-
设备安全性被美企质疑,华为发长文回击
关键字: 华为漏洞Finite State【文/观察者网 谷智轩】
上月底,美国俄亥俄州网络安全公司Finite State(下称,F公司)流出的一份报告称,与竞争对手的设备相比,华为设备更有可能存在可以被黑客恶意利用的漏洞。
《华尔街日报》7月5日报道称,这份报告在公开发布前,已经在特朗普政府高级官员中广泛流传。这些官员认为,Finite State的研究是可信的,进一步证实了美方有关“华为威胁国家安全”的立场。
对于上述报告,华为本月初发布数千字长文予以驳斥,表示F公司的研究“缺乏洞察力、完整性和准确性”,其使用的方法“存在严重的操作和技术缺陷,测试缺乏中立性,报告严重失实”。
PSIRT,Product Security Incident Response Team,产品安全应急响应团队。华为网站截图
“对F公司有违常规的做法感到惊讶和失望”
具体来看,F公司称其使用专有的自动化系统,分析了超过150万份独特的文件,这些文件嵌入在华为企业网络产品线内558种产品的近1万个固件镜像中。
报告称,在华为设备中发现漏洞的比率远远高于竞争对手设备的平均水平,在被测试的固件镜像中,有55%至少存在一个所谓“潜在后门”的漏洞,这类漏洞能让了解相关固件和密钥的攻击者登入设备。
这份报告包含了一个研究案例——将华为一款高端网络交换机与美企Arista Networks和Juniper Networks的类似设备做了比较。研究称,在九个比较类别中,华为的设备在六个类别上含有更高的风险因素,而且整体上高出不少。
对于上述情况,华为在《华为PSIRT:〈Finite State供应链评估〉的技术分析报告》一文中指出,2019年6月26日,F公司在其官方网站公布华为技术有限公司的《供应链评估》报告,该报告重点描述了其使用固件(二进制软件包)静态分析工具,分析了华为企业网络500多个产品,并对华为的CE12800和Juniper的EX4650、Arista的7280R产品做了对比分析,结果认为华为产品安全性差、有疑似后门,安全性低于友商。
华为CE12800系列交换机
“我们对F公司有违常规的做法感到惊讶和失望。我们无法确认F公司软件获取的渠道是否合法,也不能保证其获取软件的完整性,同时华为也未曾收到F公司的任何沟通请求。他们也没有通过华为了解这些产品,并拒绝在公布前将报告提供给华为。遗憾的是,这意味着这份报告缺乏洞察力、完整性和准确性,F公司的这种做法也不是一个专业、认真、有能力的安全公司通常的做法。”
文章进一步指出,鉴于F公司的做法及其工具和方法的不足,其分析结果,最好的情况下是种质疑,最差的情况下就是不准确的。若是通过合作而不是在安全方面选择政治立场的话,这本应是可以避免的。
CEO曾经手国防、情报界相关合同
值得注意的是,华为还对F公司及其CEO马特•怀克豪斯(Matt Wyckhouse)的目的提出了质疑,“为何他们没有选择市场领导者Cisco公司的产品来做比较,为何评估的是华为产品的老版本,发现的是已经在新版本中修复的问题。”
而对于怀克豪斯的背景,《华尔街日报》此前已挖掘了一番。
在2017年与他人联合创办F公司之前,怀克豪斯曾为俄亥俄州Battelle研究所工作了13年,该机构号称是一家“私营的、非营利的应用科学技术公司,从事私营和公共领域的研究工作”。
在Battelle研究所工作期间,身为计算机科学家的怀克豪斯曾效力于该机构的国家安全部门,这个部门负责处理美国国防界和情报界相关的合同。
怀克豪斯称,F公司针对华为的报告是“公益性的、不代表任何政府”,“我们希望5G是安全的”。
华为方面则表示,“F公司花费几个月时间进行了一项有问题的分析,而华为PSIRT(产品安全应急响应团队)在公布报告后第一时间对报告中提到的所有问题进行了调查,我们认为F公司的方法存在严重的操作和技术缺陷,测试缺乏中立性,报告严重失实。”
需要提及的是,尽管怀克豪斯仍然坚称“华为的漏洞是广泛存在的”,但相关报告并没有指责华为故意在产品中植入漏洞。
不过,对于F公司在报告中大量使用“潜在后门”一词,华为表示这种语言是“情绪化、夸大性的”。
“任何一家安全公司,如果在仅经过工具的扫描,未在产品上进行实际验证,甚至对产品、产品架构及环境根本不了解的情况下,就声称发现大量后门和未修补的严重漏洞,是无法让人信赖的。”华为方面表示。
事实上,针对产品相关的安全漏洞信息,华为早已建立了产品安全应急响应团队(PSIRT)。一旦确认漏洞,PSIRT会及时将信息传递给受影响产品的团队,并积极跟踪直至问题解决。
华为建立并实施了一套分层的端到端网络安全评估流程,确保在各阶段(概念、设计、开发、直到在全球客户网络中部署和维护)都对产品进行审视,以发现潜在的安全问题。
本文系观察者网独家稿件,未经授权,不得转载。
标签 华为- 请支持独立网站,转发请注明本文链接:
- 责任编辑:谷智轩
- 最后更新: 2019-07-09 11:51:35
-
国家邮政局:建立实施快递行业失信主体“黑名单”
2019-07-09 10:13 电子商务 -
不到一周,A股4位董事长被抓
2019-07-09 08:53 上市公司 -
全球经济放缓之际,外资持有人民币债券逼近2万亿
2019-07-09 08:11 金融圈 -
苹果评级遭下调至“卖出”,盘前股价跌近2%
2019-07-08 21:24 苹果新“品” -
安倍“锁喉”,三星“太子”抵日
2019-07-08 19:45 三八线之南 -
央行研究局:将推动央行发行数字货币研发
2019-07-08 17:32 -
涵盖13亿人口,非洲大陆自贸区正式启动
2019-07-08 16:32 非洲之窗 -
全国银行间同业拆借中心通报批评平安银行和招商银行
2019-07-08 15:39 -
奖励入职养老业者,苏州最高奖6万
2019-07-08 13:46 养老与社保 -
不让涨价,杭州金茂府二期价格与首期相当
2019-07-08 11:11 中国房市 -
为获美国豁免,汇丰“阴”了华为?
2019-07-08 10:12 华为 -
小区有狮子跑出来溜达?真相来了
2019-07-08 09:04 网络谣言 -
一篇酒桌文化背后,山东16市集体“南下”学习
2019-07-08 07:32 -
手机卖不动,苹果还要向三星赔47亿
2019-07-07 16:42 苹果新“品” -
国际化指数10年跃升150倍,人民币成主要国际货币
2019-07-07 11:18 人民币国际化 -
麦肯锡:世界对中国经济依存度上升
2019-07-07 07:48 宏观经济 -
看好中国市场 美动力设备制造商加大对华投资
2019-07-06 19:12 中美关系 -
全球第四大油服巨头正式申请破产
2019-07-06 14:39 大公司 -
奇葩说造富记
2019-07-06 08:56 -
江淮汽车排放造假,收到1.7亿元罚单
2019-07-05 22:13 绿水青山就是金山银山
相关推荐 -
以色列“有限复仇”:选在了伊朗核计划中心 评论 312以色列“报复”开始:伊朗多地传出爆炸声 评论 5815.3%,一季度“开门红”能转化为“全年红”吗? 评论 148“以色列精心策划俩月,但严重低估了伊朗反应” 评论 120美国胁迫下,阿斯麦CEO最新涉华表态 评论 235最新闻 Hot
-
以色列“有限复仇”:选在了伊朗核计划中心
-
5.3%,一季度“开门红”能转化为“全年红”吗?
-
两大家族开撕?菲第一夫人公开指责副总统:不道歉,这事就没完
-
美国一票否决,多方回应
-
李迅雷:发展服务业与做强制造业不矛盾,可参照德国、日本
-
欧盟跟着泼脏水:中国不仅坐山观虎斗,还下场了
-
美国积极促成沙以和好,“可以限制中国”
-
“这是拜登政府首次挑起加税,中方反制不会手软”
-
“预计今年将推出一揽子政策,旨在解决问题而非刺激经济”
-
美以私下做了个交易?美方紧急撇清
-
特朗普变口风:乌克兰的存亡对美国很重要,欧洲麻利点
-
“未来几年,这是各方关注中国市场的一个重要指标”
-
应韩企要求,美国拟恢复一项涉华关税
-
菲律宾“倒打一耙”
-
“以色列精心策划俩月,但严重低估了伊朗反应”
-
“你们愿意中国提前登月?不愿意?那就打钱”
-