Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste prijsvergelijker en beste community. Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers!

Brits rapport wijst op risico's voor telecomnetwerken door Huawei-apparatuur

Een Brits overheidsrapport concludeert dat tekortkomingen aan de kant van de Chinese fabrikant Huawei tot gevolg hebben dat er risico's ontstaan voor telecomnetwerken in het Verenigd Koninkrijk. Huawei is een grote leverancier van apparatuur voor die netwerken.

Het rapport is opgesteld door een orgaan dat toezicht houdt op het zogenaamde Huawei Cyber Security Evaluation Centre, of Hcsec. Reuters legt uit dat dit centrum in 2010 in het leven is geroepen om mogelijke beveiligingsrisico's voor de nationale infrastructuur tegen te gaan. Het Hcsec controleert bijvoorbeeld alle Huawei-apparatuur. Het toezichtsorgaan brengt jaarlijks verslag uit over de werkzaamheden van het Hcsec. Volgens Reuters is dit het eerste jaar waarin het rapport vraagtekens zet bij de garanties die het centrum kan bieden. Zo concludeert het dat Hcsec nog maar 'beperkte garantie' kan bieden, wat volgens een bron van Reuters neerkomt op een grote verandering.

In het rapport zelf worden verschillende tekortkomingen ge´dentificeerd, waaronder de constatering dat Huawei gebruikmaakt van software van derden die een kritieke beveiligingsrol speelt, maar onvoldoende gecontroleerd wordt. Ook zou de long term support voor de software, die wordt gebruikt in verschillende componenten, eindigen in 2020, terwijl de ondersteuning die door Huawei is toegezegd een later end of life-tijdstip belooft. Een ander probleem is dat onderzoekers onvoldoende mogelijkheden zouden hebben om broncode te onderzoeken.

Huawei laat aan Reuters weten dat het rapport concludeert dat Hcsec onafhankelijk kan opereren en dat er verbeterpunten zijn in het zijn eigen ontwikkelproces. "We zijn dankbaar voor deze feedback en zullen de problemen oplossen. Beveiliging blijft de hoogste prioriteit van Huawei en we zullen onze ontwikkelprocessen en risicomanagementsystemen blijven verbeteren."

De conclusies van het rapport komen op een tijdstip waarop Huawei in de VS onder vuur ligt. Zo raadden de Amerikaanse inlichtingendiensten in februari consumenten af om nog apparatuur van Huawei en ZTE te kopen om risico's voor de nationale veiligheid. Ook wil de Amerikaanse overheid stoppen met het gebruik van de apparatuur.

Door Sander van Voorst

Nieuwsredacteur

19-07-2018 • 21:11

65 Linkedin Google+

Reacties (65)

Wijzig sortering
Ik wil even een van de eerste alinea's aanhalen van het rapport:

HCSEC has been running for seven years. It opened in November 2010 under
a set of arrangements between Huawei and HMG to mitigate any perceived
risks arising from the involvement of Huawei in parts of the UK’s critical national
infrastructure.

M.a.w. Huawei zegt heel simpel tegen HMG je mag onze apparatuur testen voor zo ver je wilt en kijken of je iets kan vinden wat niet goed is. Huawei is zelf in dit project gestapt omdat er altijd een gedachte is geweest dat Huawei apparatuur back-doors zou hebben voor de chinese overheid etc. Echter zoals je kan lezen in vorige rapporten is er nooit iets gevonden.

Ik zie de Amerikaanse partijen zoals Cisco & Juniper dit nog niet zo snel doen.
M.a.w. Huawei zegt heel simpel tegen HMG je mag onze apparatuur testen voor zo ver je wilt en kijken of je iets kan vinden wat niet goed is.
.....
Ik zie de Amerikaanse partijen zoals Cisco & Juniper dit nog niet zo snel doen.
Je kunt gewoon apparatuur van welke vendor dan ook kopen. En dan zelf testen. Daar hoeft geen vendor zijn toestemming voor te geven. Dat Huawei zegt "ja dat mag", dat heeft verder helemaal geen waarde.
Dat het ft net zeer grote waarde want je kan hen veel vragen stellen wetende dat je antwoord zult krijgen. Je kan ook zonder al te veel problemen bij hen langs gaan en met de engineers gaan praten of zelfs de software inkijken. Die dat maar eens bij Cisco.
Maar ze krijgen toch juist onvoldoende inzicht in de broncode (als ik het bericht mag geloven)?
Die broncode komt van derde partijen, dus daar kan Huawei niets aan doen.
De onderzoekers moeten daarvoor dus bij softwareleveranciers aankloppen. Misschien dat die moeilijk doen.
Huawei gebruikt die software in hun producten, dus hun verantwoordelijkheid.
Probeer maar eens zo'n Juniper toestel te gaan ontleden. De bootloader en de firmware zijn nogal gesloten. Succes.
Hebben ze zo'n onderzoek ook gedaan voor de alternatieven van Nokia of Ericson (Samsung?)? Lijkt me ook interessant, zeker als je het hebt over de achterliggende software die weer van gespecialiseerde bedrijven komt.
Als je een onderzoek doet naar de een dan moet je de ander ook bekijken, anders is het een heksenjacht.
Daar ben ik het niet helemaal mee eens. In het VK is in het verleden gekozen om een Huawei infrastruktuur op te bouwen voor deze netwerken. Een van de verantwoordelijkheden van de gebruiker/overheid is gedurende het proces te evalueren of het gebruik van deze infrastruktuur veilig blijft en aan de vooraf gestelde eisen bij toekenning van de opdracht blijft voldoen. Dat is (in ieder geval gedeeltelijk) wat met dit rapport wordt beoordeeld. Er is niet gezegd dat het onveilig is of op andere manier niet aan de eisen voldoet, maar er is wel aangegeven dat veranderingen in ondersteuning/garantie een probleem (kunnen) vormen en dat er knelpunten zijn met betrekking tot controle van de werking van gebruikte software.
Een aantal punten had mogelijk in de aanbesteding verwerkt kunnen worden maar voortschrijdend inzicht kan ook nieuwe knelpunten boven water brengen. Die beoordeling blijft dus altijd een veranderend proces dat regelmatig tegen het licht moet worden gehouden en herhaald uitgevoerd moet worden.
Samsung en huidige Nokia maken geen infrastructuur en spelen daarin marginaal een rol.
Samsung en huidige Nokia maken geen infrastructuur en spelen daarin marginaal een rol.
Nokia verkoopt alleen al aan backbone-routers en bng-routers voor zo'n 2.5 miljard euro per jaar.

(BNG staat voor Border Network Gateway. Dat zijn de routers waar alle DLSAMs, CTMSen, FTTH en dergelijke aan hangen). Als je naar de provider markt kijkt, zijn ze wereldwijd 2e (na cisco, net voor Juniper, en ruim voor Huawei). (In de Enterprise markt en de data-center markt, is Nokia niet echt aanwezig. Hun routers zijn daar te duur (en te groot/snel) voor). Sinds kort verkoopt Nokia in Europa zelfs meer routers aan providers dan cisco. Nu de rest van de wereld nog. :)
Ja is verwarrend.


HUAWEI is in veel landen marktleider als ook met LTE.

http://www.4gmasten.nl/ni...te-netwerkmarkt-in-handen

www.capacitymedia.com/Art...-Huawei-continues-to-grow

[Reactie gewijzigd door totaalgeenhard op 20 juli 2018 06:11]

Nokia maakt alleen nog maar infra, jij bedoelt waarschijnlijk HMD, die telefoons uitbrengen onder de naam Nokia.
Lijkt me zeker geen verkeerd idee. Kijk bijvoorbeeld naar Cisco en de recent ontdekte vulnerabilities: https://tech.slashdot.org...t-in-the-last-four-months
Het is inderdaad weinig om over naar huis te schrijven, maar ze schrijven er ten minste over in tegenstelling tot andere.
Het gaat toch om het Huawei Cyber Security Evaluation Centre, of Hcsec. Dus specifiek bedoeld om Huawei te controleren, en dan ook geen "heksenjacht"?
Nee, die werken al voor ons.
Ze hebben er zelf geen belang bij maar ze kunnen er net zo goed toe gedwongen worden als onder "een communistische partij" precies om dezelfde reden als dat bedrijf onder "een communistische partij" ertoe gedwongen kan worden. zeg een keer terrorist of nationale veiligheid en alle deuren gaan magisch open. Zelfs al was het in een land waar de overheid niet erom bekend staat dat ze dit soort praktijken uitvoeren, niks stopt dat land van het alsnog forceren op bedrijven in hun land als ze genoeg macht hebben over het bedrijf.
Daarom dat er in Cisco apparatuur al backdoor zijn gevonden die vermoedelijk van de NSA komen, ontdekkingen die trouwens gedaan werden toen diezelfde NSA een FUD campagne tegen Huawei begonnen was en de Amerikaanse regering voor de eerste keer opriep om die Chinese merken niet te vertrouwen maar te kiezen voor Amerikaanse.
waaronder de constatering dat Huawei gebruikmaakt van software van derden die een kritieke beveiligingsrol speelt, maar onvoldoende gecontroleerd wordt.
Zoiets als Intel's AMT? Geen idee of Huawei gebruik maakt van Intel chips voor hun enterprise gear.

EDIT:
Blijkbaar halen ze 1.4Tbit/s aan encrypted vpn verkeer met maar 1 cpu? :?
Nergens staat wat ze voor hardware gebruiken. Misschien de nieuwe Kirin? :P

[Reactie gewijzigd door Loggedinasroot op 19 juli 2018 21:23]

In netwerkhardware zitten speciale chips die zijn ontworpen voor netwerkdoeleinden. Dit is dan ook geen software meer, maar hardware.

Pas als je niet-standaard dingen gaat doen met pakketjes, dan gaat het door de cpu, en dan neemt de snelheid extreem snel af.

Een goed voorbeeld is fastpath in Mikrotik routers.
Ja voor de switches etc weet ik dat. Maar zo'n vpn server zal toch gewoon op een CPU draaien of niet?
Dikwijls worden er aparte processoren bijgezet voor het encryptie-stuk.
Vb Cisco ASA's hebben Cavium Octeon en Cavium Nitrox (Lite / PX) voor de encryptie-zaken waardoor die redelijk wat Gbps AES verkeer kan trekken....
In een (moderne) ASA zit een Atom, dus je hebt alle voordelen van bugs in het intel-platform er gratis bij. Er zijn zelfs mensen bezig met rowhammer-gebaseerde attacks via het netwerk. Ongeacht de hardware wordt het eerste packet altijd door de CPU gerouteerd, voordat CEF of dCEF enzo het overnemen. Je kunt dus misschien met de payload van je packet voldoende bits be´nvloeden om een rowhammer attack uit te voeren.
Ongeacht de hardware wordt het eerste packet altijd door de CPU gerouteerd, voordat CEF of dCEF enzo het overnemen.
Je bent in de war met Fast Switching. Bij CEF en dCEF wordt de route table plat geslagen en in de hardware geladen. Ieder packet wordt door de hardware gerouteerd en wanneer een destination niet in de TCAM staat, wordt het packet gedropped en zal een ICMP message gegenereerd worden.

Fast Switching word niet meer gebruikt in hedendaagse netwerken.

[Reactie gewijzigd door JackBol op 20 juli 2018 00:41]

CEF is ontwikkelt in 1996/1997. Sindsdien doen cisco routers geen fast-switching meer. Andere fabrikanten (Nokia, Juniper) doen hetzelfde. Een "per-destination-address cache, built by the first packet in a flow", dat principe werkt al 20 jaar niet meer.
Steeds minder. Zelfs iets als een F5 BigIP is grootendeels een standaard x86 architectuur waarbij alle functionaliteit softwarematig wordt bepaald.
Terugvallen op een CPU is best ouderwets. Met 'vreemd' verkeer kan je namelijk de CPU onderuit halen.
Voor speciale netwerkhardware kan je eens naar de Nokia FP4 kijken. Al is daar niet veel echt veelzeggende informatie over te googlen.
Een vreemd pakket gaat natuurlijk niet vanzelf naar de CPU. Daar moet je eerst regels voor maken.
Ik doelde op de architectuur die als volgtwerkt: alles naar CPU, die de eerste TCP-stroom detecteert en de NAT-chip programmeert. Dan komt het eerste pakket van flow 2, dat gaat default naar de CPU, etc etc. Leuk voor thuis.
Sorry maar je hebt duidelijk geen idee over wat voor hardware er in netwerk apparatuur gaat. Dat zijn echt geen generieke CPUs die dat verkeer verwerken.
Aan wat voor hardware moet ik dan precies denken die zo'n vpn server draait? Of hoe zit zoiets in elkaar?
Wat ASICs voor je encryptie, wat ASICs voor je forwarding. Tuurlijk is die 1.4Tbit/s dan nog steeds onder ideale omstandigheden maar dit zou het wat mogelijker maken. Het moment dat je er iets ingooit dat door die CPU moet zal het natuurlijk hard achteruit gaan.

Edit: Voor het servers stuk zal het administratie werk wel door de CPU gaan (authenticeren en opzetten etc) daarna een offload naar die ASICs lijkt mij logisch mochten ze het halen.

[Reactie gewijzigd door fantafriday op 19 juli 2018 22:18]

Aan wat voor hardware moet ik dan precies denken die zo'n vpn server draait? Of hoe zit zoiets in elkaar?
Aan een normale intel of powerpc CPU. Er zit misschien een crypto processor ergens op de netwerk-interface, maar moderne CPU's zijn goedkoop, snel en doen precies wat er nodig is. Je zou als fabrikant knettergek zijn als je daar eigen CPU's voor gaat maken. Cisco en Juniper doen nog veel met PowerPC maar hebben ook modellen met intel CPU's. Sophos draait intel, Fortinet heeft van alles, van ARM tot Xeon. Enzovoort.

Het netwerk-verkeer gaat door eigen chips heen maar die hebben niets met het OS te maken.
5 jaar geleden had je gelijk gehad. Tegenwoordig is alle software gevirtualiseerd en draait het gewoon op cots hardware. En zelfs proprietary hardware van de grote leveranciers maakt gerbruik van gewone Xeons alleen wordt dat meestal niet nadrukkelijk vermeld omdat het de marktprijs van die hardware niet ten goede komt.
Tegenwoordig is alle software gevirtualiseerd en draait het gewoon op cots hardware.
Onzin.
Sommige functies zijn gevirtualiseerd.
Andere functie worden nog steeds op routers gedaan, of op speciale hardware (load-balancers, firewalls). Virtualisatie werkt in sommige scenarios prima. In andere scenarios heb je gewoon de performance op de juiste plaats nodig. Daarom zitten die high-end apparateren vol met allerlei Intel CPUs, ARM cpus, speciale ASICs, en zelfs speciale netwerk-processors.
Ik weet niet waar je die 1.4Tbit/s vandaan hebt maar ik kan het nergens vinden. Overigens kan je wel encrypted snelheden op basis van optical DWDM halen met 1 CPU :) maar dat is geen VPN.

Verder is Huawei de enige die zijn hardware&software gewoon laat testen door dit lab, en zoals gemeld is dit de eerste keer dat er vraag tekens geplaatst worden.
als ik het zo lees dan haalt 1 cpu max 70 gbps aan ipsec verkeer.
Dat een MPU of backplane een hogere doorvoer snelheid hebben heeft niets met 1 cpu te doen.
"Adopting distributed hardware and software design"

Dat ding zit dus vol met allerlei gespecialiseerde hardware (asics, etc). Net als soortgelijke apparaten van de concurrentie. Niemand haalt 70 gbps met 1 core. 1 Cpu misschien, maar dan een cpu met meerdere cores of zo. En dan nog, als je gewone cpus gebruikt dan is de bandbreedte van je i/o de bottleneck. Dat lost je alleen maar op met toegespitste hardware.
RAM-bandbreedte staat me bij. De netwerkbandbreedte is de RAM-bandbreedte gedeeld door 2 (of 4, weet ik niet meer).
En met een goede CPU kan je dan ook IPSEC doen.
Dar haal je wel gigabits mee, maar geen terabits.
Maar is er een fabrikant die wel inzage geeft in alle broncode? Ik denk dat dit bij Juniper en Cisco ook onmogelijk is. Of worden die blindelings vertrouwt? Dat zou een dodelijke fout zijn.
Het staat niet in het artikel maar er zijn backdoors gevonden in Cisco en sporen van backdoors in Juniper-producten. Ik denk dat iedereen hoopt dat de NSA andere doelen heeft dan de Chinese geheime dienst.
Soms is iets gewoon een bug. Of een stommigheid. "Oh, vergeten dat test-account te verwijderen".

Ik ben het met je eens, soms zal het express gebeuren. Maar zoiets doms als standard snmp community-strings (= password) zetten kan gewoon een fout zijn geweest. Iedereen doet wel iets eens iets fout.
Voor zover ik mij die artikelen kan herinneren over Cisco ging het zeker niet over een bug maar zeer bewust ge´ntroduceerde code.
Ik denk dat het inderdaad zo is dat zoals de waard is vertrouwt hij zijn klanten. Ik denk dat Cisco en Juniper inderdaad meewerken met de NSA en dat de Amerikanen er daarom van uit gaan dat Huawei dat ook doet met de Chinese overheid.
HÚ vervelend... Juniper en Cisco apparatuur heeft zoals het hoort, backdoors die wij kennen en kunnen gebruiken. Huawei apparatuur niet, die kan niet door ons gebruikt om mee af te luisteren... Aanpakken die hap!


Loesje
Ach ja je kunt beter de Chinesen vertrouwen dan de Amerikanen.
Ach ja je kunt beter de Chinesen vertrouwen dan de Amerikanen.
Nokia is een Europees bedrijf.
Die maken allerlei apparatuur voor providers.
Backbone-routers, BNG-routers, DSLAMs, glasvezel-apparatuur, zendmasten, etc.
Ik zou zeggen: als je al die "buitenlanders" niet vertrouwt, dan moet je Nokia kopen. :)
Of nog beter; allebei niet!
Dan heb je niks als je het vergelijkt. Beetje het issue hier.
Daarom zou de EU de Europese fabrikanten en ontwikkelaars veel meer moeten stimuleren.
De situatie zoals deze nu is, is deze onhoudbaar op de lange termijn. De EU zou in staat moeten zijn om zelfsstandig de broek op te houden op alle vlakken.

China domineert de maakindustrie en als ze nog een iets groter marktaandeel heeft gaan vragen wat ze willen voor hun exportproducten.

De amerikanen domineren de softwaremarkt en kunnen zo de wereld manipuleren hoe ze willen.
Het allereerste kopieerapparaat in de voormalige Sovjetunie was van amerikaanse makelij. De russen konden toen geen kopieerapparaten maken. Die printer was in gebruik bij een overheidsinstantie. Eens per jaar kwam er een amerikaanse onderhoudsmonteur. Die een backup maakte van de ingescande bestanden en deze netjes afleverde bij het Pentagon.
Geheel begrijpelijk dus dat er achterdocht is.
https://electricalstrateg...ies-in-the-xerox-machine/
Interessante materie.

[Reactie gewijzigd door Xfade op 20 juli 2018 02:55]

Nice, het gebeurt namelijk nog steeds hŔ... alle scans staan op de HD van een Xerox ;)
Ook zou de long term support voor de software, die wordt gebruikt in verschillende componenten, eindigen in 2020, terwijl de ondersteuning die door Huawei is toegezegd een later end of life-tijdstip belooft
Huawei levert ook managed infrastructuur waardoor lokale provider amper techneuten in dienst hoeft te hebben plaatsing en onderhoud van antenne kun je immers door derden laten doen.

Ze leveren als.onderdeel van hun oplossing Oracle mee.

Het zou me niets verbazen als men daarop doelen.

Digitalisering van rechtspraak in Nederland liep daarop ook stuk:

https://nos.nl/l/2241989

Kan me niet voorstellen partijen uiteindelijk in cloud van Amerikaans bedrijf terecht willen komen.
Ik ben eerder ge´nteresseerd in de risico's van Britse rapporten op Huawei apparatuur. ;)
nouja who cares, the britten hebben de brexit gekozen dus het is hun probleem om op te lossen. bye bye
trump.origin && cisco.origin == 'america'.

Wat heeft de UK met dit te maken?

+/- 48% heeft wel voor de EU gestemd; om nu een folk over 1 kam te strijken? Het is al erg genoeg dat de helft van de populatie die wel kan voor en na denken hier onder moet lijden.

[Reactie gewijzigd door Xorifelse op 20 juli 2018 02:07]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True