Huawei wil Australië inzage geven in broncode van firmware
Huawei, dat samen met ZTE in een recent Amerikaans onderzoek wordt beschuldigd van spionage, zou bereid zijn om de Australische overheid inzage te geven in de broncode van de firmware voor zijn telecomproducten. Daarmee zou het Chinese bedrijf verdachtmakingen willen wegnemen.
Huawei wilde meebieden bij een Australische aanbesteding voor de aanleg van een nationaal breedbandnetwerk, maar de overheid stak daar een stokje voor uit vrees dat de veiligheid van het netwerk gevaar zou lopen. Inmiddels heeft de Australische directeur van Huawei John Lord het boetekleed aangetrokken door te stellen dat het bedrijf onvoldoende open is geweest. Lord belooft dat het bedrijf in de toekomst meer openheid zal geven. Bovendien wil het de Australische overheid inzage geven in de broncode van alle firmware die het gebruikt in zijn telecom- en netwerkapparatuur, zo meldt de BBC.
De Huawei-topman stelde ook voor tot de oprichting van een testcentrum waar communicatie-apparatuur getest wordt. Bij de keuringsinstantie zou het personeel een antecedentenonderzoek moeten doorlopen, terwijl het benodigde geld door de fabrikanten van telecomapparatuur op tafel gelegd zou moeten worden. Huawei verwijst daarbij naar een Brits voorbeeld, waarbij een keuringsinstantie telecomapparatuur doorlicht en inzage heeft in de broncode van de gebruikte firmware.
Huawei lijkt met de stap tegemoet te willen komen aan de verdenking dat het bedrijf via zijn netwerk- en telecomapparatuur kan spioneren. Ook zou het bedrijf, samen met ZTE, nauwe banden onderhouden met het Chinese leger. Beide bedrijven hebben dit altijd ontkend, terwijl er twijfels zijn over het geheim gehouden bewijs in een recent Amerikaans onderzoek naar de twee bedrijven.
Reacties (30)
Goede actie van Huawei!
De tegenpartij zijn ongelijk geven door je zelf open te stellen. Hopelijk gaat het zonder problemen en kan Huawei verder met zijn netwerken uitrollen.
Wat voor gevolgen zou dit hebben voor de smartphones die ze maken? Of is dit een totaal andere tak van het bedrijf en wat geen consequenties heeft gehad mbt spionageuitlatingen door de VS?
De tegenpartij zijn ongelijk geven door je zelf open te stellen. Hopelijk gaat het zonder problemen en kan Huawei verder met zijn netwerken uitrollen.
Wat voor gevolgen zou dit hebben voor de smartphones die ze maken? Of is dit een totaal andere tak van het bedrijf en wat geen consequenties heeft gehad mbt spionageuitlatingen door de VS?
Zet alu petje op: Broncode maken waar de spionage poorten uit verwijderd zijn 
Maar ja is wel goed dat Huawei het op deze manier doet.
Maar ja is wel goed dat Huawei het op deze manier doet.
Ik mag toch hopen dat ze op z'n minst een check uitvoeren (via b.v. een checksum) om te kijken of de code die gepresenteerd is overenkomt met de variant op de apparatuur...
Huawei ligt al even "onder vuur" i.v.m. vermeende spionage. Ik denk dat dit een wijze zet geweest is van Huawei.
Daarnaast gaat het Huawei natuurlijk voornamelijk om de hardware en de gigantische positie die het in kan nemen op de Australische markt. Als de AUS overheid flink doorzet is het misschien zelfs nog een optie om voor apparatuur waar nodig een custom firmware te schrijven, al dan niet met behulp van Huawei.
Ik ben erg benieuwd hoe dit uitpakt!
Huawei ligt al even "onder vuur" i.v.m. vermeende spionage. Ik denk dat dit een wijze zet geweest is van Huawei.
Daarnaast gaat het Huawei natuurlijk voornamelijk om de hardware en de gigantische positie die het in kan nemen op de Australische markt. Als de AUS overheid flink doorzet is het misschien zelfs nog een optie om voor apparatuur waar nodig een custom firmware te schrijven, al dan niet met behulp van Huawei.
Ik ben erg benieuwd hoe dit uitpakt!
Checksums van sourcecode en van de firmware vergelijken? Hmmm, lastig. ;-)
Maar serieus, hoe weet je dat alle apparaten uitgerust zijn met gereviewde code?
En zelfs dan nog, de code kan zo geschreven zijn dat de kwaadaardige functionaliteit bijv. verspreid is over de code.
Denk maar eens aan The Underhanded C Contest en daar weten ze naar wélke kwaadaardige functionaliteit ze moeten zoeken.
Maar serieus, hoe weet je dat alle apparaten uitgerust zijn met gereviewde code?
En zelfs dan nog, de code kan zo geschreven zijn dat de kwaadaardige functionaliteit bijv. verspreid is over de code.
Denk maar eens aan The Underhanded C Contest en daar weten ze naar wélke kwaadaardige functionaliteit ze moeten zoeken.
Ik zie het probleem niet zo. Je vergelijkt de object code gewoon met je nieuw gecompileerde versie en zorgt dat de manier van compileren (flags, optimization) hetzelfde is als bij huawei, dit kan prima.
Ik neem aan dat als je van huawei de source code krijgt, dat zij wel een team van 5 man sturen die helpen met compileren/test environment enz.
Ik neem aan dat als je van huawei de source code krijgt, dat zij wel een team van 5 man sturen die helpen met compileren/test environment enz.
[Reactie gewijzigd door shadylog op woensdag 24 oktober 2012 22:57]
of je compiled hem natuurlijk zelf als overheid, zodat je percies weet wat erin zit.
Grote chinese bedrijven hebben banden met de overheid anders waren ze nooit zo groot geworden! Probeer als buitenlander daar maar is een bedrijf daar op te starten dat lukt je niet zonder een lokale partner! onafhankelijkheid bestaat niet in china! Chinezen mogen wel bedrijven bezitten in het buitenland,maar anders om niet! belachelijk! ongeacht wat er uit onderzoek blijkt vertrouw ik bedrijven als huawei en zte niet,maar cisco netwerk apparatuur word ook in china gemaakt dus ook die kunnen backdoors bevatten
Dat dergelijke bedrijven partijmannetjes aan boord hebben staat buiten kijf. Daar maken ze ook geen geheim van. Dat die bedrijven dan meteen ook voor de overheid werken en spioneren is gewoon een stap te ver. China wordt teveel als grote, monolithische duivel gezien. Maar eigenlijk werkt het land ook heel dynamisch, met intern tegenstrijdige krachten. Een partijtopman in Huawei is een beetje als een Jean-Luc Dehaene in de raad van Dexia. Dat maakt Dexia toch geen overheidsorgaan?
Die mensen zitten in de raad omdat ze daar geld verdienen. En Huawei is groot geworden door de bemoeiing van dergelijke machtige mensen. Zo gaat het er nu eenmaal aan toe.
Heeft ook niets te maken met buitenlandse investeringen. Er zijn zat landen waar je geen bedrijf kunt starten zonder binnenlandse partner (in de UAE moet je zelfs 51% in handen geven van de binnenlander).
Die mensen zitten in de raad omdat ze daar geld verdienen. En Huawei is groot geworden door de bemoeiing van dergelijke machtige mensen. Zo gaat het er nu eenmaal aan toe.
Heeft ook niets te maken met buitenlandse investeringen. Er zijn zat landen waar je geen bedrijf kunt starten zonder binnenlandse partner (in de UAE moet je zelfs 51% in handen geven van de binnenlander).
smartphones zijn consumer-producten, terwijl de aanleg van een nationaal breedbandnetwerk een strategische waarde heeft
Tja dan vraag ik me altijd af hoe (en of) er dan gecontroleerd wordt of deze broncode ook werkelijk in het apparaat komt.
Natuurlijk kun je checksums maken, maar wanneer je met eigen ontwerp processoren werkt, kun je deze ook gemakkelijk verdraaien.
Natuurlijk kun je checksums maken, maar wanneer je met eigen ontwerp processoren werkt, kun je deze ook gemakkelijk verdraaien.
Als je de oorspronkelijke code weet is decompilen een heel stuk makkelijker: je kunt zo kijken of je na het decompilen iets tegen komt wat ernstig afwijkt van de rest (lees: een backdoor vindt) zonder dat je echt álles door moet spitten. Gewoon zoeken of alles wat je decompiled ergens in de source te vinden is.
Dit zal prima werken voor kleine applicaties van enkele honderden of duizenden regels. Nu weet ik niet hoe groot de codebase is ... Maar wanneer er bijv. gesproken wordt over tien- of honderduizenden regels code, al dan niet verspreid over verschillende componenten, dan wordt het al een heel ander verhaal. Bovendien geeft het decompileren van binaire code (gebaseerd op bijv. C/C++) lang niet altijd terug wat je verwacht, de compiler speelt hierin de grote rol. Theoretisch gezien is het natuurlijk een optie, maar of het praktisch is is toch van een aantal factoren afhankelijk.
Daarnaast: hoe herken je een backdoor? Indien de software het niveau van een knutselaar overstijgt zal een functie echt geen Backdoor heten.
Als laatste .. zij maken ook eigen hardware (o.a. processoren). Hoe ga je deze controlleren op verdachte functionaliteit? Aan de hand van de blauwdrukken? Een processor openschaven en onder de microscoop leggen? Wie kan de blauwdrukken verifiëren (behalve Huawei) ?
Het is echt niet zo makkelijk als dat jij het doet stellen.
Daarnaast: hoe herken je een backdoor? Indien de software het niveau van een knutselaar overstijgt zal een functie echt geen Backdoor heten.
Als laatste .. zij maken ook eigen hardware (o.a. processoren). Hoe ga je deze controlleren op verdachte functionaliteit? Aan de hand van de blauwdrukken? Een processor openschaven en onder de microscoop leggen? Wie kan de blauwdrukken verifiëren (behalve Huawei) ?
Het is echt niet zo makkelijk als dat jij het doet stellen.
[Reactie gewijzigd door Primal op woensdag 24 oktober 2012 18:17]
Ik ben wel erg benieuwd hoe ze willen aantonen dat de broncode dat Australië mag inzien, ook daadwerkelijk de broncode is van de gecompileerde firmware die op de producten komen te staan. Ze zouden makkelijk wat routines weg kunnen laten die wel in de uiteindelijk firmware terechtkomen; het geeft m.i. geen garantie.
Ik denk dat een overheidsinstantie de apparaten gaan keuren op moment dat ze live zijn. Als ze de benodigde apparatuur hebben kunnen ze op dat moment ook de firmware uitlezen.
Als je een firmware uit een apparaat trekt, kan je er zonder moeilijke reverse-engeneering niet de oorspronkelijke broncode uit halen. Dit is dus niet de beste oplossing.
Lijkt mij niet zo moeilijk. Lever hardware en software apart aan en laat de gebruiker (Australische overheid) zelf de software compileren en op de routers installeren.
Een probleem is dat die code een deel van de waarde van je bedrijf vertegenwoordigt.
Naast het botweg proberen de niet-Amerikaanse bedrijven buiten de Amerikaanse markt te sluiten, kan het ook een overweging van deze (aan)klachten zijn om zo de bedrijven te dwingen de broncode aan Amerikaanse experts openbaar te maken, waarna de Amerikaanse bedrijven als vanzelf die kennis ook wel krijgen.
Naast het botweg proberen de niet-Amerikaanse bedrijven buiten de Amerikaanse markt te sluiten, kan het ook een overweging van deze (aan)klachten zijn om zo de bedrijven te dwingen de broncode aan Amerikaanse experts openbaar te maken, waarna de Amerikaanse bedrijven als vanzelf die kennis ook wel krijgen.
Op zich wel karma natuurlijk. Nu maakt China juist zelf kopieën van Amerikaanse producten.
Haha en dat komt van iemand die "Sisko" heet. 
Dat kan alleen als de compilers standaard verkrijgbaar zijn uit een onafhankelijke en verifieerbare bron.
Stel dat er ge-optimaliseerde compilers gebruikt worden, en Huawei levert die ook aan. Dan kan je nog steeds niet zeker weten of de compiler/linker alleen jouw gecontroleerde sourcecode in de binary plaatst, of toch nog een paar extra routines. Je checksum klopt met wat je in je apparatuur hebt, de binaries komen bit-voor-bit overéén en toch kan er code in zitten die jij niet gezien hebt.
Stel dat er ge-optimaliseerde compilers gebruikt worden, en Huawei levert die ook aan. Dan kan je nog steeds niet zeker weten of de compiler/linker alleen jouw gecontroleerde sourcecode in de binary plaatst, of toch nog een paar extra routines. Je checksum klopt met wat je in je apparatuur hebt, de binaries komen bit-voor-bit overéén en toch kan er code in zitten die jij niet gezien hebt.
Met signing is dit zo aan te tonen of er mee geknoeid is. Je kan kijken welke hash van binaries op de routers staan en deze hash vergelijken met de gecompileerde output van je broncode.
Signing zegt niets. Compileren met een andere switch of een andere compiler kan al voor een andere hash zorgen. Als er bijvoorbeeld een compileerdatum voor in het aboutscherm wordt meegecompileert zit je ook met een probleem.
Als de benodigde build omgeving niet van een onafhankelijke derde partij komt dan is het zelfs mogelijk dat de compiler of linker de backdoor meelevert. Je hash klopt, je binary compare klopt en toch heb je rommel.
Ach, die Amerikanen ook. Wel heel toevallig dat ze deze oude koe weer van stal halen nét nu Huawei haar activiteiten in de VS op de netwerkmarkt aan het intensiveren is.
Rara, wie zit daarachter? *kuch*Cisco*kuch*
Rara, wie zit daarachter? *kuch*Cisco*kuch*
Tja... Het zou kunnen dat Cisco, de grootste op netwerkgebied, ook rommelt met code. Daar hoor je niemand over. Amerika heeft net zoveel belang bij het spioneren van zo'n beetje de gehele wereld als China...
Ik hoorde dat er zo'n achterdeur in Cisco spul zat, en dat dat al jaren bekend is. Uiteraard dan voor de Amerikaanse defensie/overheid. Even koekelen, en dan krijg je dit. Typisch geval van pot/ketel.
Cisco heeft alle reden om bang te zijn van Huawei. Ze hebben in de eerste plaats heeeeel erg veel mensen voor hen werken, en er werken heeeeel erg veel in R&D. Daarnaast heeft Huawei een chipbakkerij en kan dus eigen chips ontwikkelen en produceren. Andere fabrikanten van netwerkspul zijn afhankelijk van 'de markt' en kunnen dus alleen maar dezelfde spullen maken als de anderen. Cisco heeft dat ook zelf gezegd - zonder expliciet Huawei te noemen natuurlijk. Maar ze zijn als de dood voor de kracht van de Chinezen.
Op dit moment is Huawei wereldwijd nog geen heel grote bedreiging, maar in Azië is het Huawei voor en na. Uiteraard is de telecom markt voorlopig hun grootste aandeel, maar ze hebben inmiddels ook servers, san's en weet ik watvoor spul in het pakket. Als ze door weten te dringen naar andere marktsegmenten (Gartner voorspelt een convergentie van telecom en netwerkmarkten) zijn ze straks niet meer te verslaan.
Ik roep het trouwens al jaren: we doen nu precies hetzelfde als met de Japanners in de jaren '70. Heel hard roepen dat ze alleen maar troep maken en alleen maar kunnen kopiëren. Totdat je ineens wakker wordt en alles in je huis is uit Japan (China nu). En het ís niet allemaal gekopiëerd en ook niet allemaal troep. Dat blijven roepen is jezelf in slaap sussen. Kijk maar eens naar onze automobiel- motorfiets en electronicaindustrie. Die zijn bijna helemaal weggevaagd door de Japanners en onze 'denial' houding. Nu krabbelt het weer een beetje terug, en de volgende golf komt eraan. Deze keer uit China. En we maken weer dezelfde fouten. Erg slim. En die Chinezen maar lachen...
Cisco heeft alle reden om bang te zijn van Huawei. Ze hebben in de eerste plaats heeeeel erg veel mensen voor hen werken, en er werken heeeeel erg veel in R&D. Daarnaast heeft Huawei een chipbakkerij en kan dus eigen chips ontwikkelen en produceren. Andere fabrikanten van netwerkspul zijn afhankelijk van 'de markt' en kunnen dus alleen maar dezelfde spullen maken als de anderen. Cisco heeft dat ook zelf gezegd - zonder expliciet Huawei te noemen natuurlijk. Maar ze zijn als de dood voor de kracht van de Chinezen.
Op dit moment is Huawei wereldwijd nog geen heel grote bedreiging, maar in Azië is het Huawei voor en na. Uiteraard is de telecom markt voorlopig hun grootste aandeel, maar ze hebben inmiddels ook servers, san's en weet ik watvoor spul in het pakket. Als ze door weten te dringen naar andere marktsegmenten (Gartner voorspelt een convergentie van telecom en netwerkmarkten) zijn ze straks niet meer te verslaan.
Ik roep het trouwens al jaren: we doen nu precies hetzelfde als met de Japanners in de jaren '70. Heel hard roepen dat ze alleen maar troep maken en alleen maar kunnen kopiëren. Totdat je ineens wakker wordt en alles in je huis is uit Japan (China nu). En het ís niet allemaal gekopiëerd en ook niet allemaal troep. Dat blijven roepen is jezelf in slaap sussen. Kijk maar eens naar onze automobiel- motorfiets en electronicaindustrie. Die zijn bijna helemaal weggevaagd door de Japanners en onze 'denial' houding. Nu krabbelt het weer een beetje terug, en de volgende golf komt eraan. Deze keer uit China. En we maken weer dezelfde fouten. Erg slim. En die Chinezen maar lachen...
Ja, dat werpt weer een ander licht op de mogelijke Amerikaanse motieven om Huawei uit te sluiten. Misschien is het niet het bestaan van een backdoor in Huawei apparatuur, maar juist het ontbreken er van een probleem. Het feit dat de "bewijzen" voor een Huawei backdoor geheim worden gehouden, maakt het allemaal niet geloofwaardiger.Ik hoorde dat er zo'n achterdeur in Cisco spul zat, en dat dat al jaren bekend is. Uiteraard dan voor de Amerikaanse defensie/overheid. Even koekelen, en dan krijg je dit. Typisch geval van pot/ketel.
Dat én werkgelegenheid. De Chinezen maken gewoon hetzelfde spul als Cisco, maar dan beter. Niet eens goedkoper, maar kleiner en zuiniger. Scheelt een stuk als je een datacenter zo groen mogelijk wilt inrichten: minder floorspace/gewicht en minder stroom. Dat zijn de duurste zaken in een DC.
Cisco heeft gewoon te lang op zijn krent gezeten en voelt nu de hete adem van Huawei en begint - zoals het een goed Amerikaan betaamt - wild om zich heen te slaan.
Cisco heeft gewoon te lang op zijn krent gezeten en voelt nu de hete adem van Huawei en begint - zoals het een goed Amerikaan betaamt - wild om zich heen te slaan.
Het lijkt me eerder symbolisch dan dat men verwacht dat de Australische autoriteiten daadwerklijk de source code gaan doorspitten.
Dit heeft toch geen zin? hoe kunnen ze weten dat de code die ze krijgen de echte code is er er niet mee gespeeld is?
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
