konkurentai yra „Ericsson“, „Nokia“ ir „Cisco“. Beje, visos šios kompanijos kuria savo spartaus, ypač mažo delsos 5G tinklo įrangos pakartojimus. Šios organizacijos vis dar vertina optimaliausią aparatūros derinį, kad atitiktų daugelį 5G reikalavimų, įskaitant patikimą prisijungimą prie daiktų interneto (IoT) įrenginių, prijungtus automobilius ir kitus elektroninius prietaisus. Nors „5G“ remiasi nusistovėjusiomis technologijomis ir ryšio protokolais, platforma turi naudoti daug pažangiausių technologijų. Be to, naujasis mobiliojo ryšio standartas turi daug didesnį pasiekiamumą, palyginti su visais ankstesniais standartais. Todėl labai svarbu nustatyti tvirtą saugumą ir užkirsti kelią duomenų pažeidimams ar informacijos nutekėjimui.
Žymos „Huawei“
![[FIX] „Nepavyksta atsisiųsti„ Forza Motorsport: Apex ““ iš „Microsoft Store“](https://jf-balio.pt/img/how-tos/84/can-t-download-forza-motorsport.jpg)
