CSO Huawei: Uruchomienie „tylnich furtek” jest niemożliwe dla kogokolwiek spoza sieci

19 lutego 2019, 11:44

O instalowaniu „tylnych furtek”, udostępnieniu kodów źródłowych polskiemu rządowi i wyzwaniach dla cyberbezpieczeństwa związanych z wprowadzeniem 5G mówi dla CyberDefence24.pl Jaap Meijer Cyber Security Officer Huawei Netherlands.

Bezpieczeństwo dla technologii 5G staje się coraz bardziej złożone i wymaga rygorystycznych standardów w obszarze wdrażania środków bezpieczeństwa

Jaap Meijer Cyber Security Officer Huawei Netherlands

W obszarze bezprzewodowym Huawei rozwinął rozwiązania stacji bazowych i systemy antenowe, które są w stanie łączyć w sobie wiele technologii w ramach jednego systemu antenowego. Dzięki temu wyprzedza konkurencję.

Jaap Meijer Cyber Security Officer Huawei Netherlands

Jesteśmy przekonani, że nie można czynić żadnych założeń, nie można wierzyć nikomu i że wszystko należy sprawdzać i tę filozofię wdrażamy we wszystkich wewnętrznych procesach biznesowych Huawei.

Jaap Meijer Cyber Security Officer Huawei Netherlands
KomentarzeLiczba komentarzy: 3
Andrettoni
czwartek, 21 lutego 2019, 06:27

Po pierwsze musimy sobie uzmysłowić, ze inwigilacja jest normalnym narzędziem stosowanym przez wywiad, ale tez wymiar sprawiedliwości i Polska nie jest wyjątkiem. Nie chodzi o to by inwigilacji nie było, tylko by odbywała się w ramach prawa. To jest konieczne do walki z mafią, gangami czy terrorystami. Kolejną sprawą jest to, że backdoory są często instalowane nie tylko przez rządy, ale przez samych wykonawców - np. programistów, na ich własny użytek. Część jest instalowana celowo, a inne wynikają z błędów. Jeżeli uda nam się backdoora znaleźć i wiemy jak z niego korzystać, to my również możemy z niego korzystać, bo on nie ma przypisanego właściciela. Jest to tylko kwestia tego, ze instalujący ma wiedzę wcześniej i dłużej z niej korzysta. jeżeli jednak jakiś kraj, np. Chiny instalują backdoora, a my go znajdziemy, to możemy go wykorzystać również przeciwko Chinom. To jest oręż obosieczny. Kolejna sprawa to możliwość używania sprzętu szyfrującego do połączeń - jak transmisja jest dobrze kodowana to żaden backdoor nic nie da.Przejęcie przekazu nie oznacza jego odszyfrowania i zrozumienia. Oznacza to, że korzystanie ze sprzętu Huawei nie oznacza automatycznie, że wszystkie dane będą trafiać do Chińczyków. Na korzyść Chin przemawia fakt, że przyparci do muru mogą rzeczywiście udostępnić pełen kod źródłowy. Korzystając z rozwiązania innej firmy np z Europy nie mamy pewności, że nie ma tam backdorów, a możliwe, że będą to backdoory chińskie, bo niby dlaczego nie? Kto zagwarantuje, że chiński wywiad nie ma tam wtyki? Dlatego nie jest ważne jakiej firmy oferta będzie przyjęta, ale, żeby był udostępniony pełen kod źródłowy. To powinno być minimum. Jeżeli zakupimy sprzęt z USA, to tylko z pełnymi kodami źródłowymi, hasłami i informacją o backdoorach. Sami takiego sprzętu nie wykonamy. Musimy pamiętać, że nie jest ważne z oferty jakiej firmy skorzystamy, zawsze jest możliwość, ze ktoś wykorzysta system do szpiegowania i dlatego trzeba po pierwsze zaopatrzyć służby w odpowiedni sprzęt szyfrujący, a po drugie nabyć pewnych przyzwyczajeń. Żadne zabezpieczenia nic nie dadzą, jeżeli członek tajnego oddziału publikuje na facebooku zdjęcia ze szkolenia, na których jest z kolegami, którzy też są utajnieni. A niestety takie przypadki się zdarzają. Osobiście byłem świadkiem jak hasła do tajnego systemu były zapisywane w pliku .txt. Nie wiem czy wszyscy sobie zdają sprawę z tego, że rozmowy w pomieszczeniu można podsłuchiwać przez drgania szyb w oknach, ale to oznacza tylko, e ważne rozmowy powinny się toczyć w pomieszczeniach bez okien lub odpowiednio zabezpieczonych. Komputery można szpiegować z zewnątrz obserwując ich promieniowanie magnetyczne - w ten sposób można podsłuchiwać niektóre dyski HD lub stare monitory. Metod jest wiele i nie sposób wszystkich wymienić. Najprostszym jest zawsze kogoś przekupić. Przykładem może być ostatnio oficer wojska z Estonii, który sprzedawał informację za sumę w przeliczeniu za okres jego "pracy" 200 dolarów miesięcznie. Ludzie potrafią się sprzedawać bardzo tanio, a często za darmo, z powodu własnych przekonań. Dlatego uważam, że oferty Huawei nie należy odrzucać bez rozpatrzenia. Mają najnowocześniejsze rozwiązania na świecie (lepsze niż USA) i sa tańsi, a do tego oferują dostęp do pełnego kodu. Zaoszczędzone pieniądze można wydać np. na lepszy sprzęt szyfrujacy. Podkreślam, że mówiąc o szyfrowaniu mam na myśli szyfrowanie urządzeń wejścia i wyjścia, a nie sieci, a te urządzenia dla potrzeb służb jesteśmy w stanie zrobić w Polsce.Szyfrowanie wewnątrz sieci nigdy nie może zostać uznane za wystarczające z punktu widzenia służb. To jest szyfrowanie dla Kowalskiego. Jak Policja będzie chciała podsłuchać Kowalskiego, to operator ma obowiązek to umożliwić. Oczywiście zgodnie z procedurą i nakazem sądu, ale taka możliwość zawsze będzie możliwa. Jeżeli jest taka możliwość, to łącze nigdy nie będzie bezpieczne. Swego czasu w Polsce w sieci Era był człowiek, który współpracował z mafią, a zajmował się współpraca z Policją w zakresie udostępniania danych z sieci Era dla Policji. Prawdo podobnie współpracował również z innymi naszymi służbami, bo po prostu miał takie stanowisko pracy. Jak ktoś może włączyć podsłuch dla Policji, a włączał go również dla mafii, to równie dobrze włączy go chińczykom. Jak mamy szyfrowany aparat telefoniczny to podsłuch nic nie da. Nie podsłucha Policja, mafia i Chińczycy. Dlatego nie jest tak bardzo ważne jaka firma instaluje sieć, tylko czy mamy odpowiednie urządzenia szyfrujące i rozsądek. Jak nie mamy rozsądku to zrobimy tak jak niektórzy amerykańscy marines, którzy na tabletach taktycznych instalowali pod androidem apki ściągane z ogólnodostępnej sieci. Podobnie zresztą robili ukraińscy oficerowie dostając się pod ostrzał rosyjski. Po prostu sami się logowali do rosyjskich apek. Bez rozsądku i znajomości podstawowych zasad bezpieczeństwa żaden system nic nie da, bo nic się samo z siebie nie zabezpiecza. Mam nadzieję, ze nikt nie nazwie mnie pro chińskim jak zacytuję z artykułu wyżej "nie można czynić żadnych założeń, nie można wierzyć nikomu i że wszystko należy sprawdzać". Te słowa są 100% prawdziwe. Kto zagwarantuje, że kupując produkt USA nie kupimy sprzętu wyprodukowanego przez firmę z USA na terenie Chin, ze sprzęt ten nie zawiera podzespołów z Chin, lub, że dana firma nie jest przez Chiny zinfiltrowana? Cokolwiek nie wybierzemy i tak trzeba zachować ostrożność.

Stoltenberg
środa, 20 lutego 2019, 15:08

Przeciez jest napisane czarno na bialym ze chinskie prawo zobowiazuje chinskie firmy do wspolpracy z sluzbami wywiadowczymi. Po co wdawac sie w zbedne dyskusje. Chinczycy juz instalowali backdoory w sprzecie firmy SuperMicro, nieustannie dokonuja bezczelnych atakow informatycznych i kradziezy technologii oraz aktow szpiegostwa. Huawei niejednokrotnie byl lapany na goracym uczynku na probach kradziezy technologii oraz szpiegostwa. Dzialalnosc tej firmy powinna zostac zabroniona.

TowariszczJacho
środa, 20 lutego 2019, 13:01

Sensowność "kooperacji" z dowolnym dostarczycielem technologii 5G z poza Unii Europejskiej nie będzie spełniało założeń dyrektywy PSD2 z innymi adekwatnymi Europejskimi Rozporządzeniami dotyczącymi Cyberbezpieczeństwa w zakresie Uwierzytelniania o poziomie średnim i wysokim, zatem wymagane jest aby moduł Cyberbezpieczeństwa czyli szyfrowania i uwierzytelnianie był komponentem opartym na Algorytmach i technologiach spełniających wymogii UE - czyli warunek dla dowolnego dostawcy Technologii 5G nie ważne czy Huawei czy Samsung czy IBM czy xxx nie będzie spełniało wymogów bezpieczeństwa dla Unii Europejskiej - zatem tylko z modułem Cyberbezpieczeństwa rodzimej Polskiej lub Polskiej dla Europy komponentem Uwierzytelniania i Szyfrowania zatem moduł CyberSec dostarczony przez polskich producentów pod kontrolą polskich służb i MON RP ... inaczej nigdy nie będzie anizgodności ani bezpieczeństwa - czyli Infrastruktura Krytyczna i niecywilna podobnie jak w LTE 450 tylko własna - inaczej to tak jak mieć broń rakietową bez kodów startowych a kody startowe dostarczy dostawca broni -jeśli będzie chciał !!!

Reklama
Tweets CyberDefence24