Storbritannien har problem att säkerhetsgranska Huaweis mjukvara – eftersom den är så dålig. Huawei säger sig behöva 3–5 år att åtgärda alla bakläxor i årets säkethetsgranskning.
HUAWEIS FULKODHär är några exempel på de problem som HCSEC pekar ut i Huawies mjukvara • I ett realtidsoperativsystem kommer skilda tillämpningsprogram teoretiskt åt varandras data (de körs i samma ”user space”). Det betyder att cpu:n inte kan ge något stöd för att buggar eller intrång sprider sig mellan olika tillämpningar. Det är bättre utvecklingshygien att sjösätta programvara på ett sådant att cpu:n automatiskt kan spärra sådana smittvägar. • Det finns ingen metod för att verifiera att den kod som HCSEC granskar faktiskt skulle bete sig på samma sätt om den sjösates skarpt i Storbritannien • HCSEC tycker att Huaweis lösningar är onödigt röriga. Till exempel kunde HCSEC räkna till 70 stycken kopior av fyra olika OpenSSL-implementeringar i olika delar av mjukvaran. Dessa versioner var i sin tur sammansatta av kod från 14 olika OpenSSL-versioner. En del av denna kod innehöll kända säkerhetshål – tio stycken – varav ett var från år 2006. • Huaweis utvecklare har föredömligt definierat en säkrare minneskopieringsfunktion än den som finns inbyggd i programspråket C (memcopy). Men å andra sidan hittar HCSEC annan kod som byter ut referenser till den säkra versionen mot den osäkra standardversionen. |
Den brittiska organisationen HCSEC granskar sedan 2010 källkoden till Huaweis telekomsystem. Den senaste rapporten har nu publicerats öppet och innehåller svidande kritik av Huaweis kompetens.
Under rubriken ”Supporting Technical Evidence” listar HCSEC problem som hittats i Huaweis mjukvara och i de arbetsmetoder som företaget använder för att ta fram dem.
HCSEC betyder ”Huawei Cyber Security Evaluation Centre” och skapades som namnet säger för att säkerhetgranska den kinesiska telekomleverantören. HCSEC har fria händer att undersöka programkod och hårdvara. Syftet är att säkerställa att Huaweis system är säkra mot intrång och dessutom transparenta så att de exempelvis inte kan användas av staten Kina för att spionera.
HCSEC har inte hittat några bakdörrar. Men det betyder inte att de inte finns, så det räcker inte för en godkäntstämpel.
Huawei får flera stränga tillsägelser: koden är rörig, det finns begränsningar som gör systemet onödigt sårbart, och mjukvaruavdelningen tycks inte arbeta systematiskt. Allt detta gör att det blir alldeles för svårt och kanske till och med omöjligt för HCSEC att verifiera att Huweais system går att lita på.
– Vi fortsätter att hitta allvarliga sårbarheter i de Huaweiprodukter vi undersöker, skriver HCSEC.
– En angripare som känner till sårbarheterna och har tillgång till telekomsystem skulle kunna påverka hur nätverket fungerar och skaffa sig tillgång till användarnas kommunikation eller omkonfigurera nätverkets komponenter.
Hur illa rapporten än låter, så läckte säkerhetsmyndigheten NCSC till tidningen Financial Times i februari att riskerna trots allt skulle kunna hanteras i ett 5G-nät levererat av Huawei.
Den nya rapporten konstaterar att detta i så fall kräver att Huaweis system kompletteras med extra skyddsåtgärder och administration. Och rapporten är inte alls säker på att detta ändå är tillräckligt.
– Vi kan precis som tidigare endast ge begränsade garantier för att säkerhetsrisker på sikt är hanterbara inom de system från Huawei som idag används i Storbritannien.
HCSEC tror inte att rörigheten härstammar från påverkan från kinesiska staten utan hävdar rakt ut att det är i kompetensen det brister.
– HCSEC:s arbete har synliggjort allvarliga och systematiska brister i Huaweis kompetens inom cybersäkerhet och mjukvarukonstruktion.
Huawei har tidigare utlovat stora satsningar på mjukvarukonstruktion och säkerhet – två miljarder dollar. Men HCSEC säger sig inte ha sett dem infrias och beskriver dessa löften som blott ett ”initialt budgetförslag för hittills ospecificerade aktiviteter”. HCSEC kräver mer detaljerade förslag och bevis på att reformer i utvecklingsprocessen faktiskt tillämpas, och på ett sätt som gör att de har effekt på de produkter som hamnar i Storbritannien.
En del av kritiken fanns redan i fjolårets rapport från HCSEC, men har alltså ännu ej åtgärdats.
Enligt HCSEC kan bristerna inte åtgärdas bara i mjukvara utan det krävs också ny hårdvara i systemen.
Åtgärderna syftar till att öka Huaweis motståndskraft mot intrång. Men inte bara säkerheten i Huaweis system skulle höjas om granskningens rekommendationer följdes, utan också kvaliteten på koden enligt andra mått.
Huaweis konkurrenter behöver inte stå nakna i rampljuset på samma sätt, så hur mycket de skulle ha att skämmas över är en intressant fråga.
– Det är ju bra att specifika sårbarheter identifieras, men andra leverantörer utsätts inte för samma djupa granskning. Vi kan inte veta – i alla fall inte på den här nivån – att deras produkter är mer säkra, säger säkerhetsexperten Rob Pritchard till tidningen The Register.
Huawei har ingen kritk mot innehållet i rapporten, utan berömmer HCSEC:s arbete som effektivt. Huawei skriver i första paragrafen i sin kommentar att det kanske inte existerar någon mer rigorös granskning än denna.
Enligt Financial Times har Huawei sagt att det kan ta tre till fem år att åtgärda alla punkter i rapporten.
Du kan läsa rapporten här (länk pdf).