Новый отчёт о безопасности Huawei: Britain GCHQ Security Report

The overview of Britain GCHQ report from various media (in Russian). 

28 марта Британское правительство опубликовало отчёт о рисках безопасности, которые компания Huawei может представлять для телекоммуникационных сетей Великобритании.

Вчера это вызвало целую волну публикаций в западных медиа, как технологических, так и общественных.

Издание LA Times пишет, что Лондон пока не пришёл к окончательным выводам, стоит ли прислушаться к призывам США о запрете оборудования 5G Huawei из-за опасений, что оно позволит получать секретные данные для китайского правительства, а также из-за теоретической возможности кибератак. Huawei присутствует на  сети оператора British Telecom с 2003 года.

В отчёте штаб-квартиры правительственной связи GCHQ (Government Communications Headquarters, для Британии это примерно то же, что и Агентство национальной безопасности США), основное внимание уделено имевшим место инженерным неполадкам и программным сбоям оборудования Huawei. Второй год подряд GCHQ выявляет серьёзные проблемы в оборудовании и программном обеспечении Huawei. В этом году представители GCHQ заявили, что они снова обнаружили «существенные технические проблемы» в инженерных процессах фирмы, а также новые «серьезные проблемы» в программном обеспечении Huawei, «приводящие к дополнительным рискам» в сетях связи 4G.

GCHQ заявила, что она может обеспечить «лишь ограниченную гарантию» того, что долгосрочные риски национальной безопасности можно будет устранить на развёрнутом в Великобритании оборудовании Huawei, и что «будет трудно» управлять риском будущих продуктов, пока имеющиеся недостатки не будут устранены.

Соединенные Штаты в последнее время развернули массированную кампанию, убеждая другие страны воздержаться от установки оборудования Huawei 5G. Принятые недавно в Китае законы требуют, чтобы китайские фирмы, в случае обращения госорганов, помогали им в сборе информации. Представители национальной безопасности США утверждают, что подобные законы, а также предполагаемые связи компании Huawei с китайским правительством и обвинения в краже интеллектуальной собственности, делают компанию ненадёжным поставщиком, и установка её оборудования на сетях связи может даст возможность негласно получать данные, или даже проводить кибератаки.

Однако GCHQ, похоже, предоставила Huawei некоторый простор для маневра, в том случае, если «план трансформации Huawei» будет успешно выполняться течение следующих 3-5 лет. Тем не менее, правительство Великобритании потребует веских доказательств «устойчивых изменений» в компании Huawei, заявила GCHQ.

GCHQ курирует Центр оценки кибербезопасности Huawei HCSEC (Huawei Cyber Security Evaluation Centre), подразделение Huawei в Оксфордшире, Великобритания. В центре работает персонал Huawei, но GCHQ управляет Центром. Выводы HCSEC носят рекомендательный характер, и задача наблюдательного совета GCHQ не состоит в том, чтобы решить, следует ли запретить оборудование Huawei, однако результаты отчёта GCHQ могут повлиять на стратегию развития 5G, которую британское правительство объявит этой весной.

«Суровое заключение этого доклада должно предостеречь любую страну, которая рассматривает возможность использования Huawei для 5G», – сказал Джеймс Льюис (James Lewis), эксперт по киберполитике Центра стратегических и международных исследований CSIS (Center for Strategic and International Studies). «Это ужасно для Великобритании, страны, которая сделала больше, чем любая другая страна, для снижения рисков Huawei. Ужасно, что компания не может справиться с будущими рисками использования её продуктов».

В прошлом году Конгресс США запретил компании Huawei, и другой китайской фирме, ZTE, устанавливать оборудование на сетях правительственных организаций США и их контрагентов. Четыре основных оператора США: AT&T, Verizon, Sprint и T-Mobile обязались не использовать оборудование Huawei в своих сетях 5G.

Австралия в прошлом году фактически заблокировала Huawei и ZTE на своих будущих сетях 5G, потребовав от операторов страны не использовать поставщиков, которые «могут быть подвержены внесудебным указаниям со стороны иностранных правительств, которые противоречат австралийскому законодательству», – сильный намек на китайские фирмы Huawei и ZTE.

Британия все ещё решает, какой будет ее стратегия развития 5G. GCHQ будет информировать о ходе обсуждений этого вопроса. GCHQ  также представила варианты, начиная от методов смягчения до полного запрета на такие компании, как Huawei. Решение других министерств и премьер-министра Великобритании ожидается этой весной.

На долю Huawei приходится примерно треть базовых станций мобильной сети British Telecom, а остальные две трети – Nokia и Ericsson.

Центр оценки безопасности Huawei HCSEC в Великобритании открылся в 2010 году. Надзорный совет GCHQ был создан в 2014 году, в связи с тем, что центр с его персоналом Huawei мог подвергаться влиянию со стороны Китая. Центром HCSEC управляет глава Национального центра кибербезопасности GCHQ, который также возглавляет наблюдательный совет.

В отчёте сделан вывод о том, что у GCHQ есть «серьёзные опасения по поводу уязвимостей Huawei в долгосрочной перспективе». Кроме того CGHQ заявила, что разработка программного обеспечения Huawei ведётся неэффективно и беспорядочно, «что ведёт к более высокому уровню уязвимости и значительному риску прекращения поддержки программного обеспечения».

Мэтью Грин (Matthew Green), специалист по информатике в Институте информационной безопасности Джонса Хопкинса (Johns Hopkins Information Security Institute), заявил, что GCHQ, по сути, говорит о том, что «Huawei не может разрабатывать критически важное программное обеспечение» (“Huawei can’t write software to save their lives”). Он также сказал, что GCHQ не может даже проверить, что программное обеспечение, которое работает на базовых станциях 4G LTE в Великобритании, на самом деле представляет собой то же программное обеспечение, которое было предоставлено Huawei для тестирования и сертификации.

В отчёте указывается на выявленный случай обнаружения 70 копий четырёх разных версий программного обеспечения OpenSSL, одного из наиболее часто используемых компонент программного обеспечения. «Это проблема, потому что некоторые старые версии OpenSSL имеют уязвимости, а это означает, что шифрование может быть ненадёжным», – сказал Грин.

Иначе говоря, у Huawei имеются также серьёзные проблемы и с апгрейдом программного обеспечения.

Представители Huawei неоднократно защищали свою компанию, заявляя, что они не внедряли и никогда не будут внедрять т.н. «задние двери» (Backdoors) для шпионажа в свои продукты. Тем не менее, наличие серьёзных недостатков программного обеспечения может сделать системы уязвимыми даже без преднамеренно установленных «довыборов».

В настоящее время оборудование Huawei не используется в ядре 4G British Telecom (только в сети доступа), в государственных сетях или в любых чувствительных системах, например, системах электроснабжения, транспорта или других критически важных отраслей.

***

Американское издание Fortune пишет, что GCHQ «не считает, что выявленные дефекты являются результатом вмешательства со стороны китайского правительства». Однако, ошибки в программном обеспечении достаточно серьёзны, и могут привести к остановке работы сети. И отчёт GCHQ представляет собой серьёзное обвинение в адрес Huawei.

Столкнувшись с проблемами в Великобритании, в 2010 году компания Huawei согласилась создать там лабораторию под названием Центр оценки кибербезопасности Huawei (HCSEC), где сотрудники Huawei будут помогать представителям GCHQ – британского аналога Агентства национальной безопасности США (NSA) – внимательно изучать оборудование и его программное обеспечение. Недавно Huawei создала другие лаборатории кибербезопасности в Германии и Бельгии, но они работают только с операторами, а не со спецслужбами.

Одна из основных проблем, согласно последнему отчёту GCHQ, заключается в том, что Huawei не может доказать, что код, представленный на проверку, это тот же код, который работает на оборудовании. Согласно отчёту, процесс разработки программного обеспечения Huawei – настолько запутанный и устаревший, что британским спецслужбам даже трудно анализировать ошибки. Эти недостатки уже обсуждались с Huawei, но предоставленный компанией план по решению данной проблемы был «неприемлемым» для спецслужб и сетевых операторов Великобритании, говорится в отчёте. Представители GCHQ были «не уверены, что Huawei сможет исправить существенное проблемы, с которыми сталкивается компания».

Более того, GCHQ отмечает, что ситуация продолжает ухудшаться. «Учитывая как недостатки в разработке программного обеспечения и практике кибербезопасности, так и неизвестную в настоящее время траекторию процессов исследований и разработок Huawei … весьма вероятно, что управление рисками безопасности для нового оборудования, или новых крупных релизов программного обеспечения для оборудования, которое уже работает в Великобритании, будет более сложным, и возникнут новые проблемы разработки программного обеспечения и кибербезопасности в продуктах, которые HCSEC еще не изучал» – говорится в отчёте GCHQ.

Другими словами, надзорная комиссия GCHQ не полностью уверена в безопасности нового оборудовании 5G, которое Huawei пытается продать в Великобританию.

Согласно отчёту GCHQ, небрежности в решениях по безопасности оборудования Huawei означают, что злоумышленники, знающие об уязвимостях, могут «повлиять на работу сети» или даже вызвать её остановку. Они также могут получить доступ к персональным данным людей, которые пользуются услугами сети с оборудованием Huawei. Тем не менее, совет GCHQ не считает, что всё это – непременно работа китайских спецслужб, а, скорее, просто небрежность и некомпетентность разработчиков Huawei.

«Мы понимаем эти проблемы и относимся к ним очень серьезно», – заявила компания Huawei в своём ответе на отчёт, добавив, что выявленные проблемы «обеспечивают жизненно важный вклад в постоянное преобразование наших возможностей разработки программного обеспечения».

Но что означает отчёт в действительности?

Проблема заключается в восприятии. Как написал в Twitter Мэтью Грин (Matthew Green), гуру криптографии из Университета Джона Хопкинса: «Многие люди говорят, что другие производители, вероятно, имеют те же дефекты, что и Huawei. Наверное, они правы. Но дело вовсе не в этом».

Грин пишет, что «коды Huawei – это бардак» (codebase is apparently a mess).

1

Huawei сейчас подвергается проверке с беспрецедентной тщательностью, с целью выявления реального уровня уязвимости программного обеспечения. Однако, уязвимости можно обнаружить и в продуктах конкурирующих поставщиков. Но, как сказал Грин, другие поставщики оборудования «не пытаются достичь уникального умения превратить не полностью доверенного партнёра в надёжного, как это пытается делать Huawei». 

Стоит отметить, что, хотя некоторые страны, например, Австралия, запретили оборудование Huawei из-за потенциального влияния китайских спецслужб, другие страны заблокировали его именно из-за опасений по поводу недостаточного уровня безопасности. Но эти недостатки, однако, могут быть исправлены. Например, новозеландское спецслужба GCSB запретила использование 5G оборудования Huawei. Однако, впоследствии, правительство Новой Зеландии заявило, что «дверь все ещё открыта», если уязвимости будут исправлены.

Неудивительно, что Европейский Союз, имея некоторые разногласия с администрацией Трампа по вопросам торговли и обороны, решил игнорировать требования США о том, чтобы все их союзники избегали Huawei, как чуму.

ЕС, так же как и Великобритания, призывает к усилению тестирования и сертификации продукции. Huawei оценил этот подход как более адекватный, чем позиция США. Действительно, лучше исправить свои баги как можно скорее, поскольку отчёты, подобные GCHQ, просто дают США «больше снарядов».

***

Технологическое издание CRN пишет, что GCHQ, в своём 46-страничном отчёте обнаружил «серьёзные проблемы» в оборудовании Huawei, которые могут использоваться спецслужбами других стран или независимыми хакерами.

«В 2018 году операторам Великобритании было сообщено о нескольких сотнях уязвимостей и проблем, чтобы информировать их об управлении рисками и их устранении в 2018 году. Некоторые уязвимости, выявленные в предыдущих версиях продуктов, всё ещё не устранены», – указывается в отчёте GCHQ.

В ответном заявлении Huawei говорится, что проблемы, выявленные в отчёте GCHQ, «станут важным вкладом в постоянную трансформацию возможностей разработки программного обеспечения компании». Компания Huwei заявила, что выделила 2 миллиарда долларов на программу усовершенствования разработки программного обеспечения Huawei.

В заявлении компании Huawei говорится: «Мы понимаем эти проблемы и относимся к ним очень серьёзно».

Тем не менее, GCHQ отметила, что Huawei пока не достигла какого-либо существенного прогресса в исправлении проблем, о которых сообщалось ещё в 2018 году. До тех пор, пока основные недостатки в процессах разработки программного обеспечения и кибербезопасности Huawei не будет устранены, заявила GCHQ, риски в будущих продуктах компании также сохраняются.

«Прошлые обещания Huawei не привели к заметным улучшениям», – говорится в отчёте GCHQ. «Таким образом, потребуются значительные и убедительные доказательства со стороны компании, чтобы дать Совету по надзору какую-либо уверенность в том, что программа преобразования Huawei приведёт к необходимым изменениям».

Злоумышленники, обладающие знаниями об уязвимостях Huawei, и имеющие достаточный опыт, смогут повлиять на работу сети и, возможно, даже привести к её полной остановке. Согласно отчёту GCHQ, такие злоумышленники могут также получить доступ к пользовательскому трафику или могут изменить настройки элементов сети.

«Совет по надзору GCHQ по-прежнему не уверен в том, что долгосрочные риски безопасности будут устранены в оборудовании Huawei, в настоящее время развёрнутом в Великобритании», – говорится в отчёте.

***

UK-United-Kingdom-Huawei-Wireless-Cell-Tower-Network-British-Illustration-1420x799.jpg

About Алексей Шалагинов

Независимый эксперт
Gallery | This entry was posted in 5G, безопасность, Huawei and tagged , , , , , , , . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.