Brits rapport wijst op risico's voor telecomnetwerken door Huawei-apparatuur

Een Brits overheidsrapport concludeert dat tekortkomingen aan de kant van de Chinese fabrikant Huawei tot gevolg hebben dat er risico's ontstaan voor telecomnetwerken in het Verenigd Koninkrijk. Huawei is een grote leverancier van apparatuur voor die netwerken.

Het rapport is opgesteld door een orgaan dat toezicht houdt op het zogenaamde Huawei Cyber Security Evaluation Centre, of Hcsec. Reuters legt uit dat dit centrum in 2010 in het leven is geroepen om mogelijke beveiligingsrisico's voor de nationale infrastructuur tegen te gaan. Het Hcsec controleert bijvoorbeeld alle Huawei-apparatuur. Het toezichtsorgaan brengt jaarlijks verslag uit over de werkzaamheden van het Hcsec. Volgens Reuters is dit het eerste jaar waarin het rapport vraagtekens zet bij de garanties die het centrum kan bieden. Zo concludeert het dat Hcsec nog maar 'beperkte garantie' kan bieden, wat volgens een bron van Reuters neerkomt op een grote verandering.

In het rapport zelf worden verschillende tekortkomingen geïdentificeerd, waaronder de constatering dat Huawei gebruikmaakt van software van derden die een kritieke beveiligingsrol speelt, maar onvoldoende gecontroleerd wordt. Ook zou de long term support voor de software, die wordt gebruikt in verschillende componenten, eindigen in 2020, terwijl de ondersteuning die door Huawei is toegezegd een later end of life-tijdstip belooft. Een ander probleem is dat onderzoekers onvoldoende mogelijkheden zouden hebben om broncode te onderzoeken.

Huawei laat aan Reuters weten dat het rapport concludeert dat Hcsec onafhankelijk kan opereren en dat er verbeterpunten zijn in het zijn eigen ontwikkelproces. "We zijn dankbaar voor deze feedback en zullen de problemen oplossen. Beveiliging blijft de hoogste prioriteit van Huawei en we zullen onze ontwikkelprocessen en risicomanagementsystemen blijven verbeteren."

De conclusies van het rapport komen op een tijdstip waarop Huawei in de VS onder vuur ligt. Zo raadden de Amerikaanse inlichtingendiensten in februari consumenten af om nog apparatuur van Huawei en ZTE te kopen om risico's voor de nationale veiligheid. Ook wil de Amerikaanse overheid stoppen met het gebruik van de apparatuur.

Reacties (65)

knutsel smurf 19 juli 2018 22:23

Ik wil even een van de eerste alinea's aanhalen van het rapport:

HCSEC has been running for seven years. It opened in November 2010 under
a set of arrangements between Huawei and HMG to mitigate any perceived
risks arising from the involvement of Huawei in parts of the UK’s critical national
infrastructure.

M.a.w. Huawei zegt heel simpel tegen HMG je mag onze apparatuur testen voor zo ver je wilt en kijken of je iets kan vinden wat niet goed is. Huawei is zelf in dit project gestapt omdat er altijd een gedachte is geweest dat Huawei apparatuur back-doors zou hebben voor de chinese overheid etc. Echter zoals je kan lezen in vorige rapporten is er nooit iets gevonden.

Ik zie de Amerikaanse partijen zoals Cisco & Juniper dit nog niet zo snel doen.

Verwijderd @knutsel smurf • 20 juli 2018 02:22

M.a.w. Huawei zegt heel simpel tegen HMG je mag onze apparatuur testen voor zo ver je wilt en kijken of je iets kan vinden wat niet goed is.
.....
Ik zie de Amerikaanse partijen zoals Cisco & Juniper dit nog niet zo snel doen.

Je kunt gewoon apparatuur van welke vendor dan ook kopen. En dan zelf testen. Daar hoeft geen vendor zijn toestemming voor te geven. Dat Huawei zegt "ja dat mag", dat heeft verder helemaal geen waarde.

Blokker_1999

Verenigd koninkrijk
Beveiliging en antivirus
Huawei
Security

@Verwijderd • 20 juli 2018 07:17

Dat het ft net zeer grote waarde want je kan hen veel vragen stellen wetende dat je antwoord zult krijgen. Je kan ook zonder al te veel problemen bij hen langs gaan en met de engineers gaan praten of zelfs de software inkijken. Die dat maar eens bij Cisco.

blissard @Blokker_1999 • 20 juli 2018 09:14

Maar ze krijgen toch juist onvoldoende inzicht in de broncode (als ik het bericht mag geloven)?

Fireshade @blissard • 20 juli 2018 10:58

Die broncode komt van derde partijen, dus daar kan Huawei niets aan doen.
De onderzoekers moeten daarvoor dus bij softwareleveranciers aankloppen. Misschien dat die moeilijk doen.

GoBieN-Be @Fireshade • 20 juli 2018 13:15

Huawei gebruikt die software in hun producten, dus hun verantwoordelijkheid.

GoBieN-Be @Verwijderd • 20 juli 2018 13:16

Probeer maar eens zo'n Juniper toestel te gaan ontleden. De bootloader en de firmware zijn nogal gesloten. Succes.

ckr 19 juli 2018 21:30

Hebben ze zo'n onderzoek ook gedaan voor de alternatieven van Nokia of Ericson (Samsung?)? Lijkt me ook interessant, zeker als je het hebt over de achterliggende software die weer van gespecialiseerde bedrijven komt.
Als je een onderzoek doet naar de een dan moet je de ander ook bekijken, anders is het een heksenjacht.

jellebaris @ckr • 19 juli 2018 22:15

Daar ben ik het niet helemaal mee eens. In het VK is in het verleden gekozen om een Huawei infrastruktuur op te bouwen voor deze netwerken. Een van de verantwoordelijkheden van de gebruiker/overheid is gedurende het proces te evalueren of het gebruik van deze infrastruktuur veilig blijft en aan de vooraf gestelde eisen bij toekenning van de opdracht blijft voldoen. Dat is (in ieder geval gedeeltelijk) wat met dit rapport wordt beoordeeld. Er is niet gezegd dat het onveilig is of op andere manier niet aan de eisen voldoet, maar er is wel aangegeven dat veranderingen in ondersteuning/garantie een probleem (kunnen) vormen en dat er knelpunten zijn met betrekking tot controle van de werking van gebruikte software.
Een aantal punten had mogelijk in de aanbesteding verwerkt kunnen worden maar voortschrijdend inzicht kan ook nieuwe knelpunten boven water brengen. Die beoordeling blijft dus altijd een veranderend proces dat regelmatig tegen het licht moet worden gehouden en herhaald uitgevoerd moet worden.

totaalgeenhard @ckr • 20 juli 2018 00:05

Samsung en huidige Nokia maken geen infrastructuur en spelen daarin marginaal een rol.

Verwijderd @totaalgeenhard • 20 juli 2018 02:37

Samsung en huidige Nokia maken geen infrastructuur en spelen daarin marginaal een rol.

Nokia verkoopt alleen al aan backbone-routers en bng-routers voor zo'n 2.5 miljard euro per jaar.

(BNG staat voor Border Network Gateway. Dat zijn de routers waar alle DLSAMs, CTMSen, FTTH en dergelijke aan hangen). Als je naar de provider markt kijkt, zijn ze wereldwijd 2e (na cisco, net voor Juniper, en ruim voor Huawei). (In de Enterprise markt en de data-center markt, is Nokia niet echt aanwezig. Hun routers zijn daar te duur (en te groot/snel) voor). Sinds kort verkoopt Nokia in Europa zelfs meer routers aan providers dan cisco. Nu de rest van de wereld nog.

totaalgeenhard @Verwijderd • 20 juli 2018 05:58

Ja is verwarrend.

HUAWEI is in veel landen marktleider als ook met LTE.

http://www.4gmasten.nl/ni...te-netwerkmarkt-in-handen

www.capacitymedia.com/Art...-Huawei-continues-to-grow

[Reactie gewijzigd door totaalgeenhard op 31 juli 2024 03:22]

Zer0 @totaalgeenhard • 20 juli 2018 01:46

Nokia maakt alleen nog maar infra, jij bedoelt waarschijnlijk HMD, die telefoons uitbrengen onder de naam Nokia.

totaalgeenhard @Zer0 • 20 juli 2018 05:55

Confusing.

Lawrentium @ckr • 19 juli 2018 22:06

Lijkt me zeker geen verkeerd idee. Kijk bijvoorbeeld naar Cisco en de recent ontdekte vulnerabilities: https://tech.slashdot.org...t-in-the-last-four-months

fantafriday @Lawrentium • 19 juli 2018 22:15

Het is inderdaad weinig om over naar huis te schrijven, maar ze schrijven er ten minste over in tegenstelling tot andere.

Transferno @ckr • 19 juli 2018 23:03

Het gaat toch om het Huawei Cyber Security Evaluation Centre, of Hcsec. Dus specifiek bedoeld om Huawei te controleren, en dan ook geen "heksenjacht"?

ajolla @ckr • 20 juli 2018 00:43

Nee, die werken al voor ons.

t link @xmenno • 19 juli 2018 22:39

Ze hebben er zelf geen belang bij maar ze kunnen er net zo goed toe gedwongen worden als onder "een communistische partij" precies om dezelfde reden als dat bedrijf onder "een communistische partij" ertoe gedwongen kan worden. zeg een keer terrorist of nationale veiligheid en alle deuren gaan magisch open. Zelfs al was het in een land waar de overheid niet erom bekend staat dat ze dit soort praktijken uitvoeren, niks stopt dat land van het alsnog forceren op bedrijven in hun land als ze genoeg macht hebben over het bedrijf.

Blokker_1999

Verenigd koninkrijk
Beveiliging en antivirus
Huawei
Security

@xmenno • 20 juli 2018 07:21

Daarom dat er in Cisco apparatuur al backdoor zijn gevonden die vermoedelijk van de NSA komen, ontdekkingen die trouwens gedaan werden toen diezelfde NSA een FUD campagne tegen Huawei begonnen was en de Amerikaanse regering voor de eerste keer opriep om die Chinese merken niet te vertrouwen maar te kiezen voor Amerikaanse.

Loggedinasroot 19 juli 2018 21:17

waaronder de constatering dat Huawei gebruikmaakt van software van derden die een kritieke beveiligingsrol speelt, maar onvoldoende gecontroleerd wordt.

Zoiets als Intel's AMT? Geen idee of Huawei gebruik maakt van Intel chips voor hun enterprise gear.

EDIT:
Blijkbaar halen ze 1.4Tbit/s aan encrypted vpn verkeer met maar 1 cpu?

Nergens staat wat ze voor hardware gebruiken. Misschien de nieuwe Kirin?

[Reactie gewijzigd door Loggedinasroot op 31 juli 2024 03:22]

jeroen3 @Loggedinasroot • 19 juli 2018 22:00

In netwerkhardware zitten speciale chips die zijn ontworpen voor netwerkdoeleinden. Dit is dan ook geen software meer, maar hardware.

Pas als je niet-standaard dingen gaat doen met pakketjes, dan gaat het door de cpu, en dan neemt de snelheid extreem snel af.

Een goed voorbeeld is fastpath in Mikrotik routers.

Loggedinasroot @jeroen3 • 19 juli 2018 22:07

Ja voor de switches etc weet ik dat. Maar zo'n vpn server zal toch gewoon op een CPU draaien of niet?

jvanhambelgium @Loggedinasroot • 19 juli 2018 22:16

Dikwijls worden er aparte processoren bijgezet voor het encryptie-stuk.
Vb Cisco ASA's hebben Cavium Octeon en Cavium Nitrox (Lite / PX) voor de encryptie-zaken waardoor die redelijk wat Gbps AES verkeer kan trekken....

burne @jvanhambelgium • 19 juli 2018 23:05

In een (moderne) ASA zit een Atom, dus je hebt alle voordelen van bugs in het intel-platform er gratis bij. Er zijn zelfs mensen bezig met rowhammer-gebaseerde attacks via het netwerk. Ongeacht de hardware wordt het eerste packet altijd door de CPU gerouteerd, voordat CEF of dCEF enzo het overnemen. Je kunt dus misschien met de payload van je packet voldoende bits beïnvloeden om een rowhammer attack uit te voeren.

JackBol @burne • 20 juli 2018 00:41

Ongeacht de hardware wordt het eerste packet altijd door de CPU gerouteerd, voordat CEF of dCEF enzo het overnemen.

Je bent in de war met Fast Switching. Bij CEF en dCEF wordt de route table plat geslagen en in de hardware geladen. Ieder packet wordt door de hardware gerouteerd en wanneer een destination niet in de TCAM staat, wordt het packet gedropped en zal een ICMP message gegenereerd worden.

Fast Switching word niet meer gebruikt in hedendaagse netwerken.

[Reactie gewijzigd door JackBol op 31 juli 2024 03:22]

Verwijderd @JackBol • 20 juli 2018 02:29

CEF is ontwikkelt in 1996/1997. Sindsdien doen cisco routers geen fast-switching meer. Andere fabrikanten (Nokia, Juniper) doen hetzelfde. Een "per-destination-address cache, built by the first packet in a flow", dat principe werkt al 20 jaar niet meer.

Verwijderd @jeroen3 • 19 juli 2018 23:40

Steeds minder. Zelfs iets als een F5 BigIP is grootendeels een standaard x86 architectuur waarbij alle functionaliteit softwarematig wordt bepaald.

sympa @jeroen3 • 20 juli 2018 21:43

Terugvallen op een CPU is best ouderwets. Met 'vreemd' verkeer kan je namelijk de CPU onderuit halen.
Voor speciale netwerkhardware kan je eens naar de Nokia FP4 kijken. Al is daar niet veel echt veelzeggende informatie over te googlen.

jeroen3 @sympa • 21 juli 2018 11:14

Een vreemd pakket gaat natuurlijk niet vanzelf naar de CPU. Daar moet je eerst regels voor maken.

sympa @jeroen3 • 21 juli 2018 18:03

Ik doelde op de architectuur die als volgtwerkt: alles naar CPU, die de eerste TCP-stroom detecteert en de NAT-chip programmeert. Dan komt het eerste pakket van flow 2, dat gaat default naar de CPU, etc etc. Leuk voor thuis.

bantoo @Loggedinasroot • 19 juli 2018 21:51

Sorry maar je hebt duidelijk geen idee over wat voor hardware er in netwerk apparatuur gaat. Dat zijn echt geen generieke CPUs die dat verkeer verwerken.

Loggedinasroot @bantoo • 19 juli 2018 22:06

Aan wat voor hardware moet ik dan precies denken die zo'n vpn server draait? Of hoe zit zoiets in elkaar?

fantafriday @Loggedinasroot • 19 juli 2018 22:17

Wat ASICs voor je encryptie, wat ASICs voor je forwarding. Tuurlijk is die 1.4Tbit/s dan nog steeds onder ideale omstandigheden maar dit zou het wat mogelijker maken. Het moment dat je er iets ingooit dat door die CPU moet zal het natuurlijk hard achteruit gaan.

Edit: Voor het servers stuk zal het administratie werk wel door de CPU gaan (authenticeren en opzetten etc) daarna een offload naar die ASICs lijkt mij logisch mochten ze het halen.

[Reactie gewijzigd door fantafriday op 31 juli 2024 03:22]

burne @Loggedinasroot • 19 juli 2018 22:26

Aan wat voor hardware moet ik dan precies denken die zo'n vpn server draait? Of hoe zit zoiets in elkaar?

Aan een normale intel of powerpc CPU. Er zit misschien een crypto processor ergens op de netwerk-interface, maar moderne CPU's zijn goedkoop, snel en doen precies wat er nodig is. Je zou als fabrikant knettergek zijn als je daar eigen CPU's voor gaat maken. Cisco en Juniper doen nog veel met PowerPC maar hebben ook modellen met intel CPU's. Sophos draait intel, Fortinet heeft van alles, van ARM tot Xeon. Enzovoort.

Het netwerk-verkeer gaat door eigen chips heen maar die hebben niets met het OS te maken.

Verwijderd @bantoo • 19 juli 2018 23:38

5 jaar geleden had je gelijk gehad. Tegenwoordig is alle software gevirtualiseerd en draait het gewoon op cots hardware. En zelfs proprietary hardware van de grote leveranciers maakt gerbruik van gewone Xeons alleen wordt dat meestal niet nadrukkelijk vermeld omdat het de marktprijs van die hardware niet ten goede komt.

Verwijderd @Verwijderd • 20 juli 2018 02:32

Tegenwoordig is alle software gevirtualiseerd en draait het gewoon op cots hardware.

Onzin.
Sommige functies zijn gevirtualiseerd.
Andere functie worden nog steeds op routers gedaan, of op speciale hardware (load-balancers, firewalls). Virtualisatie werkt in sommige scenarios prima. In andere scenarios heb je gewoon de performance op de juiste plaats nodig. Daarom zitten die high-end apparateren vol met allerlei Intel CPUs, ARM cpus, speciale ASICs, en zelfs speciale netwerk-processors.

knutsel smurf @Loggedinasroot • 19 juli 2018 22:16

Ik weet niet waar je die 1.4Tbit/s vandaan hebt maar ik kan het nergens vinden. Overigens kan je wel encrypted snelheden op basis van optical DWDM halen met 1 CPU

maar dat is geen VPN.

Verder is Huawei de enige die zijn hardware&software gewoon laat testen door dit lab, en zoals gemeld is dit de eerste keer dat er vraag tekens geplaatst worden.

Loggedinasroot @knutsel smurf • 19 juli 2018 22:36

Dit apparaat:
http://carrier.huawei.com...rewall-VPN/Eudemon8000E-X

Z80 @Loggedinasroot • 19 juli 2018 22:54

als ik het zo lees dan haalt 1 cpu max 70 gbps aan ipsec verkeer.
Dat een MPU of backplane een hogere doorvoer snelheid hebben heeft niets met 1 cpu te doen.

Verwijderd @Z80 • 20 juli 2018 02:26

"Adopting distributed hardware and software design"

Dat ding zit dus vol met allerlei gespecialiseerde hardware (asics, etc). Net als soortgelijke apparaten van de concurrentie. Niemand haalt 70 gbps met 1 core. 1 Cpu misschien, maar dan een cpu met meerdere cores of zo. En dan nog, als je gewone cpus gebruikt dan is de bandbreedte van je i/o de bottleneck. Dat lost je alleen maar op met toegespitste hardware.

sympa @Verwijderd • 20 juli 2018 21:45

RAM-bandbreedte staat me bij. De netwerkbandbreedte is de RAM-bandbreedte gedeeld door 2 (of 4, weet ik niet meer).
En met een goede CPU kan je dan ook IPSEC doen.
Dar haal je wel gigabits mee, maar geen terabits.

Verwijderd 19 juli 2018 22:02

Maar is er een fabrikant die wel inzage geeft in alle broncode? Ik denk dat dit bij Juniper en Cisco ook onmogelijk is. Of worden die blindelings vertrouwt? Dat zou een dodelijke fout zijn.

burne @Verwijderd • 19 juli 2018 22:29

Het staat niet in het artikel maar er zijn backdoors gevonden in Cisco en sporen van backdoors in Juniper-producten. Ik denk dat iedereen hoopt dat de NSA andere doelen heeft dan de Chinese geheime dienst.

Verwijderd @burne • 20 juli 2018 02:40

Soms is iets gewoon een bug. Of een stommigheid. "Oh, vergeten dat test-account te verwijderen".

Ik ben het met je eens, soms zal het express gebeuren. Maar zoiets doms als standard snmp community-strings (= password) zetten kan gewoon een fout zijn geweest. Iedereen doet wel iets eens iets fout.

Blokker_1999

Verenigd koninkrijk
Beveiliging en antivirus
Huawei
Security

@Verwijderd • 20 juli 2018 07:24

Voor zover ik mij die artikelen kan herinneren over Cisco ging het zeker niet over een bug maar zeer bewust geïntroduceerde code.

Verwijderd @burne • 20 juli 2018 09:48

Ik denk dat het inderdaad zo is dat zoals de waard is vertrouwt hij zijn klanten. Ik denk dat Cisco en Juniper inderdaad meewerken met de NSA en dat de Amerikanen er daarom van uit gaan dat Huawei dat ook doet met de Chinese overheid.

Verwijderd 20 juli 2018 06:47

Hé vervelend... Juniper en Cisco apparatuur heeft zoals het hoort, backdoors die wij kennen en kunnen gebruiken. Huawei apparatuur niet, die kan niet door ons gebruikt om mee af te luisteren... Aanpakken die hap!

Loesje

Cihan1988 19 juli 2018 22:26

Ach ja je kunt beter de Chinesen vertrouwen dan de Amerikanen.

Verwijderd @Cihan1988 • 20 juli 2018 02:41

Ach ja je kunt beter de Chinesen vertrouwen dan de Amerikanen.

Nokia is een Europees bedrijf.
Die maken allerlei apparatuur voor providers.
Backbone-routers, BNG-routers, DSLAMs, glasvezel-apparatuur, zendmasten, etc.
Ik zou zeggen: als je al die "buitenlanders" niet vertrouwt, dan moet je Nokia kopen.

Verwijderd @Cihan1988 • 19 juli 2018 23:11

Of nog beter; allebei niet!

fantafriday @Verwijderd • 20 juli 2018 00:22

Dan heb je niks als je het vergelijkt. Beetje het issue hier.

Verwijderd @fantafriday • 20 juli 2018 07:28

Daarom zou de EU de Europese fabrikanten en ontwikkelaars veel meer moeten stimuleren.
De situatie zoals deze nu is, is deze onhoudbaar op de lange termijn. De EU zou in staat moeten zijn om zelfsstandig de broek op te houden op alle vlakken.

China domineert de maakindustrie en als ze nog een iets groter marktaandeel heeft gaan vragen wat ze willen voor hun exportproducten.

De amerikanen domineren de softwaremarkt en kunnen zo de wereld manipuleren hoe ze willen.

beerten 20 juli 2018 00:14

Het allereerste kopieerapparaat in de voormalige Sovjetunie was van amerikaanse makelij. De russen konden toen geen kopieerapparaten maken. Die printer was in gebruik bij een overheidsinstantie. Eens per jaar kwam er een amerikaanse onderhoudsmonteur. Die een backup maakte van de ingescande bestanden en deze netjes afleverde bij het Pentagon.
Geheel begrijpelijk dus dat er achterdocht is.

Tivoler @beerten • 20 juli 2018 02:24

Bewijs ?

Xfade @Tivoler • 20 juli 2018 02:53

https://electricalstrateg...ies-in-the-xerox-machine/
Interessante materie.

[Reactie gewijzigd door Xfade op 31 juli 2024 03:22]

Tivoler @Xfade • 20 juli 2018 12:59

Nice, het gebeurt namelijk nog steeds hè... alle scans staan op de HD van een Xerox

totaalgeenhard 20 juli 2018 00:11

Ook zou de long term support voor de software, die wordt gebruikt in verschillende componenten, eindigen in 2020, terwijl de ondersteuning die door Huawei is toegezegd een later end of life-tijdstip belooft

Huawei levert ook managed infrastructuur waardoor lokale provider amper techneuten in dienst hoeft te hebben plaatsing en onderhoud van antenne kun je immers door derden laten doen.

Ze leveren als.onderdeel van hun oplossing Oracle mee.

Het zou me niets verbazen als men daarop doelen.

Digitalisering van rechtspraak in Nederland liep daarop ook stuk:

https://nos.nl/l/2241989

Kan me niet voorstellen partijen uiteindelijk in cloud van Amerikaans bedrijf terecht willen komen.

Verwijderd 20 juli 2018 16:30

Ik ben eerder geïnteresseerd in de risico's van Britse rapporten op Huawei apparatuur.

Silversatin @Fijinees • 19 juli 2018 22:12

nouja who cares, the britten hebben de brexit gekozen dus het is hun probleem om op te lossen. bye bye

Xorifelse @Silversatin • 20 juli 2018 02:04

^{trump.origin && cisco.origin == 'america'}.

Wat heeft de UK met dit te maken?

+/- 48% heeft wel voor de EU gestemd; om nu een folk over 1 kam te strijken? Het is al erg genoeg dat de helft van de populatie die wel kan voor en na denken hier onder moet lijden.

[Reactie gewijzigd door Xorifelse op 31 juli 2024 03:22]

Op dit item kan niet meer gereageerd worden.

Brits rapport wijst op risico's voor telecomnetwerken door Huawei-apparatuur

Lees meer

Reacties (65)

Sorteer op:

Weergave: