-
李红雨:美企发现华为设备大量漏洞?真是费心了
关键字: 美国公司华为产品漏洞政治立场缺乏洞察力缺陷不是安全后门导读导语:Finite State公司是一家总部位于美国俄亥俄州哥伦布市网络安全公司,给网络硬件和软件提供安全评估,为美国国家安全和美国私营部门的最高层工作。【文/观察者网专栏作者 李红雨】
这几天,网上很多有关美国俄亥俄州网络安全公司Finite State(以下简称F公司)发现华为公司网络产品存在大量漏洞和后门的消息传出来。《华尔街日报》在7月5日也报道了这一事件,为中美两国目前关于华为产品安全性的争论,似乎提供了一个确凿无疑的有利于美方的证据,据说相关报告在美国政府高层已经获得了相当多的认同,美国的盟友一直要求美国拿出来有关华为存在安全性漏洞的证据,按照现在美国政府毫无顾忌的行事表现,如果过几天有某些政客拿着个报告说事,一点都不会令人感到惊讶。
F公司花费了几个月的时间进行了调查分析,最终报告的详细内容是在上月底开始流出的,几乎在第一时间,华为在它的网站上发表了《华为PSIRT:《Finite State供应链评估》的技术分析报告》(以下简称华为报告),针对这份报告中的结论进行了详细回复。我们注意到这个回复修改的时间是7月3日,最初发布的回复应该更早,说明华为对这个报告提出的问题是重视的,响应是迅速的。
(华为公司官网回应)
华为报告中指出,F公司的“这份报告缺乏洞察力、完整性和准确性,F公司的这种做法也不是一个专业、认真、有能力的安全公司通常的做法。”并且“鉴于F公司的做法及其工具和方法的不足,其分析结果,最好的情况下是种质疑,最差的情况下就是不准确的。若是通过合作而不是在安全方面选择政治立场的话,这本应是可以避免的。”仔细阅读了华为报告之后,华为针对F公司相关报告的这段回复总结,分析是专业的,判断是准确的。
(Finite State针对华为供应链给出评估报告)
业界中,针对软件系统的漏洞无论是自查还是第三方辅助巡查,都是保证软件正常安全运行的常规机制,尤其第三方参与的查漏机制,对于很多大公司来说,不但不是反对的,而且往往还有一定的奖励措施。所以按照常理来说,F公司投入这么大资源,这么长时间专门针对华为产品进行漏洞检测,在正面的效果来说,对华为产品的安全性有很大的促进作用,理应当获得华为的欢迎.
不过正如华为报告中指出来的那样,F公司如此费劲气力做出来的结果,却在关键的一些环节上没有遵循业界惯常的做法,也就是说,F公司需要将报告提交给华为公司,提出漏洞存在的可能性,并且由双方共同进行验证。F公司没有遵循这个规范做法,而是直接将报告交给正在苦于找不到华为不安全证据的美国政府手中,其中的意味就显然有不善的成份,难怪华为对此表达了相当愤怒的情绪。
(Finite State公司对华为的CE12800和Juniper的EX4650、Arista的7280R产品做了对比分析,结果认为华为产品安全性差、有疑似后门,安全性低于友商)
(华为针对报告中提到的AR3600 V200R007C00SPCb00存在10个已知漏洞的情况,经过分析确认,其中6个不受影响、2个已修复,2个风险低)
F公司测试报告中使用的分析方法SCA(Software Composition Analysis)技术也是业界普遍采用标准化漏洞扫描技术,实现的方法非常简单,大致有以下几个检验原则:
1. 识别软件中所使用开源软件版本、License 信息,确保开源软件使用合规性
2. 根据开源软件版本到漏洞库中匹配,以得出开源软件的全部漏洞列表
3. 针对一些安全性薄弱的函数方法和调用手段给予警示
所有的SCA都是采用特征值检测,软件实现的逻辑是相对简单的,它通过扫描软件,与需要预警的特征值进行匹配,至于这个特征值的实际实现的功能究竟为何,不放到整个的软件逻辑和数据环境中,是不可能得到的。所以SCA扫描获得的结果只能用来做警示信息,还需要通过人工进行二次核对,这才是业界正确的规范做法。仅仅根据疑似的特征值,就贸然得出存在漏洞的结论是相当武断毛糙的,的确不是一个正常公司的正常做法。
要知道无论是源代码还是二进制代码,通过读取软件代码,分析出来软件的操作能力和运行结果的空间,还是一个相当有挑战新的话题,这属于机器证明的领域,不是现在时,在今后相当长时间内,都不会有什么显著的进展,目前甚至连理论都没有什么引人注目的成果,蓬勃发展的AI也还没有将这部分纳入到研究的范畴,更不用说F公司能够提供什么革命性的解决方案了,所以华为指责F公司的报告根本没有考虑到软件的上下文,这就一点也不奇怪,因为这个世界上目前还不存在这个技术。
通过特征值扫描技术得到的结果可信度非常低,有证据表明,90%以上的疑似结果都证明是错误的,这就好比说,窃贼往往在夜深人静的时候登门入户行窃,但是如果因此你将所有夜行的人都当作窃贼,那就是极其荒腔走板了。F公司的检测报告就是这样一个荒腔走板的报告。如果F公司遵循业界正常的流程,将这个报告提交给华为公司做进一步的确认,或者F公司也可以自己组织资源针对潜在的漏洞进行攻击验证,那么获得的结果可信度就能大大提高,也能排除绝大多数的虚假警示,也是业界提倡的两种行为规范。但是F公司走的是另外一条上层路线,直接将这个报告交给对于技术一无所知的政客,让他们拿来作为攻击华为安全性的炮弹,这样的用意动机首先就不纯,违反了业界的行为规范,也给自己公司的专业性、公正性蒙上污点。我们注意到尽管F公司提及那么多漏洞和后门,但是没有一个得到最终的确认,所有结果就仍然还属于莫须有的状态。
-
本文仅代表作者个人观点。
- 请支持独立网站,转发请注明本文链接:
- 责任编辑:程小康
- 最后更新: 2019-07-12 08:11:55
-
韩国商家借日本制裁“趁火打劫”:DRAM价格无故上涨
2019-07-11 22:40 三八线之南 -
日对韩制裁范围或再扩大,韩半导体产业未来发展堪忧
2019-07-11 22:01 -
三峡副总:只有中国科学家和工程人员才掌握大坝真实性态
2019-07-11 21:01 -
AI助力考古:利用神经网络破译古希腊失传文字
2019-07-10 21:16 考古 -
Gartner:阿里云全球市场份额增长近一倍
2019-07-10 17:53 大公司 -
华为产品获国内首个5G无线数据终端电信设备进网许可
2019-07-10 17:22 华为 -
小米搬入52亿新总部 雷军:奋斗九年终于买房
2019-07-10 16:02 大公司 -
德国电信首推5G网络服务 套餐价每月656元
2019-07-10 14:45 -
半导体制造设备今年全球销量或下降18%
2019-07-10 11:24 -
华为上半年发明专利授权量2314件,国内第一
2019-07-10 07:51 -
三峡大坝专家:“肉眼可见的扭曲”是不可能的
2019-07-10 07:23 超级工程 -
中国成功研制世界目前最大火箭分离气囊
2019-07-10 06:43 航空航天 -
华为麒麟810实体芯片曝光:7nm工艺,达芬奇架构
2019-07-09 10:22 华为 -
中兴通讯率先完成中国联通5G SA内场测试
2019-07-08 20:36 -
韩半导体材料库存告急,三星李在镕赴日急商对策
2019-07-08 11:56 -
AMD CPU日本零售份额突破50% 历史性超越Intel
2019-07-08 09:22 -
小米主题被曝“侵权偷图” 回应:系第三方作者行为
2019-07-08 08:46 大公司 -
中国每年产氢约2200万吨,占世界氢产量三分之一
2019-07-08 06:41 新能源汽车 -
原信产部部长吴基传:5G的重点不是取代4G而在工业互联网
2019-07-07 21:38 5G -
中科院院士:火星车已经做好,明年首探火星
2019-07-07 09:46 航空航天
相关推荐 -
首次超过燃油车!我国新能源乘用车渗透率破50% 评论 140马斯克公开反对禁止TikTok 评论 161伊朗外长否认以空袭:除非遭重大袭击,否则不予回应 评论 284重庆通报“燃气费异常”:燃气集团党委书记被免职 评论 823“伊以都在降调”,国对国直接打击结束? 评论 169最新闻 Hot
-
伊朗外长否认以空袭:除非遭重大袭击,否则不予回应
-
特朗普“封口费”案法庭外,男子自焚
-
“美国在中东再怎么牵扯精力,不能忘了中国才是头等大事”
-
马斯克公开反对禁止TikTok
-
“伊以都在降调”,国对国直接打击结束?
-
美方挑事:中国做出贡献,威胁全欧洲
-
印度大选开锣,莫迪稳赢了?
-
俄气真香?欧盟机构警告:一时断不了
-
“德国车是世界上最好的,不必害怕中国,但…”
-
抛弃自家兄弟,肯尼迪家族15人支持拜登
-
“拜登考虑再援以10亿美元武器”
-
日教材称“殖民推动韩国近代化”,韩外交部召见日大使抗议
-
重庆通报“燃气费异常”:燃气集团党委书记被免职
-
G7竟威胁中国:跟俄罗斯走近,与西方就远
-
以色列“有限复仇”:选在了伊朗核计划中心
-
5.3%,一季度“开门红”能转化为“全年红”吗?
-