-
李红雨:美企发现华为设备大量漏洞?真是费心了
关键字: 美国公司华为产品漏洞政治立场缺乏洞察力缺陷不是安全后门
(美国国家漏洞数据库中显示微软公司漏洞数量位于TOP5的第一位)
动机不纯,公正性就无从谈起,如何制造更有指向性的结论就是一件简单的事情。任何一个公司的软件系统都有一些公共的资源共享,都有一些特殊的编码模式可以遵循,因此选取一些具有指向性的特征值集合,就能获得期望的有偏向性的结果。我们无从知道F公司采用的特征值集合组成情况,是否具有普适性,是否经过目标明确的裁剪,这同样会让F公司的测试报告失去可对比的公允性。华为报告也指出来,用来对比的公司既非主流也缺少足够的数据采集量,获得的采样分析结论就肯定不具有统计学上的显著意义,这对于一个专业公司来说,如果连基础统计学意义都没有达到,那么付出那么大代价所要得到的结论首先就禁不起科学的推敲,显得很不专业。上面两种可能性导致结果偏差的存在,不能不令人怀疑F公司背后隐藏着的动机。
华为报告中用明确的例子一一指出来F公司不专业的表现,他们对于嵌入式系统需要遵循的规范显然比较陌生,更要命的是,华为产品是对Linux系统的深度改版,只保留了系统最核心的基础功能,更多的有关用户管理、远程接入控制、TCP/IP协议栈都是由自主开发的VRP(Versatile Routing Platform)接管,取代了Linux原有的功能。虽然我们不知道这与鸿蒙系统的承继关系如何,不过可以看出来华为对于Linux系统吃得很透,已经进入自由王国境界的门槛。
但是F公司显然不知道这个情况,他们做的扫描检测一律按照标准的Linux系统实现的模式来进行,走入的技术路径跟华为南辕北辙,也难怪华为一再指出来,如果F公司之前与华为进行沟通就不会犯这种低级的错误,将根本不存在的问题拿出来说事。标准模式下运行的扫描系统会按照Linux实现规范进行检测,根本不会理会华为专有的设计架构,所以得出的结果自然是无效的,除非系统能够专门针对华为产品进行定向定制,而这样的工作其实只有华为自己公司才能实现。
(VRP接管远程用户接入)
不过华为报告中同时也认可了F公司报告中发现的一些问题,这些问题包括:
1. 遗留超级用户帐户的授权authorized_keys文件
2. 已修复的漏洞,没有将相应的版本号同步修订
由于华为产品相关操作都已经转为在VRP环境下运行,不再需要Linux环境下的authorized_keys授权文件,这类文件属于开发工程调试阶段的遗留产物,在正式发布的产品中应该被剔除。显然华为在产品发布清单管理方面的工作还有待加强。任何一个大系统中,多多少少都会遗留一些陈旧的代码文件,这些文件在任何动态测试的环节中都无法被发现,只有建立起来明确的产品发布清单核查机制后,才能有效地避免类似的垃圾文件混入发布产品中的情况发生。当然因为这些数据或者文件不会影响产品的功能实现,在很多公司,除了比较认真的团队会做一个彻底的清理外,基本都会多多少少忽视这个环节。其实包括微软在内,发布的windows产品一直都有很多类似的垃圾文件存在,至于共享生态下的Linux体系,这类文件就更多了,很少引起大家的重视。但是不管怎么说,存在这类垃圾文件本来就不是好现象,更何况还是这样敏感的授权文件,就更不应该,华为在新发布的修正版中已经剔除掉这个文件。总的来说,这个文件属于废弃的文件,由于Linux对应的操作代码在系统中不复存在,因此任何时候都无法将其利用作为提权的手段,因此不属于存在实质性的安全问题,顶多算是系统环境清理得不够干净。
有关漏洞修复后不同步更新版本号,其实也是共享软件一直存在的痼疾,毕竟散乱的开发成员之间是否能够严格遵循版本管理的约定,很多时候都是依靠自我管理,这不像在同一个公司能够制定刚性的纪律来强制执行,所以对于这个业界普遍知晓的问题,也确实需要得到重视,能够在巡检的过程中发现此类问题,并进行更正也是很有必要的。我们注意到华为针对此类问题都做了再次仔细的核查,并确认标识的版本中存在的漏洞都已经修复过,但是版本号没有进行过更新,因此导致扫描软件发生误判。严格来说,虽然漏洞在实际的代码中早已被修复,但是这种版本号没有同步更新的情形仍然算作系统的缺陷,但是不归入到威胁安全水平的致命型缺陷中。
可以说,F公司发现的上述两种类型的问题,确实属于实实在在需要改进的缺陷,只是这些缺陷并不属于安全漏洞或者后门,通常测试时候发现类似的问题,如果出于交付时间和工作量的综合考虑,仍然可以将产品交付,不用进行修复,这在测试领域内也是允许和经常发生的。毕竟任何已经发布的软件产品中都必然存在一些缺陷,那是真正影响到软件功能实现的问题。软件领域中,完美主义是根本无法实现的理想,你看看手头上那些主要使用的软件,哪个不是经常在打补丁,堵漏洞?所以类似上述与功能实现都一点不相关的问题,在很多公司中,甚至都不当作缺陷来看待。当然,一个优秀的公司,它的优秀应该是体现在方方面面的,在细节上的精雕细琢是必须具备的品质,所以来说,华为也确实需要在上述两个环节中加强管理,因为确实会发生某些特殊的情况,垃圾文件也会被有心人利用起来,作为攻击的手段;版本管理的失调,更会在后续的版本迭代过程中发生很多意想不到的疏漏,这是华为在这个事件中需要吸取的教训。
尽管F公司发布了所谓发现华为产品存在疑似漏洞和后门的报告,但是因为这个报告违反了业界约定俗成的规范,在数据采集过程中存在某些法律越界的现象,也没有采用最新的固件版本,发现疑似漏洞也没有进一步多方核查,就贸然将高达90%以上不可靠结论的报告当作最终报告,也不奇怪华为很不客气地评价说:最好的情况下是种质疑,最差的情况下就是不准确的。并且在美中两国进行贸易争端谈判和美国单方面将华为列入实体清单,并号召全世界进行封杀的时候,如此违反常规的做法,背后没有政治目的是很不令人信服的,何况这些所谓的漏洞后门在华为报告中都已经进行了一一反驳,一个进行了几个月的调查,采集了500多种产品软件,近1万个固件和150多万份文件的专业公司,走了这么不专业的路径,得出这么不专业结论,我们不相信不是出于某些非技术的目的。
科学家和工程师们面对问题需要具有客观性,但是政客们可以随意筛选他们想要的论据,不具专业能力的普通人只能在科学技术工作者和政客的言论之间选择自己的立场。如果前两种人物具有某种默契,就会形成一个远离事实的舆论场,等到真相到来的时候,有些成见已经固化,难以挽回,中国成语有所谓的“三人成虎”就是这个道理。
你得承认美国人确实在国际事务中积累了丰富的博弈经验,他们知道在叫牌之前,如何制造出来一个有利于自己的氛围,让参加博弈的对方还没开局就已落下方,逼迫对方知难而退,特朗普的极限施压是这个博弈方法最登峰造极的典型例子。F公司的作为显然也是制造这个不公正氛围的一个有机组成,他们不光彩的是一面打着科学公正的面目,另一面却在做着违反行业各种规范的事情,一面在明,一面在暗,而公众只能从他们充满谬误的结论中,误认为这就是公正。
科学家和工程师们面对客观世界虽然需要秉持客观公正的态度,遵循业界业已行之有效的各种行事规范,但是就科学家、工程师个人以及公司而言,同样需要面对各种私利的诱惑,没有哪个研究表明科学家团体具有更高的道德水准,一旦他们的行为失范,就会利用公众对科学的信任,将错误的信息传达给整个社会。这样的事例可以说是层出不穷,国内国外皆如此,就F公司的这个报告来说,就是提供的又一个典型的例子。很多国内的公众仅仅从表面的结论中误以为华为确实被美企抓住了把柄,但实际的情况,这只是中美大博弈过程中一个小小的浪花,对于技术界来说, 这个充满偏见和非专业色彩的报告根本没有多少可供参考的价值,只能被政客拿来做他们博弈过程中一个小小的筹码。
本文系观察者网独家稿件,未经授权,不得转载。
-
本文仅代表作者个人观点。
- 请支持独立网站,转发请注明本文链接:
- 责任编辑:程小康
- 最后更新: 2019-07-12 08:11:55
-
韩国商家借日本制裁“趁火打劫”:DRAM价格无故上涨
2019-07-11 22:40 三八线之南 -
日对韩制裁范围或再扩大,韩半导体产业未来发展堪忧
2019-07-11 22:01 -
三峡副总:只有中国科学家和工程人员才掌握大坝真实性态
2019-07-11 21:01 -
AI助力考古:利用神经网络破译古希腊失传文字
2019-07-10 21:16 考古 -
Gartner:阿里云全球市场份额增长近一倍
2019-07-10 17:53 大公司 -
华为产品获国内首个5G无线数据终端电信设备进网许可
2019-07-10 17:22 华为 -
小米搬入52亿新总部 雷军:奋斗九年终于买房
2019-07-10 16:02 大公司 -
德国电信首推5G网络服务 套餐价每月656元
2019-07-10 14:45 -
半导体制造设备今年全球销量或下降18%
2019-07-10 11:24 -
华为上半年发明专利授权量2314件,国内第一
2019-07-10 07:51 -
三峡大坝专家:“肉眼可见的扭曲”是不可能的
2019-07-10 07:23 超级工程 -
中国成功研制世界目前最大火箭分离气囊
2019-07-10 06:43 航空航天 -
华为麒麟810实体芯片曝光:7nm工艺,达芬奇架构
2019-07-09 10:22 华为 -
中兴通讯率先完成中国联通5G SA内场测试
2019-07-08 20:36 -
韩半导体材料库存告急,三星李在镕赴日急商对策
2019-07-08 11:56 -
AMD CPU日本零售份额突破50% 历史性超越Intel
2019-07-08 09:22 -
小米主题被曝“侵权偷图” 回应:系第三方作者行为
2019-07-08 08:46 大公司 -
中国每年产氢约2200万吨,占世界氢产量三分之一
2019-07-08 06:41 新能源汽车 -
原信产部部长吴基传:5G的重点不是取代4G而在工业互联网
2019-07-07 21:38 5G -
中科院院士:火星车已经做好,明年首探火星
2019-07-07 09:46 航空航天
相关推荐 -
5.3%,一季度“开门红”能转化为“全年红”吗? 评论 52“以色列精心策划俩月,但严重低估了伊朗反应” 评论 98美国胁迫下,阿斯麦CEO最新涉华表态 评论 208他张嘴就来:不寻求与中国贸易战,但中企作弊… 评论 251乌克兰暗示西方“双标”,美欧:你们和以色列不一样 评论 387最新闻 Hot
-
5.3%,一季度“开门红”能转化为“全年红”吗?
-
“未来几年,这是各方关注中国市场的一个重要指标”
-
应韩企要求,美国拟恢复一项涉华关税
-
菲律宾“倒打一耙”
-
“以色列精心策划俩月,但严重低估了伊朗反应”
-
“你们愿意中国提前登月?不愿意?那就打钱”
-
“因美国施压,墨西哥将不对中企提供投资激励”
-
“恩威并用”仍被拒,美国又打起别的算盘
-
“我舅舅二战时被食人族吃了”,五角大楼:呃…
-
美国胁迫下,阿斯麦CEO最新涉华表态
-
与中国建交后首次!美澳紧盯这国选举
-
G7财长:将协调对伊、对俄制裁
-
他张嘴就来:不寻求与中国贸易战,但中企作弊…
-
美菲军演将击沉“中国造”军舰,菲军方声称“不是故意为之”
-
声称选举不自由,美国将恢复对委内瑞拉制裁
-
“以色列曾考虑周一反击伊朗,但最终决定推迟”
-