观察者网

设备安全性被美企质疑,华为发长文回击

2019-07-09 11:51:35

【文/观察者网 谷智轩】

上月底,美国俄亥俄州网络安全公司Finite State(下称,F公司)流出的一份报告称,与竞争对手的设备相比,华为设备更有可能存在可以被黑客恶意利用的漏洞。

《华尔街日报》7月5日报道称,这份报告在公开发布前,已经在特朗普政府高级官员中广泛流传。这些官员认为,Finite State的研究是可信的,进一步证实了美方有关“华为威胁国家安全”的立场。

对于上述报告,华为本月初发布数千字长文予以驳斥,表示F公司的研究“缺乏洞察力、完整性和准确性”,其使用的方法“存在严重的操作和技术缺陷,测试缺乏中立性,报告严重失实”。

PSIRT,Product Security Incident Response Team,产品安全应急响应团队。华为网站截图

对F公司有违常规的做法感到惊讶和失望

具体来看,F公司称其使用专有的自动化系统,分析了超过150万份独特的文件,这些文件嵌入在华为企业网络产品线内558种产品的近1万个固件镜像中。

报告称,在华为设备中发现漏洞的比率远远高于竞争对手设备的平均水平,在被测试的固件镜像中,有55%至少存在一个所谓“潜在后门”的漏洞,这类漏洞能让了解相关固件和密钥的攻击者登入设备。

这份报告包含了一个研究案例——将华为一款高端网络交换机与美企Arista Networks和Juniper Networks的类似设备做了比较。研究称,在九个比较类别中,华为的设备在六个类别上含有更高的风险因素,而且整体上高出不少。

对于上述情况,华为在《华为PSIRT:〈Finite State供应链评估〉的技术分析报告》一文中指出,2019年6月26日,F公司在其官方网站公布华为技术有限公司的《供应链评估》报告,该报告重点描述了其使用固件(二进制软件包)静态分析工具,分析了华为企业网络500多个产品,并对华为的CE12800和Juniper的EX4650、Arista的7280R产品做了对比分析,结果认为华为产品安全性差、有疑似后门,安全性低于友商。

华为CE12800系列交换机

“我们对F公司有违常规的做法感到惊讶和失望。我们无法确认F公司软件获取的渠道是否合法,也不能保证其获取软件的完整性,同时华为也未曾收到F公司的任何沟通请求。他们也没有通过华为了解这些产品,并拒绝在公布前将报告提供给华为。遗憾的是,这意味着这份报告缺乏洞察力、完整性和准确性,F公司的这种做法也不是一个专业、认真、有能力的安全公司通常的做法。”

文章进一步指出,鉴于F公司的做法及其工具和方法的不足,其分析结果,最好的情况下是种质疑,最差的情况下就是不准确的。若是通过合作而不是在安全方面选择政治立场的话,这本应是可以避免的。

CEO曾经手国防、情报界相关合同

值得注意的是,华为还对F公司及其CEO马特•怀克豪斯(Matt Wyckhouse)的目的提出了质疑,“为何他们没有选择市场领导者Cisco公司的产品来做比较,为何评估的是华为产品的老版本,发现的是已经在新版本中修复的问题。”

而对于怀克豪斯的背景,《华尔街日报》此前已挖掘了一番。

在2017年与他人联合创办F公司之前,怀克豪斯曾为俄亥俄州Battelle研究所工作了13年,该机构号称是一家“私营的、非营利的应用科学技术公司,从事私营和公共领域的研究工作”。

在Battelle研究所工作期间,身为计算机科学家的怀克豪斯曾效力于该机构的国家安全部门,这个部门负责处理美国国防界和情报界相关的合同。

怀克豪斯称,F公司针对华为的报告是“公益性的、不代表任何政府”,“我们希望5G是安全的”。

华为方面则表示,“F公司花费几个月时间进行了一项有问题的分析,而华为PSIRT(产品安全应急响应团队)在公布报告后第一时间对报告中提到的所有问题进行了调查,我们认为F公司的方法存在严重的操作和技术缺陷,测试缺乏中立性,报告严重失实。”

需要提及的是,尽管怀克豪斯仍然坚称“华为的漏洞是广泛存在的”,但相关报告并没有指责华为故意在产品中植入漏洞。

不过,对于F公司在报告中大量使用“潜在后门”一词,华为表示这种语言是“情绪化、夸大性的”。

“任何一家安全公司,如果在仅经过工具的扫描,未在产品上进行实际验证,甚至对产品、产品架构及环境根本不了解的情况下,就声称发现大量后门和未修补的严重漏洞,是无法让人信赖的。”华为方面表示。

事实上,针对产品相关的安全漏洞信息,华为早已建立了产品安全应急响应团队(PSIRT)。一旦确认漏洞,PSIRT会及时将信息传递给受影响产品的团队,并积极跟踪直至问题解决。

华为建立并实施了一套分层的端到端网络安全评估流程,确保在各阶段(概念、设计、开发、直到在全球客户网络中部署和维护)都对产品进行审视,以发现潜在的安全问题。

本文系观察者网独家稿件,未经授权,不得转载。

谷智轩

谷智轩

分享到
来源:观察者网 | 责任编辑:谷智轩
专题 > 华为
华为
小编最近文章
安全性被美企质疑,华为发长文回击
若华为领导物联网,美国又要下手?任正非:让他们打
“5G领域,世界将更依赖中国”
“开绿灯”两年后,中国首次进口美国大米
抢单大战开打:三星撬了台积电大客户
风闻·24小时最热
网友推荐最新闻
相关推荐
切换网页版
下载观察者App
tocomment gotop