Ministerstwo Cyfryzacji: Oferta Huawei warta rozważenia

6 lutego 2019, 08:28
Huawei_MC
Fot. Photozou.jp/CC 2.0

Ministerstwo Cyfryzacji potwierdza, że Huawei złożył ustną deklarację gotowości dopuszczenia polskich ekspertów do analizy ich produktów pod kątem cyberbezpieczeństwa.

Chińskie przedsiębiorstwo planuje stworzyć w Polsce centrum cyberbezpieczeństwa, w którym dokonywana będzie analiza ich produktów z udziałem polskich ekspertów. Nie wskazano jednak bliższych szczegółów takich jak zakres, skala, terminy czy miejsca. Ministerstwo Cyfryzacji zastanawia się nad tą propozycję i w przypadku uzyskania pozytywnej opinii, rozmowy będą koncentrowały się na omówieniu szczegółów.

Wcześniej na konferencji prasowej Huawei poinformował o gotowości dopuszczenia Polski do kodów źródłowych ich urządzeń.

KomentarzeLiczba komentarzy: 14
TowariszczJacho
sobota, 9 lutego 2019, 00:58

Poziom niekompetencji Ministerstwa Cyfryzacji jest zatrwazajacy, po incydencie z modułem obslugi jednej z funkcjonalnosci w procesorach znanej firmy eks-perci uwazaja, że analiza kodu źródłowego jest wystarczającą - to rzeczywiscie trzeba zadac pytanie skąd się biorą tacy fachmani w Ministerstwie ? Dzis analiza masek krzemowych dla znanych i sprawdzonych chipow moze ale nie musi dac odpowiedz czy jest "back door" w sprzecie ... ale eksperci z MC nawet nie sa zdolni do analizy kodu źródłowego a co tu mowic o maskach krzemowych .... zenada,

TowariszczJacho
piątek, 8 lutego 2019, 14:59

Zdaje się, że interesujące jest to co się dzieje ze stosem TCP/IP i algorytmy Kryptograficzne dla szyfrowania i uwierzytelniania, przede wszystkim uwierzytelnianie i SSL-OTP i sprawa załatwniona, co z tego, że zaszyfrowane dane dojdą gdzieś - jeśli szfrowanie będzie wystarczająco bezpieczne to niech sobie nawet zaszyfrowane dane przejmują, zatem można zaproponować aby komponent Cybersec ze stosem TCP/IP był obsługiwany przez produkty realizowane w oparciu o polskie rozwiązania i producentów ... najważniejsze jest ... krypto i annymous ... a to można zagwarantować ... i to bez problemu wystarczy się troszkę na tym znać ...

Tomek
czwartek, 7 lutego 2019, 18:40

Mówią, że udostępnią kody źródłowe. Trzeba mieć jednak na uwadze kilka spraw: 1) Potrzeba by kilkudziesięciu osób pracujących przeszło rok aby ten kod przejrzeć. 2) Backdoor'y mogą być zaszyte w samych chipach, w sprzęcie. 3) W kodzie mogą być zaszyte nie tyle jakieś podejrzane backdoor'y ale celowe luki, błędy zabezpieczeniach pozwalające na wnikniecie w system. Podobnie takie celowe błędy mogą być w sprzęcie. 4) Kto dostarczy kompilator? A może pokażą też kod źródłowy kompilatora? Spreparowany odpowiednio kompilator może dodać do programu co mu się każe. 5) Kto potem ma niby sprawdzać za każdym razem nowe aktualizacje ?

Programista
czwartek, 7 lutego 2019, 02:22

Jeśli ministerstwo bierze na poważnie analizę kodu źródłowego tych systemów, to znaczy że ci ludzie kompletnie nie wiedzą z czym mają do czynienia. Mówimy o milionach linii skomplikowanego kodu. Szukanie tam backdoor'a nie ma sensu. Żeby probować to analizować trzeba mieć odpowiednią wiedzę na temat technologii 5G, znać od bebechów tej klasy systemy (tzn wcześniej takie systemy programować), znać hardware na którym ten kod działa i mieć wiedzę na temat danego produktu. Inaczej nawet nie będziesz w stanie powiedzieć co które kawałki kodu robią, czy są faktycznie potrzebne, czy nie. Dobre wdrożenie się w tego typu projekt to okołu roku (lub więcej) dla w miarę ogarniętego programisty, zakładając dostęp do wszystkich materiałów (dokumentacja projektowa) i sesje szkoleniowe z obecnymi programistami danego modułu. Te systemy realizują naprawdę ogromną liczbę funkcjonalności, zarówno tych wynikających z samej technologii 5G jak i będących product specific (zarządzanie konfiguracją, optymalizacja ruchu, możliwości testowe, itp.). Pojedynczy programista, dobrze wdrożony w projekt na bieżąco może ogarnąć jakieś 20 tys lini (wariant optymistyczny). Jako byłyb programista systemów 3G i 4G nie podjąłbym się stwierdzenia czy jest tam gdzieś backdoor czy nie (nawet w systemach nad którymi pracowałem). Szansa na znalezienie tam czegokolwiek jest jedynie wówczas gdy ktoś nie zadał sobie żadnego trudu żeby to schować. Już o wiele lepiej pomyśleć o analizie ruchu sieciowego. Inna sprawa że taki backdoor w celu "podsłuchiwania" jest ciężki do zrealizowania ze względu na ilość przepływającego ruchu (nie da się przesyłać, przeanalizować wszystkiego, trzeba wiedzieć co ma być przechwytywane). Dodatkowo jeśli chodzi o typowe dane to i tak wrażliwe dane są szyfrowane na poziomie warstwy sesji (SSL) czy aplikacji już na urządzeniu końcowym (np. smartfon), więc w takim przypadku przechwycone będą jedynie zaszyfrowane dane. Połączenia głosowe i wiadomości tekstowe też są szyfrowane, ale z udziałem sieci w szyfrowaniu i uwierzytelnieniu, więc tutaj potencjalnie szanse są. Naprawdę o wiele łatwiej zorganizować backdoor na urządzeniach końcowych (telefony, komputery, serwery), a nie na urządzeniach pośredniczących. Tutaj bardziej obawiałbym się backdoor'a w celu sparaliżowania systemu, a nie "podsłuchiwania".

Arcetron
środa, 6 lutego 2019, 20:04

Back doory nie zostawia się w kodzie programowym tylko w układach scalonych czy mikroprocesorach jako dodatkowe obwody nie do wykrycia jeśli są nie aktywne, a jak sprawdzić ? otworzyć i przeglądnąć pod dobrym mikroskopem . Nie wiem czy Polskę stać na takie zabiegi i na czas jaki trzeba poświęcić . W podobny sposób niektóre bardzo duże korporacje amerykańskie szpiegują przedsiębiorców które mają zainstalowane w swoich komputerach konkretne procesory .

Reklama
Tweets CyberDefence24