Huawei, Ağ Oluşturmada Potansiyel Olarak Kullanılabilir Arka Kapıyı Bıraktı Ürün Yazılımı Güvenlik Şirketinden İddia Ediyor
ABD uzun zamandır Huawei'nin dijital güvenliğini tehdit ettiğini iddia ediyor. Şimdi bir güvenlik şirketi, Çinli şirketin dağıttığı yazılımların birçoğunda potansiyel olarak sömürülebilir birkaç arka kapıyı ortaya çıkardığını iddia ediyor. 5G ağ kurma yarışı hız kazanırken, bu tür iddialar telekom ve ağ devinin dünya çapındaki iş beklentilerini daha da tehlikeye atabilir.
IoT güvenlik firması Finite State'den araştırmacılar, görünüşe göre Çin'in telekom devi Huawei'nin ekipmanlarının yarısından fazlasının "en az bir potansiyel arka kapıya" sahip olduğunu ortaya çıkardı. Firmanın iddia ettiği gibi, Huawei’nin ağ cihazlarının ürün yazılımının, onları savunmasız hale getirmek için kasıtlı olarak uygulanabilecek kusurları olduğuna dair önemli kanıtlar var. Şirket, Huawei'nin ağ ekipmanına kurulu yazılımıyla ilgili araştırmalarını ortaya koyarken, "Huawei belleniminde bellek bozulmalarına dayalı sıfırıncı gün güvenlik açıklarının bol olduğuna dair önemli kanıtlar var. Özetle, olası arka kapıların yanı sıra bilinen, uzaktan erişim güvenlik açıklarını da dahil ederseniz, Huawei cihazları yüksek potansiyel risk altında görünüyor. "
Finite State'teki güvenlik araştırmacıları tarafından varılan sonuçlar, GCHQ casus ajansının bir birimi olan Birleşik Krallık Ulusal Siber Güvenlik Merkezi'nin (NCSC) teknik direktörü Ian Levy'nin bu ayın başlarında çıkardığı sonuçlara oldukça benziyor. O zamanlar Levy, Çinli şirketin 5G ağ ekipmanının Çin tarafından devlet destekli yaygın casusluk kampanyaları yürütmek için kullanılabileceği yönündeki ısrarlı iddialar üzerinden Huawei ekipmanını değerlendirmeyi yeni bitirmişti. Levy, Huawei tarafından ekipmanlarına uygulanan güvenlik önlemlerinin, kablolu ve kablosuz ağ işindeki tüm rakiplerine kıyasla "nesnel olarak daha kötü ve kalitesiz" olduğunu açıkça iddia etmişti. Levy, "Teknik bir tedarik zinciri güvenliği açısından bakıldığında, Huawei cihazları şimdiye kadar analiz ettiğimiz en kötü cihazlardan bazıları" dedi.
Araştırmacılar, raporlarında, Huawei'nin güvenliği iyileştirme konusundaki kamu taahhütlerine rağmen, analizin Huawei'nin "güvenlik duruşunun" aslında "zaman içinde azaldığını" ortaya çıkardığını belirtti. Araştırmacılar, yaklaşık 558 Huawei kurumsal ağ ürününü incelediklerini iddia etti. Bildirildiğine göre, yaklaşık 10.000 ürün yazılımı görüntüsü içinde 1,5 milyon dosyayı taradılar.
Huawei Yüzden Fazla Güvenlik Kusurunu ve Zafiyetini Kaldı mı?
Analiz, görünüşe göre, bellenim görüntülerinin yüzde 55'inden fazlasının en az bir potansiyel arka kapıya sahip olduğunu ortaya koydu. Bellenim dosyalarının içinde bırakılan kayda değer güvenlik boşluklarından ve görünüşte kasıtlı güvenlik açıklarından bazıları, bir arka kapı olarak kullanılabilecek sabit kodlanmış kimlik bilgilerini ve kriptografik anahtarların güvenli olmayan kullanımını içerir. Şirket ayrıca “zayıf yazılım geliştirme uygulamalarının belirtilerini” gözlemlediğini iddia etti. Genel olarak, Finite State, her Huawei ürün yazılımı görüntüsünde ortalama olarak yaklaşık 102 bilinen güvenlik açığı keşfettiğini iddia ediyor. Bildirildiğine göre, çok sayıda sıfırıncı gün güvenlik açığının kanıtı da vardı.
Analiz sırasında ortaya çıkan ilginç bir yön, Huawei'nin açık kaynaklı yazılım bileşenlerini kullanmasıydı. Huawei düzenli olarak OpenSSL'ye güveniyordu. Açık kaynak platformu, dijital iletişimleri korumak ve şifrelemek için yaygın olarak kullanılan bir şifreleme kitaplığıdır. Basit bir deyişle, OpenSSL genellikle web siteleri tarafından HTTPS'yi etkinleştirmek için kullanılır. Güvenlik araştırmacıları, Huawei'nin bu tür açık kaynaklı yazılımları güncelleyemediğini iddia etti. "Huawei bellenimindeki üçüncü taraf açık kaynaklı yazılım bileşenlerinin ortalama yaşı 5,36 yıldır." Ayrıca, “10 yıldan eski binlerce bileşen örneği” var. Görünüşe göre, eski ve eski yazılımlardan bazıları, Huawei'nin ekipmanını, 2011'de oldukça kötü şöhretli ve yaygın bir virüs olan kötü şöhretli Heartbleed'e karşı savunmasız bıraktı.
Açık Kaynak Yazılımı Kullanan Tek Şirket Huawei mi?
Huawei'ye benzer şirketlerin, donanımda yazılım geliştirme ve dağıtımını hızlandırmak için genellikle açık kaynaklı yazılımlara güvendiğini belirtmek önemlidir. Ayrıca, bu şirketler genellikle arka kapıları ve güvenlik açıklarını keşfeder ve bunları düzeltmek için acele eder. Özünde, çok yaygın bir uygulamadır. Ancak daha da önemlisi, şirketlerin yazılımı sık sık güncellemeleri ve birkaç hata düzeltmesi olan en son veya en kararlı sürümü kullanmaya çalışmasıdır.
Şu anda, Huawei'nin ana rakipleri Ericsson, Nokia ve Cisco'dur. Bu arada, tüm bu şirketler kendi yüksek hızlı, ultra düşük gecikmeli 5G ağ ekipmanı yinelemelerini tasarlıyor. Bu kuruluşlar, Nesnelerin İnterneti (IoT) cihazlarına, bağlı arabalara ve diğer elektronik cihazlara güvenilir bağlantı dahil olmak üzere, 5G'nin birçok gereksinimini karşılamak için hala en optimum donanım kombinasyonunu değerlendiriyor. 5G yerleşik teknolojilere ve iletişim protokollerine dayanmasına rağmen, platformun çok sayıda en son teknolojiyi kullanması gerekir. Ayrıca, yeni mobil iletişim standardı, önceki tüm standartlara kıyasla çok daha fazla erişime sahiptir. Bu nedenle, güçlü bir güvenlik oluşturmak ve bir veri ihlalini veya bilgi sızıntısını önlemek çok önemlidir.