英國政府華為評估報告之觀察
2019.04.12
瀏覽數
145
壹、新聞重點
英國國家網路安全中心(National Cyber Security Centre)的華為安全評估中心監督委員會(Huawei Cyber Security Evaluation Center Oversight Board)於2019年3月28日發表年度報告,總結過去一年來英國政府與華為共同成立之華為安全評估中心的工作成果。該報告指出,華為設備在軟體開發流程中有重大技術問題,將對英國通訊網路產生新的風險。[1]由於華為並未對2018年度報告提出的軟體開發與資訊安全問題進行改善,因此該報告亦表示,僅能為目前在英國使用華為設備的長期安全「提供有限保證」(limited assurance)。
貳、安全意涵
一、安全風險亦可能源自軟體開發
傳統軟體開發生命週期(Software development life cycle)以軟體功能為導向,常被詬病缺乏安全性考量,依賴外部機制如防火牆以防止入侵。若資安問題源自系統設計與邏輯層次的安全瑕疵,傳統流程難以完全管控風險。因此,後來開始導入安全思維來進行改進,如微軟提出的安全開發生命週期(Security Development Lifecycle, SDL)等。以此角度觀察,該報告指出華為設備使用之軟體,其構建過程(build process)缺乏完整性,不僅未妥善進行組態管理(configuration management),各版本間軟體元件生命週期管理(software component lifecycle management)亦付之闕如,導致關鍵第三方元件如資料傳輸加密軟體函式庫OpenSSL,竟同時使用多個版本,甚至包括已經發現有漏洞或不再支援的舊版函式庫,顯示軟體開發流程有問題,極可能成為使用華為設備風險的來源之一。
為瞭解華為設備使用軟體是否有漏洞,該報告已設法由華為提供的原始碼重新編譯,檢查是否能構建出功能等同的軟體。但由於上述之複雜構建過程,不易確定每次編譯出的軟體都是相等的,故難以確認這和現今英國通訊系統運作之軟體一致。如此一來,不僅無法保證華為設備品質和安全無虞,更難徹底評估其安全風險。
二、英國政府以證據展現對華為設備的不信任
在美國將華為視為安全威脅,並呼籲盟國抵制華為參與5G行動網路建設後,華為公司亦曾多次表示,外界質疑該公司產品有安全疑慮的同時亦應提出證據。該報告雖並未直接指出華為軟體有明顯後門,而2019年2月20日德國聯邦資訊安全辦公室(Bundesamt für Sicherheit in der Informationstechnik, BSI)公布的調查報告,針對華為是否暗中調取資料進行間諜行為,也表示查無證據。但英國政府報告明確指出由軟體開發流程造成的資安問題,已經展現英國政府對於華為設備的不信任。
無獨有偶,該報告所提出的質疑,也與荷蘭知名資安研究者Victor Gevers獨立研究的觀察相符。[2]他在開源軟體開發平台Github上,找到寫著華為公司內部網路管理者帳號密碼的程式代碼,若駭客取得這些資訊,即可直接登入華為公司內部網路取得機敏資料。據信,這份代碼是2018年底上傳至Github,距2019年3月初被Gevers發現,已經在該平台存在至少兩個多月,顯示華為公司對於重要登入資訊管控的態度非常鬆散,嚴重缺乏安全意識。
參、趨勢研判
一、修補程式(patch)若遭植入惡意程式恐引發更嚴重資安危機
一般而言,軟體開發必須在耗費時間與所需達成的功能之間取得平衡。因此,在正式版本發布後,若發現漏洞需以修補程式進行軟體更新,以加強安全。就華為軟體已知的架構而言,除了遺留許多讓駭客得以利用的潛在漏洞外,這些漏洞一旦被公開,必定需要透過修補程式來進行更新。然而,近期陸續傳出駭客利用重大漏洞公布,以釣魚信件散布偽造之修補程式下載連結,讓使用者在不知情的情況下,安裝含有惡意程式的修補程式。[3]更甚者,駭客透過入侵官方軟體更新伺服器,來劫持整個更新流程,讓惡意軟體透過官方更新管道散布,同時以竊取之官方加密憑證為惡意軟體進行簽署。[4]使用者由官方驗證管道下載軟體進行更新,不但沒有加強安全性,反而引狼入室。這種新型攻擊手法,很可能讓使用者對於軟體更新產生疑慮,破壞對軟體本身加強安全性機制的信任關係,因而不願以修補程式對有漏洞的軟體進行更新,未來恐引發更嚴重的資安危機。
二、美國與英國希望影響其他國家採用華為產品意願
雖然2019年2月17日傳出有知情人士表示,英國政府認為華為設備風險可以控管,但該報告發表時間,正值英國政府預備正式決定是否允許華為參與下一代5G網路建設,這個大動作顯示可能已準備禁止華為參與。[5]英國身為五眼聯盟(Five Eyes)之主要成員,這項決定將具有指標性,表示聯盟內部對於華為的態度漸趨一致,希望能進一步影響其他國家讓華為參與5G網路建設、採用該公司設備的意願。對於已經採用的國家,即使難以更換完成部署的相關設備,亦可能因為新的證據出現,而減少未來對華為設備的採購。如果美國聯邦檢察官因華為孟晚舟案展開的相關調查,能夠對華為安全威脅提出更明確的證據,預期將會對華為參與5G網路建設造成更大的打擊。
[1] Huawei Cyber Security Evaluation Centre (HCSEC) Oversight Board, Huawei Cyber Security Evaluation Centre Oversight Board: Annual Report 2019, March 28, 2019. https://www.gov.uk/government/publications/huawei-cyber-security-evaluation-centre-oversight-board-annual-report-2019
[2] Victor Gevers, “It's interesting how @Huawei claims to be hacked by the US a few times. So I started looking at what is publicly available. The security team of @Huawei loves their @Splunk apps and push their LDAP network credentials to @github.” Twitter, March 9, 2019. https://twitter.com/0xDUDE/status/1104297072159789056
[3] Darren Allan, “Meltdown and Spectre fake patch warning: be careful what you download,” techradar, January 18, 2018. https://www.techradar.com/news/meltdown-and-spectre-fake-patch-warning-be-careful-what-you-download
[4] 此即華碩筆記型電腦一案,詳參Kim Zetter, “Hackers Hijacked ASUS Software Updates to Install Backdoors on Thousands of Computers,” Motherboard, March 25, 2019. http://tinyurl.com/y5a86tda。
[5] Leo Kelion, “Huawei’s ‘shoddy’ work prompts talk of a Westminster ban,” BBC News, April 8, 2019. https://www.bbc.com/news/technology-47830056