設(shè)備安全性被美企質(zhì)疑，華為發(fā)長文回?fù)?/h3>

• 

  谷智軒

分享到：

2019-07-09 11:51:35 字號(hào)：A- A A+ 來源：觀察者網(wǎng)

關(guān)鍵字: 華為漏洞Finite State

【文/觀察者網(wǎng) 谷智軒】

上月底，美國俄亥俄州網(wǎng)絡(luò)安全公司Finite State（下稱，F(xiàn)公司）流出的一份報(bào)告稱，與競爭對(duì)手的設(shè)備相比，華為設(shè)備更有可能存在可以被黑客惡意利用的漏洞。

《華爾街日?qǐng)?bào)》7月5日?qǐng)?bào)道稱，這份報(bào)告在公開發(fā)布前，已經(jīng)在特朗普政府高級(jí)官員中廣泛流傳。這些官員認(rèn)為，F(xiàn)inite State的研究是可信的，進(jìn)一步證實(shí)了美方有關(guān)“華為威脅國家安全”的立場。

對(duì)于上述報(bào)告，華為本月初發(fā)布數(shù)千字長文予以駁斥，表示F公司的研究“缺乏洞察力、完整性和準(zhǔn)確性”，其使用的方法“存在嚴(yán)重的操作和技術(shù)缺陷，測試缺乏中立性，報(bào)告嚴(yán)重失實(shí)”。

PSIRT，Product Security Incident Response Team，產(chǎn)品安全應(yīng)急響應(yīng)團(tuán)隊(duì)。華為網(wǎng)站截圖

“對(duì)F公司有違常規(guī)的做法感到驚訝和失望”

具體來看，F(xiàn)公司稱其使用專有的自動(dòng)化系統(tǒng)，分析了超過150萬份獨(dú)特的文件，這些文件嵌入在華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線內(nèi)558種產(chǎn)品的近1萬個(gè)固件鏡像中。

報(bào)告稱，在華為設(shè)備中發(fā)現(xiàn)漏洞的比率遠(yuǎn)遠(yuǎn)高于競爭對(duì)手設(shè)備的平均水平，在被測試的固件鏡像中，有55%至少存在一個(gè)所謂“潛在后門”的漏洞，這類漏洞能讓了解相關(guān)固件和密鑰的攻擊者登入設(shè)備。

這份報(bào)告包含了一個(gè)研究案例——將華為一款高端網(wǎng)絡(luò)交換機(jī)與美企Arista Networks和Juniper Networks的類似設(shè)備做了比較。研究稱，在九個(gè)比較類別中，華為的設(shè)備在六個(gè)類別上含有更高的風(fēng)險(xiǎn)因素，而且整體上高出不少。

對(duì)于上述情況，華為在《華為PSIRT：〈Finite State供應(yīng)鏈評(píng)估〉的技術(shù)分析報(bào)告》一文中指出，2019年6月26日，F(xiàn)公司在其官方網(wǎng)站公布華為技術(shù)有限公司的《供應(yīng)鏈評(píng)估》報(bào)告，該報(bào)告重點(diǎn)描述了其使用固件（二進(jìn)制軟件包）靜態(tài)分析工具，分析了華為企業(yè)網(wǎng)絡(luò)500多個(gè)產(chǎn)品，并對(duì)華為的CE12800和Juniper的EX4650、Arista的7280R產(chǎn)品做了對(duì)比分析，結(jié)果認(rèn)為華為產(chǎn)品安全性差、有疑似后門，安全性低于友商。

華為CE12800系列交換機(jī)

“我們對(duì)F公司有違常規(guī)的做法感到驚訝和失望。我們無法確認(rèn)F公司軟件獲取的渠道是否合法，也不能保證其獲取軟件的完整性，同時(shí)華為也未曾收到F公司的任何溝通請(qǐng)求。他們也沒有通過華為了解這些產(chǎn)品，并拒絕在公布前將報(bào)告提供給華為。遺憾的是，這意味著這份報(bào)告缺乏洞察力、完整性和準(zhǔn)確性，F(xiàn)公司的這種做法也不是一個(gè)專業(yè)、認(rèn)真、有能力的安全公司通常的做法?！?

文章進(jìn)一步指出，鑒于F公司的做法及其工具和方法的不足，其分析結(jié)果，最好的情況下是種質(zhì)疑，最差的情況下就是不準(zhǔn)確的。若是通過合作而不是在安全方面選擇政治立場的話，這本應(yīng)是可以避免的。

CEO曾經(jīng)手國防、情報(bào)界相關(guān)合同

值得注意的是，華為還對(duì)F公司及其CEO馬特?懷克豪斯（Matt Wyckhouse）的目的提出了質(zhì)疑，“為何他們沒有選擇市場領(lǐng)導(dǎo)者Cisco公司的產(chǎn)品來做比較，為何評(píng)估的是華為產(chǎn)品的老版本，發(fā)現(xiàn)的是已經(jīng)在新版本中修復(fù)的問題?！?

而對(duì)于懷克豪斯的背景，《華爾街日?qǐng)?bào)》此前已挖掘了一番。

在2017年與他人聯(lián)合創(chuàng)辦F公司之前，懷克豪斯曾為俄亥俄州Battelle研究所工作了13年，該機(jī)構(gòu)號(hào)稱是一家“私營的、非營利的應(yīng)用科學(xué)技術(shù)公司，從事私營和公共領(lǐng)域的研究工作”。

在Battelle研究所工作期間，身為計(jì)算機(jī)科學(xué)家的懷克豪斯曾效力于該機(jī)構(gòu)的國家安全部門，這個(gè)部門負(fù)責(zé)處理美國國防界和情報(bào)界相關(guān)的合同。

懷克豪斯稱，F(xiàn)公司針對(duì)華為的報(bào)告是“公益性的、不代表任何政府”，“我們希望5G是安全的”。

華為方面則表示，“F公司花費(fèi)幾個(gè)月時(shí)間進(jìn)行了一項(xiàng)有問題的分析，而華為PSIRT（產(chǎn)品安全應(yīng)急響應(yīng)團(tuán)隊(duì)）在公布報(bào)告后第一時(shí)間對(duì)報(bào)告中提到的所有問題進(jìn)行了調(diào)查，我們認(rèn)為F公司的方法存在嚴(yán)重的操作和技術(shù)缺陷，測試缺乏中立性，報(bào)告嚴(yán)重失實(shí)?！?

需要提及的是，盡管懷克豪斯仍然堅(jiān)稱“華為的漏洞是廣泛存在的”，但相關(guān)報(bào)告并沒有指責(zé)華為故意在產(chǎn)品中植入漏洞。

不過，對(duì)于F公司在報(bào)告中大量使用“潛在后門”一詞，華為表示這種語言是“情緒化、夸大性的”。

“任何一家安全公司，如果在僅經(jīng)過工具的掃描，未在產(chǎn)品上進(jìn)行實(shí)際驗(yàn)證，甚至對(duì)產(chǎn)品、產(chǎn)品架構(gòu)及環(huán)境根本不了解的情況下，就聲稱發(fā)現(xiàn)大量后門和未修補(bǔ)的嚴(yán)重漏洞，是無法讓人信賴的。”華為方面表示。

事實(shí)上，針對(duì)產(chǎn)品相關(guān)的安全漏洞信息，華為早已建立了產(chǎn)品安全應(yīng)急響應(yīng)團(tuán)隊(duì)（PSIRT）。一旦確認(rèn)漏洞，PSIRT會(huì)及時(shí)將信息傳遞給受影響產(chǎn)品的團(tuán)隊(duì)，并積極跟蹤直至問題解決。

華為建立并實(shí)施了一套分層的端到端網(wǎng)絡(luò)安全評(píng)估流程，確保在各階段（概念、設(shè)計(jì)、開發(fā)、直到在全球客戶網(wǎng)絡(luò)中部署和維護(hù)）都對(duì)產(chǎn)品進(jìn)行審視，以發(fā)現(xiàn)潛在的安全問題。

本文系觀察者網(wǎng)獨(dú)家稿件，未經(jīng)授權(quán)，不得轉(zhuǎn)載。

• 

標(biāo)簽 華為

• 請(qǐng)支持獨(dú)立網(wǎng)站，轉(zhuǎn)發(fā)請(qǐng)注明本文鏈接：
• 責(zé)任編輯:谷智軒
• 最后更新: 2019-07-09 11:51:35

相關(guān)推薦
• 

  國家郵政局：建立實(shí)施快遞行業(yè)失信主體“黑名單”

  2019-07-09 10:13 電子商務(wù)
• 

  不到一周，A股4位董事長被抓

  2019-07-09 08:53 上市公司
• 

  全球經(jīng)濟(jì)放緩之際，外資持有人民幣債券逼近2萬億

  2019-07-09 08:11 金融圈
• 

  蘋果評(píng)級(jí)遭下調(diào)至“賣出”，盤前股價(jià)跌近2％

  2019-07-08 21:24 蘋果新“品”
• 

  安倍“鎖喉”，三星“太子”抵日

  2019-07-08 19:45 三八線之南
• 

  央行研究局：將推動(dòng)央行發(fā)行數(shù)字貨幣研發(fā)

  2019-07-08 17:32
• 

  涵蓋13億人口，非洲大陸自貿(mào)區(qū)正式啟動(dòng)

  2019-07-08 16:32 非洲之窗
• 

  全國銀行間同業(yè)拆借中心通報(bào)批評(píng)平安銀行和招商銀行

  2019-07-08 15:39
• 

  獎(jiǎng)勵(lì)入職養(yǎng)老業(yè)者，蘇州最高獎(jiǎng)6萬

  2019-07-08 13:46 養(yǎng)老與社保
• 

  不讓漲價(jià)，杭州金茂府二期價(jià)格與首期相當(dāng)

  2019-07-08 11:11 中國房市
• 

  為獲美國豁免，匯豐“陰”了華為？

  2019-07-08 10:12 華為
• 

  小區(qū)有獅子跑出來溜達(dá)？真相來了

  2019-07-08 09:04 網(wǎng)絡(luò)謠言
• 

  一篇酒桌文化背后，山東16市集體“南下”學(xué)習(xí)

  2019-07-08 07:32
• 

  手機(jī)賣不動(dòng)，蘋果還要向三星賠47億

  2019-07-07 16:42 蘋果新“品”
• 

  國際化指數(shù)10年躍升150倍，人民幣成主要國際貨幣

  2019-07-07 11:18 人民幣國際化
• 

  麥肯錫：世界對(duì)中國經(jīng)濟(jì)依存度上升

  2019-07-07 07:48 宏觀經(jīng)濟(jì)
• 

  看好中國市場 美動(dòng)力設(shè)備制造商加大對(duì)華投資

  2019-07-06 19:12 中美關(guān)系
• 

  全球第四大油服巨頭正式申請(qǐng)破產(chǎn)

  2019-07-06 14:39 大公司
• 

  奇葩說造富記

  2019-07-06 08:56
• 

  江淮汽車排放造假，收到1.7億元罰單

  2019-07-05 22:13 綠水青山就是金山銀山