Názory k článku Huawei si zkouší udobřit Evropu. V novém centru v Bruselu dá k náhledu zdrojové kódy
-
Vstřícný krok Huawei, který je samozřejmě vyvolán situací, kdy horzí, že jim unikne opravdu velký business, do kterého investovali nemalé peníze.
Má to ale pár mušek. Předně je otázkou, zda onen náhled do zdrojových kódů je skutečně náhled do produkčních zdrojových kódů. Faktem je, že nic nebrání dodavateli (Huawei) v zařízeních nakonec mít jiný SW, než odborníkům dá prostřednictvím uvedeného centra k dispozici, nebo onen SW nějakým patchem "vylepšit".
Druhým problémem je HW, i v případě, že Huawei poskytne přístup k popisu HW struktury, tak to se poměrně obtížně analyzuje a dokonce i velmi špatně dodatečně ověřuje, že nedošlo k nějakým změnám v produkci.
Trochu mne udivuje prohlášení "od čínské vlády jsme nedostali žádný požadavek, abychom zpřístupnili nějaká data". To zní ... velmi podezřele! Pokud by řekli, že to bylo v určitých a ty popsali, znělo by to věrohodněji. Důležité je také poukázat na Čínskou mentalitu, viz https://www.lupa.cz/clanky/jiri-opletal-jan-hradil-pri-dovozu-hardwaru-a-smartphonu-z-ciny-je-treba-cist-mezi-radky/ ; oni se snaží především zachovat si tvář, a to upřednostní i před pravdou. Tedy buď odpovít takovým způsobem, že to "je lež, ale vlastně není lež" a nebo i zalžou, a to není dle jejich měřítek v zásadě nic špatného. Je pak velmi důležité vědět, jak konkrétně onen představitel firmy tu větu řekl - v daném případě asi nemá smysl to extra hodnotit, protže je to xkrát přeloženo. Ane pro příklad - může to být tak, že vláda jim žádný požadavek nedoručila, ale tajné služby (které nepovažujeme za vládu) ano - alias lež to není, ale není to tak, jak se to na první pohled jeví ;)
-
- Ano, a ještě
- od loňského roku mají čínské firmy zákonnou povinnost spolupracovat s tajnými službami
- vzhledem k vládě jedné strany, nemusí dostávat vládní úkoly, ty mohou přijít po stranické linii (tedy klidně i v rozporu s jejich platnými zákony) - to jsme tu měli a fungovalo to tak, požadavky po stranické linii se plnily bez ohledu na zákony
A v neposlední řadě, loni na podzim vydal Ericsson aktualizaci softwaru s neplatným certifikátem a na den tak zboural LTE sítě řady operátorů. Nechtěně. Ale přesně toto je rizikem, že to může udělat dodavatel úmyslně. Musíte tedy dodavateli přiměřeně důvěřovat. To je ovšem u čínských firem poněkud problematické.
-
Četl jsem zprávu v článku zmiňovaného GCHQ (myslím, že z léta 2018) k nějaké zásadní krabici v 5G a jejich hlavní problém byl, že sice mají zdrojový kód, sami si ho přeloží, ale výsledná binárka nesedí na to, co dodá Huawei v zařízení, což nějak poznají, tak si s Hu znovu pošlou zdroják Hu to přeloží (totéž!) a ono to sakra je zase jiné a liší se to i od minulé binárky. Celý ten asi 20-ti stránkový elaborát končil slovy, že nebylo ani proč zkoumat zdrojáky, protože tzv. binární stabilita je předpokladem pro tento postup kontroly zdrojáků, a že na rozdíl od ostatních výrobců v Hu ještě nepochopili, co to je QualityControl a Stable Process. Problém je prostě v tom, že Číňan se hrabe nejenom ve zdrojáku, ale i v překladači a všem okolo, takže co build, to unikát.... pak by pročítání kódu a statická analza atd. byly jen ztráta času. Ale voni se to kluci čínský naučej - anebo to je zastírací manévr pro to, že tam ta děravá místa dávat chtějí... však víme, že někdy stačí změnit jedno JNE na JE a hele, ono to dělá pravý opak :-)
-
Ono to úplně není divné, že NUKIB má svůj názor a nemá potřebu se o své myšlení podělit.
Je nezbytné si uvědomit historii vzniku NUKIB, který byl součástí NBÚ, který nemusel nic vysvětlovat. A až nedávno byl zákonem vyčleněn jako samostatný správní orgán a tedy mimo působnost zákona o NBÚ.
Je otázkou, kdy to lidem, kteří x let pracovali jako zaměstnanci NBÚ dojde, že již se jako správní orgán musí řídit správním řádem a změnit trochu svůj přístup.
-
uvítal bych článek na téma
- jak prohledávám milióny řádků kódu v různých programovacích jazycích, které píší desítky tisíc programátorů na plný úvazek
- na které zařízení v telekomunikační infrastruktuře bych se soustředil
- jak bych se vyrovnal s updaty, které vychází několikrát za rok a opět mají statisíce řádků
- jak by taková bezpečnostní hrozba vypadala ve skutečnosti. Spíš sběr nějakých specifických dat - jakých a nebo možnost
zneprovoznění sítě? a nebo něco jiného?děkuji
-
Z článku to vypadá, jako kdyby kompilace běžela na serverech Huawei - v tom případě by ovšem nic zaručeno nebylo. Nehledě na to, že se vůbec neřeší aktualizace.
Je kouzelné, jak v jedné větě tvrdíš, že "HW nikdo backdoorovat nebude" a hned v další vzpomeneš IME, které (nebo něco na ten způsob) přesně takovým backdoorem může být :-D
-
1, trochu jiný pohled na cyber bezpečnost a 2é let staré problémy - https://napravnik.blog.idnes.cz/blog.aspx?c=702761
2, je divné, že NUKIB má svůj názor a jiné argumenty je nezajímají. Dost arogantní přístup.
-
"Kód, který si zákazníci otestují a prohlédnou, následně projde kompilací, je zahashován a ve stejné podobě by se pak měl objevit i v samotných zařízeních, které Huawei zákazníkovi dodá."
Bezpečnostné hashe sú bežný spôsob ako zabezpečiť SW proti modifikácii. HW ti nikto backdoorovať nebude (viď posledné fake news z USA o HW backdooroch v komponentoch Supermicro) a aj keby, nie je to nič, čo by porovnanie ciest s rantgenom HW neprezradilo. Skôr by som sa bál o ten build-in chip v Intel CPU, na ktorom beží varianta MINIX a nikto nevie presne čo sa tam odohráva. Ak chceš hľadať zadné vrátka, pozri sa skôr na US produkty a na tajné súdne príkazy, ktoré zverejnil Snowden. To sú fakty a nie domienky ako v prípade Číny.
-
USA nepřipustí ve světě technologický náskok jinému. Důvod vysvětluje rodilý američan (sic na auto-průmyslu - ale platí obecně).
http://www.fsfinalword.cz/?page=archive&day=2019-03-01
