Huawei (Souce - Evento de prensa de Huawei)
Estados Unidos ha estado afirmando durante mucho tiempo que Huawei amenazó su seguridad digital. Ahora, una empresa de seguridad afirma haber descubierto varias puertas traseras potencialmente explotables en varios de los software que implementó la empresa china. A medida que la carrera para implementar redes 5G gana velocidad, tales afirmaciones podrían poner en peligro aún más las perspectivas comerciales del gigante de las telecomunicaciones y las redes en todo el mundo.
Los investigadores de la firma de seguridad de IoT Finite State aparentemente han revelado que más de la mitad del equipo del gigante de las telecomunicaciones de China, Huawei, tiene 'al menos una puerta trasera potencial'. Existe evidencia sustancial de que el firmware del dispositivo de red de Huawei tenía fallas, que podrían haberse implementado deliberadamente para hacerlos vulnerables, afirma la firma. Al presentar su investigación sobre el software de Huawei instalado en su equipo de red, la compañía dijo: “Existe evidencia sustancial de que las vulnerabilidades de día cero basadas en la corrupción de la memoria son abundantes en el firmware de Huawei. En resumen, si incluye vulnerabilidades conocidas de acceso remoto junto con posibles puertas traseras, los dispositivos Huawei parecen tener un alto riesgo de compromiso potencial '.
Las conclusiones extraídas por los investigadores de seguridad de Finite State parecen ser bastante similares a lo que Ian Levy, director técnico del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, una unidad de la agencia de espionaje GCHQ, había extraído a principios de este mes. En ese entonces, Levy acababa de concluir la evaluación de los equipos de Huawei sobre las afirmaciones persistentes de que China podría utilizar el equipo de red 5G de la empresa china para realizar campañas de espionaje generalizadas patrocinadas por el estado. Levy había afirmado rotundamente que las medidas de seguridad implementadas por Huawei en su equipo eran 'objetivamente peores y de mala calidad' en comparación con todos sus competidores en el negocio de redes inalámbricas y cableadas. 'Desde el punto de vista técnico de la seguridad de la cadena de suministro, los dispositivos de Huawei se encuentran entre los peores que hemos analizado', afirmó Levy.
los los investigadores anotaron en su informe que a pesar de los compromisos públicos de Huawei para mejorar la seguridad, el análisis reveló que la 'postura de seguridad' de Huawei en realidad está 'disminuyendo con el tiempo'. Los investigadores afirmaron que examinaron unos 558 productos de redes empresariales de Huawei. Según los informes, revisaron 1,5 millones de archivos dentro de unas 10.000 imágenes de firmware.
¿Huawei dejó más de cien fallas de seguridad y vulnerabilidades?
El análisis aparentemente reveló que más del 55 por ciento de las imágenes de firmware tienen al menos una puerta trasera potencial. Algunas de las lagunas de seguridad notables y las vulnerabilidades aparentemente intencionales que quedan dentro de los archivos de firmware incluyen credenciales codificadas que podrían usarse como una puerta trasera e insegura para el uso de claves criptográficas. La empresa también afirmó haber observado 'indicios de malas prácticas de desarrollo de software'. En general, Finite State afirma haber descubierto alrededor de 102 vulnerabilidades conocidas en promedio en cada imagen de firmware de Huawei. Según se informa, también hubo evidencia de numerosas vulnerabilidades de día cero.
'Hay un problema sistemático en Huawei y eso es lo que podemos mostrar aquí'. La investigación de seguridad a gran escala del equipo de red de Huawei encuentra que el equipo de la empresa china representa un alto riesgo para los usuarios @globeandmail https://t.co/da3nnnAwdC
- Steven Chase (@stevenchase) 26 de junio de 2019
Un aspecto interesante que surgió durante el análisis fue el uso de componentes de software de código abierto por parte de Huawei. Huawei confiaba regularmente en OpenSSL. La plataforma de código abierto es una biblioteca criptográfica de uso común para proteger y cifrar las comunicaciones digitales. En palabras simples, los sitios web a menudo utilizan OpenSSL para habilitar HTTPS. Según los informes, Huawei no pudo actualizar dicho software de código abierto, afirmaron los investigadores de seguridad. 'La edad promedio de los componentes de software de código abierto de terceros en el firmware de Huawei es de 5,36 años'. Además, hay 'miles de casos de componentes que tienen más de 10 años'. Aparentemente, parte del software desactualizado y obsoleto dejó al equipo de Huawei vulnerable al infame Heartbleed, un virus muy notorio y muy extendido en 2011.
¿Es Huawei la única empresa que utiliza software de código abierto?
Es importante tener en cuenta que las empresas similares a Huawei, a menudo dependen del software de código abierto para acelerar el desarrollo y la implementación de software en hardware. Además, estas empresas a menudo descubren puertas traseras y vulnerabilidades y se apresuran a repararlas. En esencia, es una práctica muy común. Pero lo que es incluso importante es que las empresas a menudo actualizan el software e intentan utilizar la versión más reciente o más estable que tiene varias correcciones de errores.
Singapur mantiene abiertas las opciones en las redes Huawei y 5G https://t.co/kXLKx2TFVG
- Faisal S. (@ whiz913) 27 de junio de 2019
Actualmente, los principales competidores de Huawei son Ericsson, Nokia y Cisco. Por cierto, todas estas empresas están diseñando sus propias iteraciones de equipos de red 5G de alta velocidad y latencia ultrabaja. Estas organizaciones aún están evaluando la combinación más óptima de hardware para cumplir con los muchos requisitos de 5G, incluida la conexión confiable a los dispositivos de Internet de las cosas (IoT), automóviles conectados y otros dispositivos electrónicos. Aunque 5G se basa en tecnologías y protocolos de comunicación establecidos, la plataforma tiene que utilizar mucha tecnología de vanguardia. Además, el nuevo estándar de comunicaciones móviles tiene un alcance mucho mayor en comparación con todos los estándares anteriores. Por lo tanto, es fundamental establecer una seguridad sólida y prevenir una violación de datos o una fuga de información.
Etiquetas Huawei
