После публичного давления на своих союзников запретить оборудование Huawei в своих сетях 5Gофициальные лица США теперь публично обвиняют китайского телекоммуникационного гиганта в том, что он может шпионить за мобильными данными. Утверждения, переправу не провела обыск Wall Street Journal во вторник, представляют собой первую конкретную озабоченность, которую США выразили в отношении Huawei после нескольких месяцев концептуальных споров.
Детали обвинения остаются расплывчатыми, что указывает на то, что Huawei может шпионить за точками доступа, предназначенными для правоохранительных органов. Официальные лица США в разговоре с журнал по-видимому, отказался сообщить, действительно ли компания сделала это. Но хотя предположение о потенциальном механизме ненадлежащей слежки обостряет дебаты между США и Huawei, оно также намекает на более глубокое самосознание со стороны официальных лиц США. По правде говоря, разведывательное сообщество опасается Huawei по одной фундаментальной причине: Китай воспользуется любым возможным преимуществом, как это делали США в прошлом.
Официальные лица США ранее заявляли, что им не нужно оправдывать свои сомнения в отношении Huawei и возможности того, что оборудование компании может содержать лазейки китайского правительства. Но ряд союзников США придерживаются другого подхода к работе с телекоммуникационным гигантом, надеясь управлять потенциальными рисками, а не полностью запрещать оборудование Huawei. Соединенное Королевство, например, в течение многих лет содержало аудиторское учреждение в Китае рядом со штаб-квартирой Huawei. И Анализ безопасности Великобритании за прошлый год обнаружил, что у Huawei есть более насущные проблемы безопасности из-за небрежного, ошибочного кода, чем из-за китайского шпионажа. Между тем, законодательный орган Германии вскоре проголосует за законопроект, который позволит использовать оборудование Huawei в немецкой инфраструктуре 5G, если телекоммуникации обещают целостность своих средств защиты.
Тем не менее, исследователи говорят, что неясно, что именно США заявляют на техническом уровне своими новыми утверждениями о том, что Huawei поддерживает доступ к сети, которого нет у других производителей.
«Нам потребуется больше деталей, чтобы сделать какие-либо выводы», — говорит Лукаш Олейник, независимый исследователь и консультант по кибербезопасности. «Мы знаем, что формы технического законного перехвата характерны для всех поколений спецификаций сотовой связи. Но неясно, какие должностные лица в Wall Street Journal история относится именно к этому».
Если Huawei злоупотребляет возможностями доступа правоохранительных органов для тайного сбора или перенаправления данных о пользовательских сообщениях, это может быть примером тех типов бэкдоров, о которых предупреждают официальные лица США.
«Замечания, сделанные официальными лицами США, полностью игнорируют огромные инвестиции и передовой опыт Huawei и операторов связи в области управления рисками кибербезопасности», — говорится в сообщении компании. заявление. «Мы очень возмущены тем, что правительство США приложило все усилия, чтобы заклеймить Huawei, используя вопросы кибербезопасности».
Huawei последовательно и решительно отрицает, что она ведет неправомерную слежку или что она сотрудничает с правительством Китая, создавая лазейки в своих сетевых системах. Но правительственные чиновники США указали, что Китай является авторитарным государством, которое поддерживает законы о корпоративном сотрудничестве с требованиями правительства.
Кроме того, США слишком хорошо знают, что в частные компании можно внедриться для шпионажа или технического контроля. Возьмем, к примеру, швейцарскую компанию по обеспечению безопасности связи и оборудования Crypto AG, которая десятилетиями работала под секретным контролем американской разведки. Компоненты схемы стали известны с годами, но Crypto AG продолжала работать до 2018 года, продавая инструменты безопасности с ослабленным шифрованием иностранным правительствам. В наиболее полном изложении операции на сегодняшний день Washington Post переправу во вторник, что Crypto AG находилась в совместном владении и управлении с 1940-х годов ЦРУ и западногерманской разведки (позднее немецкое агентство BND) до начала 1990-х годов, когда BND продала свою долю ЦРУ.
По данным агентства, у Crypto AG был сильный бизнес по продаже оборудования для обеспечения безопасности более чем в 120 странах. Washington Postвключая Индию, Пакистан и Иран. Советский Союз и Китай никогда не покупали оборудование Crypto AG, по-видимому, из-за опасений по поводу связей с западными правительствами.
Даже с новым слоем обвинений дело против Huawei по-прежнему сводится к тому, как страны планируют управлять».цепочками поставок"проблемы безопасности. Если вы не доверяете организации, производящей технические инструменты, или среде, в которой они были созданы, вы должны рассмотреть возможность того, что оборудование было создано со скрытым бэкдором или другим фундаментальным недостатком. Опять же, не смотрите дальше США. : Отчеты за 2013 г. показал, что Агентство национальной безопасности США физически перехватило и добавило технические бэкдоры к корпоративному ИТ-оборудованию, такому как продукты Cisco и Juniper Networks, для расширения доступа к данным.
Вот почему так сложно управлять рисками в частной компании с помощью частичных мер, подобных тем, которые использует Великобритания. Очень сложно проверять готовые к продаже устройства на наличие преднамеренных бэкдоров, особенно тех, которые предназначены для почти незаметного ослабления алгоритмов шифрования. Вам нужно как точно перепроектировать код, чтобы точно понять, как функционирует система, так и затем провести исчерпывающий математический анализ криптографии. Каким бы тщательным ни был этот процесс, всегда есть возможность, что хорошо продуманные недостатки могут остаться незамеченными.
«Каждая организация должна понять и согласиться с тем, что они не могут полностью проверить код шифрования на устройствах, которые они используют для защиты своих данных», — говорит Джейк Уильямс, бывший аналитик АНБ и основатель охранной фирмы Rendition Infosec. «И существует история потенциального взлома оборудования государственными учреждениями по всему миру. Поэтому организациям необходимо выбирать оборудование, которое в случае взлома представляет наименьший риск. Безопасность цепочки поставок — это медведь».
Таким образом, дебаты о Huawei продолжают идти по кругу. Независимо от последних разоблачений, остается вопрос, является ли риск управляемым, или же США и их союзники должны вообще отказаться от Huawei.
«Технологии как никогда важны для национальной безопасности, — говорит Олейник. «Как правило, важен контроль над аппаратным и программным обеспечением, снизу вверх, весь стек. Кому вы доверяете? Это вопрос цифрового суверенитета».
Когда дело доходит до оборудования, находящегося в центре беспроводных сетей США, вы можете начать понимать основные опасения правительства США в отношении Huawei. Особенно с учетом того, что США сами внедряют лазейки в технологии по всему миру.
Обновлено в среду, 12 февраля 2020 г., в 1:45 по восточному времени, чтобы включить комментарий от Huawei.
Прочитайте больше: https://www.wired.com/story/huawei-backdoors-us-crypto-ag/
