Huawei (Souce - Evento Huawei Press)
Os EUA há muito afirmam que a Huawei ameaçou sua segurança digital. Agora, uma empresa de segurança afirma ter descoberto vários backdoors potencialmente exploráveis em alguns dos softwares que a empresa chinesa implantou. À medida que a corrida para implantar a rede 5G ganha velocidade, tais afirmações podem prejudicar ainda mais as perspectivas de negócios da gigante das telecomunicações e redes em todo o mundo.
Pesquisadores da empresa de segurança IoT Finite State aparentemente revelaram que mais da metade dos equipamentos da gigante das telecomunicações da China, Huawei, tem 'pelo menos uma porta dos fundos em potencial'. Há evidências substanciais de que o firmware do dispositivo de rede da Huawei tinha falhas, que poderiam ter sido implantadas deliberadamente para torná-los vulneráveis, afirma a empresa. Enquanto realizava sua pesquisa sobre o software da Huawei instalado em seu equipamento de rede, a empresa disse: “Há evidências substanciais de que vulnerabilidades de dia zero baseadas em corrupções de memória são abundantes no firmware da Huawei. Em resumo, se você incluir vulnerabilidades conhecidas de acesso remoto junto com possíveis backdoors, os dispositivos Huawei parecem estar em alto risco de comprometimento potencial. ”
As conclusões tiradas pelos pesquisadores de segurança da Finite State parecem ser bastante semelhantes às que Ian Levy, diretor técnico do National Cyber Security Center (NCSC) do Reino Unido, uma unidade da agência de espionagem GCHQ, havia traçado no início deste mês. Naquela época, Levy tinha acabado de concluir a avaliação do equipamento da Huawei em relação a alegações persistentes de que o equipamento de rede 5G da empresa chinesa poderia ser usado pela China para conduzir campanhas de espionagem patrocinadas pelo estado. Levy afirmou abertamente que as medidas de segurança implantadas pela Huawei em seus equipamentos eram 'objetivamente piores e de má qualidade' em comparação com todos os seus concorrentes no negócio de rede com fio e sem fio. “Do ponto de vista técnico da segurança da cadeia de suprimentos, os dispositivos da Huawei são alguns dos piores que já analisamos”, afirmou Levy.
o pesquisadores anotados em seu relatório que, apesar dos compromissos públicos da Huawei para melhorar a segurança, a análise revelou que a 'postura de segurança' da Huawei está na verdade 'diminuindo com o tempo'. Os pesquisadores afirmaram que examinaram cerca de 558 produtos de rede corporativa da Huawei. Eles supostamente vasculharam 1,5 milhão de arquivos em cerca de 10.000 imagens de firmware.
A Huawei deixou mais de cem falhas e vulnerabilidades de segurança?
A análise aparentemente revelou que mais de 55 por cento das imagens de firmware têm pelo menos uma porta dos fundos em potencial. Algumas das brechas de segurança notáveis e vulnerabilidades aparentemente intencionais deixadas dentro dos arquivos de firmware incluem credenciais embutidas em código que podem ser usadas como backdoor e uso inseguro de chaves criptográficas. A empresa também afirmou ter observado “indícios de práticas inadequadas de desenvolvimento de software”. No geral, o Finite State afirma ter descoberto cerca de 102 vulnerabilidades conhecidas em cada imagem de firmware da Huawei. Também houve evidências de várias vulnerabilidades de dia zero.
“Há um problema sistemático na Huawei e é isso que podemos mostrar aqui.” Sondagem de segurança em grande escala de equipamentos de rede da Huawei revela que equipamentos de empresas chinesas representam alto risco para usuários / via @globeandmail https://t.co/da3nnnAwdC
- Steven Chase (@stevenchase) 26 de junho de 2019
Um aspecto interessante que surgiu durante a análise foi o uso de componentes de software de código aberto pela Huawei. A Huawei confiava regularmente no OpenSSL. A plataforma de código aberto é uma biblioteca criptográfica comumente usada para proteger e criptografar comunicações digitais. Em palavras simples, OpenSSL é freqüentemente usado por sites para habilitar HTTPS. A Huawei não conseguiu atualizar o software de código aberto, afirmaram os pesquisadores de segurança. “A idade média dos componentes de software de código aberto de terceiros no firmware da Huawei é de 5,36 anos.” Além disso, existem “milhares de instâncias de componentes com mais de 10 anos”. Aparentemente, alguns dos softwares desatualizados e obsoletos deixaram o equipamento da Huawei vulnerável ao infame Heartbleed, um vírus altamente conhecido e amplamente difundido em 2011.
A Huawei é a única empresa que usa software de código aberto?
É importante notar que empresas semelhantes à Huawei, muitas vezes dependem de software de código aberto para acelerar o desenvolvimento de software e implantação em hardware. Além disso, essas empresas muitas vezes descobrem backdoors e vulnerabilidades e correm para corrigi-los. Em essência, é uma prática muito comum. Mas o que é ainda importante é que as empresas costumam atualizar o software e tentar usar a versão mais recente ou mais estável, que tem várias correções de bugs.
Cingapura mantém opções abertas nas redes Huawei e 5G https://t.co/kXLKx2TFVG
- Faisal S. (@ whiz913) 27 de junho de 2019
Atualmente, os principais concorrentes da Huawei são Ericsson, Nokia e Cisco. A propósito, todas essas empresas estão projetando suas próprias iterações de equipamentos de rede 5G de alta velocidade e latência ultrabaixa. Essas organizações ainda estão avaliando a combinação ideal de hardware para atender aos diversos requisitos do 5G, incluindo conexão confiável com dispositivos da Internet das Coisas (IoT), carros conectados e outros dispositivos eletrônicos. Embora o 5G dependa de tecnologias e protocolos de comunicação estabelecidos, a plataforma deve usar muita tecnologia de ponta. Além disso, o novo padrão de comunicação móvel tem um alcance muito maior em comparação com todos os padrões anteriores. Portanto, é fundamental configurar uma segurança forte e evitar uma violação de dados ou vazamento de informações.
Tag Huawei