Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

VK: Huawei heeft 'geen vooruitgang geboekt' met veiligheidsproblemen

Een Brits overheidsrapport concludeert dat Huawei in een jaar tijd 'geen vooruitgang' heeft geboekt bij het verhelpen van eerder gemelde veiligheidsproblemen. Zo hebben technieken in Britse telecomnetwerken cryptografische tekortkomingen en standaardwachtwoorden.

Daardoor kan de opsteller van het rapport maar beperkte garanties bieden over de veiligheidsrisico's die gebruikte apparaten met zich meebrengen. Die opsteller is de raad van toezicht van Hcsec en dat is een instantie die is opgericht door de Britse overheid en Huawei zelf. Het rapport gaat puur over de apparatuur die wordt gebruikt in de telecomnetwerken van de providers en zegt dus inhoudelijk niks over bijvoorbeeld de telefoons van het bedrijf.

Een van de problemen heeft te maken met de onderliggende software van de producten. Zo zitten er gebreken in het ontwikkelproces van Huawei-software. Daardoor is het mogelijk dat de software die het Hcsec te zien krijgt, anders is dan de software die in de uiteindelijke apparaten komt. De toezichthouder vindt het moeilijk om aan te geven of producten veilig zijn en geen grote veiligheidsrisico's bevatten. Dit was een van de problemen die ook vorig jaar werden gemeld en volgens Hcsec is er in de praktijk niks veranderd.

Verder schrijft Hcsec dat het gedurende 2018 meerdere problemen heeft gevonden in producten van Huawei. Om tot de oorzaken van die problemen te komen heeft de instantie de producten moeten nabouwen. Tijdens de reverse engineering kwam het orgaan tot de conclusie dat deze producten uit een 'uitzonderlijk ingewikkeld en gebrekkig gestuurd proces' tot stand zijn gekomen.

De gevonden problemen zijn niet significant anders dan problemen die in voorgaande jaren werden gevonden. Het gaat dan bijvoorbeeld om onbeveiligde stacks in publiekelijk toegankelijke protocollen, cryptografische tekortkomingen, standaard wachtwoorden en 'vele andere basisveiligheidsrisico's'. "Hoewel Huawei veilige ontwikkelstandaarden heeft ingevoerd en zegt dat risicovolle code is geherstructureerd, is er weinig veranderd aan de veiligheidskwaliteiten van de software die wij hebben ontvangen. Het 'verhoogde risico' dat voor de Huawei-apparaten geldt voor de Britse telecommunicatie-industrie, moet blijvend onder controle worden gehouden door de exploitanten", schrijft het Hcsec.

Als conclusie geeft Hcsec aan dat er ernstige en systematische fouten zitten in de softwareontwikkeling en beveiliging. De instantie zet dan ook vraagtekens bij de bekwaamheid van Huawei als het gaat om de ontwikkeling en computerveiligheid. Hierdoor kan het Hcsec slechts beperkte technische garantie bieden over de beheersbaarheid van de veiligheidsrisico's die de Huawei-apparaten bieden voor het Verenigd Koninkrijk. De raad schrijft dat de slechte processen kunnen leiden tot kwetsbaarheden in de software. De hoeveelheid en ernst van kwetsbaarheden die door het 'relatief kleine team' van het Hcsec ontdekt zijn, worden door de raad ernstig genoemd.

Als een cyberaanvaller kennis heeft van deze kwetsbaarheden en over voldoende toegang beschikt om hier misbruik van te maken, kan deze aanvaller de werking van het Britse telecomnetwerk beïnvloeden. Een aanvaller zou ook gebruikersverkeer kunnen infiltreren of netwerkelementen kunnen herconfigureren. Maatregelen van Britse netwerkproviders beperken toegang tot deze kwetsbaarheden. Daardoor is het volgens Hcsec wel moeilijk om ze te misbruiken. Het is volgens de raad dan ook van belang dat deze maatregelen in stand blijven om de risico's van de Huawei-software te beperken. Het NCSC denkt niet dat deze kwetsbaarheden een resultaat zijn van inmenging van de Chinese staat.

Huawei schrijft in een reactie de zorgen serieus te nemen en ermee aan de slag te gaan. Daarbij verwijst het bericht naar een vorig jaar aangekondigde verklaring. Toen zei de top van het bedrijf een bedrijfsbreed 'transformatieprogramma' in te voeren om de software-ontwikkeling te verbeteren. Daarmee is een budget van omgerekend 1,8 miljard euro gemoeid.

Vorige maand zeiden twee anonieme bronnen tegen de Financial Times dat het risico van 5g-apparatuur van Huawei volgens de Britse inlichtingendienst NCSC 'beheersbaar' is. Dat was op basis van een destijds nog niet gepubliceerd rapport. Mogelijk gaat het hier om hetzelfde rapport, daar het NCSC vanuit de Britse overheid het aanspreekpunt is voor het Hcsec. Het nieuwe rapport is echter wat genuanceerder en heeft het over een beperkte beheersbaarheid. Ook staat in het rapport dat Huawei in de praktijk niks heeft gedaan met de opmerkingen uit het eerdere rapport.

Wereldwijd hebben verschillende landen zorgen geuit over Huawei. Zo verdenken onder meer de Verenigde Staten China ervan te spioneren via de apparatuur van Huawei. Amerikaanse overheidsdiensten mogen dan ook geen apparaten van het Chinese bedrijf kopen, iets waarvoor het bedrijf de overheid voor heeft aangeklaagd. Huawei blijft ontkennen dat de Chinese staat kan afluisteren via de apparatuur van Huawei.

Door Hayte Hugo

Stagiair nieuwsredactie

28-03-2019 • 15:47

44 Linkedin Google+

Reacties (44)

Wijzig sortering
Daardoor is het mogelijk dat de software die het Hcsec te zien krijgt, anders is dan de software die in de uiteindelijke apparaten komt
Heel eenvoudig op te lossen: met reproducable builds. Hierdoor kan een overheid of wie dan ook een duizend tal mensen naar een gesloten kamer sturen die code gaan lezen tot ze er bij neervallen. Op zoek naar backdoors of wat dan ook. Zij kunnen in die kamer de binaries die resulteren uit die source code builden met een identieke build omgeving als productie heeft. Maar de code mag niet uit de kamer. M.a.w. de duizend medewerkers worden gescanned op electronica op zak hebben. Gefouilleerd. Wat dan ook. Zo echt met van die security mensen aan verschillende deuren en poortjes om door te lopen. Ja echt wel zo. Niets mee mis. Tijdens dat builden kunnen ze de cryptografische resultaten (checksums) van de binaries berekenen. Dankzij reproducable builds zal men precies dezelfde binary krijgen tijdens productie-build. M.a.w. ben je wiskundig zeker dat wat de duizend medewerkers in die afgesloten kamer zagen identieke source code heeft aan wat je packaged kreeg op je machine.

Voorts pas je standaard package management toe wat op alle standaard Linux distributies gebruikt wordt. Zowel RPM als DEB hebben cryptografische verificatie. Bovendien gebruik je UEFI secure boot waardoor vanaf de bootloader, de kernel tot aan iedere individuele file op het filesysteem in executable of dlopen-bare paden (dit kan je instellen op bv. de mount points in /etc/fstab) alles cryptografisch zeker is. Bovendien encrypteer je je filesysteem. Dit is een checkbox aanvinken bij de installatie van iedere standaard Linux distributie. Eventueel voorzie je nog wat hardware die ook nog verdere cryptografische checks uitvoert op de bootloader.

Tot slot gaat het over routers. Die hebben eigenlijk geen persistent state nodig. M.a.w. read only media die door de initrd naar een ramdisk schrijft en alles, de gehele Linux distributie, draait in ramdisk. Na reboot is alles terug weg en boot je vanaf de read only media.

Uiteindelijk koop je een electronen microscoop en laat je de mensen in Veldhoven de hardware nakijken met die microscoop.

Als uit al die controles blijkt dat er niets aan de hand is. Geloof me dan maar. Dan is er gewoon niets aan de hand.

Geen enkel van de dingen die ik opsom zijn raar of zelfs ongewoon. Behalve misschien dat met die electronen microscoop. Er zijn duizenden mensen die perfect weten waar dit over gaat. Wanneer overheden bezorgd zijn over backdoors in de Chinezen hun code: beste overheidsmensen. Begin eens met de juiste mensen gewoon te betalen om dit goed en ten gronde voor U te laten nakijken.

Er is niets onmogelijk aan.
Toch wel vreemd dat men bij het aanbesteden dan toch alleen lijkt te kijken naar de prijs en niet naar geopolitieke factoren. Alleen om die reden zou ik al eerder naar Ericsson kijken.
De VS laat zijn infrastructuur niet beheren door Huawei en vice versa, waarom zou UK het dan door een bedrijf laten doen dat in grote getale onder invloed staat van China?
Ericsson zal ook backdoors hebben, maar ik zou beredeneren dat je het liever bij een Europees bedrijf hebt dan een bedrijf uit een ander land dat zou kunnen infiltreren.
Het gaat in het rapport niet om ingebouwde backdoors, maar gebrekkige instellingen, zwakke encryptie, e.d.
Maar een van de conclusies is een beetje raar specifiek voor Huawei:
Het 'verhoogde risico' dat voor de Huawei-apparaten geldt voor de Britse telecommunicatie-industrie moet blijvend onder controle worden gehouden door de exploitanten", schrijft het Hcsec.
Dat geldt voor elke telecomhardwareleverancier natuurlijk.
Klopt, dit onderzoek staat los van de andere beschuldigingen en verdenkingen, dit gaat puur om de kwaliteit van de code en methoden. Slechte code maakt een netwerk ook kwetsbaar voor inbraak anderen dan alleen potentieel de Chinese overheid.
Natuurlijk, echter kan je je afvragen of die zwakke encryptie komt door shoddy werk, of dat bijvoorbeeld Chinese inlichtingendiensten eerder toegang hebben daardoor.
of dat bijvoorbeeld Chinese inlichtingendiensten eerder toegang hebben daardoor.
En inlichtingendiensten van elk ander land :P
Nou ben ik natuurlijk ook benieuwd hoe Ericsson of Nokia door zo'n audit zouden komen :)

[Reactie gewijzigd door Fireshade op 29 maart 2019 09:51]

Waarom zouden geopolitieke factoren een rol moeten spelen in een aanbesteding? Ik ben van mening dat er vele dingen mogen meespelen waaronder het budgetaire alsook bewezen kwaliteit maar een bedrijf weren omdat het land waarvan het vandaan komt je niet aanstaat? Dat vind ik een verkeerde insteek.

En waar denk je dat de druk vandaan komt om Huawei in de ban te doen? Die komt net van de VS zodat men zou opteren voor Amerikaanse bedrijven die onder invloed van de Amerikaanse overheid staan.
Dat klopt, maar als de verdere voorwaarden gelijk aan elkaar zijn, dan zou ik opteren voor een Europees bedrijf.

Natuurlijk wil de Amerikaanse overheid dat andere landen met Amerikaanse bedrijven in zee gaan, net zoals de EU waarschijnlijk het liefste heeft dat alle EU landen van Europese technologie gebruik maken.

Als Ericsson of Nokia niet kunnen leveren wat er gevraagd wordt, of daarbij de prijs 3x over de kop gaat, tuurlijk. Maar als de verdere voorwaarden gelijk aan elkaar zijn, dan vind ik dat geopolitieke factoren wel mee mogen spelen, als het gaat om backdoors en dergelijke.
Hmmm...binnen Europa hebben we ook liever niet dat het ene land het andere kan platleggen hoor...
Wat ik wel frappant vind, is dat dit nu over Huawei gaat, omdat die onder een vergrootglas liggen en dus helemaal binnenste buiten gehaald zijn.
JUIST daarom zou ik nu veel meer vertrouwen hebben in Huawei producten dan in welke andere fabrikant dan ook. De conclusies zijn helder; er zitten fouten in, maar we weten nu in ieder geval welke fouten...en dat weten we van andere fabrikanten nu niet...

Is het niet gangbaar dat dit voor alle fabrikanten zou moeten gebeuren die te maken hebben met de kritische infrastructuur??
Er zijn geen Amerikaanse concurrenten, alleen Europese voor 5G voor zover ik begrijp iig.

[Reactie gewijzigd door sohus op 28 maart 2019 18:54]

Mee eens, waarom het risico nemen? KPN doet het ook, ik vind dat erg onverstandig. Het is dat we graag handel drijven met China, onder voorwaarden is dat ook prima, maar los daarvan staat het regime haaks op alles waar wij voor staan (met name burgerechten, mensenrechten), het regime is daar almachtig en heel hard bezig zijn internationale macht uit te breiden.
Ok, onze grote westerse bedrijven mogen alles voor 3-4 dollar in china laten maken en aan ons voor honderden euro's verkopen, maar een modem ojee, daar is niks van bewezen, nee de angst is dat cisco niet gebruikt gaat worden waar wel backdoors in gevonden waren.
Hee, winst maken is goed voor ons, spionage niet. En dus moet je proberen het ene te maximaliseren en het andere te minimaliseren, ja toch!

'Niks van bewezen' is helemaal niet echt relevant in intelligence en veiligheidszaken he. Je moet risico's inschatten en voorkomen, als je wacht tot iets bewezen is zijn er bij wijze van spreken al mensen dood.
Bewijs is juist uitermate van belang bij intelligence en veiligheidszaken. Anders blijft het toch puur speculatie? Zonder bewijs is het risico dat de VS of het VK net zoiets uithaalt als waar ze China van verdenken exact even groot.

Trouwens, ik zie dit niet als een risico inschatting maar meer een aanname. En om niet het verkeerde aan te nemen, moet je met bewijs komen.
Puur speculatie is voor een groot deel wel degelijk voldoende: je schat risico's in, aanwijzingen zijn genoeg om een bepaalde aannemelijkheid te concluderen. En bij een bepaalde aannemelijkheid van een bepaald risico moet je als veiligheidsdienst natuurlijk direct acteren om dat risico te verkleinen.

Zeker als het gaat om intelligence warfare is er vaak sowieso helemaal geen bewijs te vinden, dat betekent natuurlijk niet dat de veiligheidsdiensten dan maar op hun handen moeten blijven zitten he! Zeggen 'er is geen bewijs' is dus misschien correct, maar niet erg relevant voor de vraag of er actie ondernomen moet worden en al helemaal niet als het gaat om dit soort passieve actie: nl. gewoon niet het spul van je tegenstander gebruiken.

Bij de inschatting van je risico speelt trouwens ook het profiel van spelers een rol he, van China verwacht je eerder en kwalijkere vijandige actie dan van bondgenoten. Ook zonder enig bewijs kan het gepercipieerde risico dus ook daarom enorm verschillen.

[Reactie gewijzigd door droner op 28 maart 2019 20:23]

er zijn meer soorten regimes dan in NL of USA op de wereld. Dat is nou eenmaal een gegeven en ik neem aan dat als je aan hen vraagt wat zij denken over NL of USA, je eenzelfde antwoord terug krijgt...dus betrouwbaar/onbetrouwbaar is gewoon een zienswijze wat mij betreft.

Wij krijgen natuurlijk ook maar een 1 zijdig beeld opgelegd van wat hoe China eruit ziet en hoe het opereert. Dat houdt niet in dat China haaks staat tegen alles 'waar wij in geloven'.

Net als met ieder land, of het nou wel/niet jouw waarden en normen aanhaalt, moet je kijken wat je wel/niet wilt met zo'n land. Welke handel wil je wel, welke wil je niet, wat is gevaarlijk terrein en wat niet en goed de belangen afwegen.
Het hoeft helemaal geen probleem te zijn om spullen uit China of Rusland of wat dan ook te gebruiken. Als die achter in de keten liggen of als er een veiligheidsschil omheen ligt, is er niets aan de hand. Dat zou je ook kunnen doen als de spullen uit Duitsland, Belgie of Luxemburg komen...mss is het wel sowieso handig/verstandig om dat altijd te doen, ongeacht de leverancier...Ik weet het niet...

[Reactie gewijzigd door nobraininvolved op 29 maart 2019 12:53]

Het beeld wat jij krijgt van China is niet per sé het beeld wat ik krijg he, bovendien gaat het niet om ons beeld maar om dat wat de veiligheidsdiensten hebben. Maar tuurlijk, als risico's beheersbaar zijn hoef je niet in te grijpen. En ook dat is slechts een inschatting...

Van de Chinezen zijn staatsgesponsorde hackpogingen bekend, van de Russen nog veel meer incl. gerichte pogingen onze samenleving en democratie te ondermijnen. Haal je spullen bij dergelijke 'partijen' dan schiet het risicoprofiel van je project automatisch omhoog en zul je dus ook meer waarborgen willen hebben om daaraan tegemoet te komen. Dat lijkt me geheel terecht. Daarnaast maakt het nogal wat verschil of je bijv. wat kindersokjes bestelt, of essentiële onderdelen van je infrastruur.

[Reactie gewijzigd door droner op 29 maart 2019 15:15]

Je hebt helemaal gelijk.
Waar ik op doelde, is dat er meer aan de hand is dan 'veiligheid'.
Wij (het westen) willen graag dat Amerika de no1 is op allerlei gebieden (militair, economisch, sociaal, enz).
Amerika wordt momenteel op allerlei gebieden ingehaald door China. Dat vinden ze niet leuk en daar nemen ze maatregelen tegen.
Dus veiligheid wordt nogal erg verweven met b.v. economische doelen. Immers; geef aan dat b.v. Huawei geboycot moet worden omwille van economische doelen en veel landen steken een middelvinger op, maar geef aan dat het (volgens de veiligheidsdiensten) wss niet helemaal qua veiligheid klopt en je krijgt alle neuzen dezelfde kant op.
Je hebt gelijk dat het om de neuzen gaat van de veiligheidsdiensten, maar de informatie daarachter zou je (als overheid) nooit klakkeloos moeten vertrouwen. Iets wat nu vaak wel gebeurd als het van 'grote broer USA' afkomstig is.

Mijn persoonlijke mening is dat je infrastructuur en informatiesystemen die daadwerkelijk kritisch zijn voor de maatschappij, geheel in eigen hand zou moeten willen hebben en dus liefst zelf zou moeten opbouwen c.q. uitvinden/ontwerpen. De kennis is vaak wel aanwezig, maar wij (als klein landje) zijn daar helaas nog niet zo goed in.
Ik snap je denkwijze maar ik denk dat je zaken waar mogelijke motieven voor bestaan wel heel erg gemakkelijk tot waarheid bombardeert. Een mogelijk motief is niet meer dan een gedachte, nog niet eens een aanwijzing.

Los daarvan zou ik nieteens zoveel bezwaar hebben tegen het mogelijke motief wat je aandraagt - het lijkt me erg goed voor de mensheid als voorkomen wordt dat de Chinezen te machtig worden zolang zaken als mensenrechten en democratie daar niet meer waarde hebben dan nu het geval is. Ik denk echter niet dat we daar in slagen - liever verdienen we geld op de korte termijn dan te denken aan zulke strategische belangen.
Ik zou eerder voor Nokia kiezen (met veel development in Antwerpen), maar dat is misschien persoonlijk.
Ericsson zal ook backdoors hebben, maar ik zou beredeneren dat je het liever bij een Europees bedrijf hebt dan een bedrijf uit een ander land dat zou kunnen infiltreren.
Ik vind de gemakzucht hier over waar we tegenwoordig mee blijken zitten een beetje wereldvreemd aan het worden.

Het lijkt mij eerder noodzakelijk, vanzelfsprekend en een zowizo dat je voor zaken die critisch zijn voor de samenleving één en ander controleert.

bv. Bij Boeing vond men het blijkbaar ook niet nodig dat de software volgens de gangbare regels van de vliegtuigindustrie gecontroleerd en ontwikkeld werd. Jij zegt hier nu "er zal toch een backdoor in zitten, dus ja dan maar een Europese".

Neen. Je controleert. Je controleert opnieuw. Je test. Je controleert nog eens. Iedere week doe je uitgebreide code reviews. Op oude code en op nieuwe code en op de combinatie. Je bouwt processes in het traject software ontwikkeling waardoor er controle door meerdere partijen is.

Dat doe je niet enkel om backdoors te vinden. Dat doe je vooral om bugs te vinden. Om kwaliteit op te leveren. Bugs die er anders voor zouden zorgen dat plots een massa mensen zonder netwerk zouden vallen.

Maar dat blijkt tegenwoordig allemaal niet zo belangrijk te zijn. Alles moet zo goedkoop mogelijk gedaan worden. Slechte programmeurs die geen bakkes snappen van waar ze mee bezig zijn komen in de plaats van mensen met ervaring. En blijkbaar ook voor dingen die echt wel critisch zijn voor de samenleving.

Vliegtuigen vallen uit de lucht omdat het zo goedkoop mogelijk moet allemaal. Opleveren, niet testen, de lucht in met die paar ton ijzer en staal! Dat het maar op de huizen van mensen valt en dat de passagiers maar dood zijn. Het kan ons niet schelen! Software moet goedkoop zijn om te maken! Niet testen! Niet nodig. Geen controle. Dat is te duur.

Onze kapitalistische samenleving in het Westen is volledig het noorden kwijt.

Dit is niet normaal.

Backdoors zijn niet normaal. En het is nog minder normaal dat de kwaliteitsprocessen die ze zouden moeten vinden (moest er een malafide medewerker bij bv. Huawei zitten, wat bijna een zekerheid is gezien het zo'n groot bedrijf is) blijken volledig te ontbreken.

Want dat is te duur? Wat is het probleem juist?

Iedereen die een beetje ervaring in software ontwikkeling heeft weet dat dit gewoonweg niet kan: liggen router software schrijven zonder grondige kwaliteitscontroles en code reviews.

Management mensen die hun software ontwikkelaars het zo vragen te doen, horen op staande voet ontslagen te worden.
Klinkt lekker slecht allemaal om met deze apparatuur je 5G netwerk op te bouwen. Blijkbaar zit de software dus heel slecht in elkaar en mist het standaard beveiligsmaatregelen die in de software zouden moeten zitten, hierdoor is je netwerk dus kwetsbaar en zouden de veiligheidsrisico's maar beperkt beheersbaar zijn. Als je een beetje nadenkt kan dit allemaal niet meer in deze tijd en gezien de afhankelijkheid van de samenleving. Ook het gegeven dat er in een jaar weinig is verandert geeft geen vertrouwen. Tuurlijk zal het allemaal wel werken en zal je als klant leuke snelheden kunnen behalen, maar als samenleving en afhankelijkheid hiervan is snelheid ondergeschikt aan beveiliging, en dat rammelt aan veel kanten volgens dit artikel.
Maarja, prijs.. china weet de wersterse wereld wel lekker te krijgen om hun produkten aan te smeren.
Een van de problemen heeft te maken met de onderliggende software van de producten. Zo zitten er gebreken in het ontwikkelproces van Huawei-software. Daardoor is het mogelijk dat de software die het Hcsec te zien krijgt, anders is dan de software die in de uiteindelijke apparaten komt.
Zeer kwalijk, met alle verdenkingen naar de chinese overheid en hun mogelijke invloed op dit soort bedrijven en hun digitale spionage.
Ik denk dat we met deze analyse zeer voorzichtig moeten zijn. We zouden deze moeten vergelijken met gelijkaardige analyses van andere fabrikanten zoals bijv. een Cisco. En dan komt direct mijn eerste vraag: maken ze die analyse ook?
Inderdaad, wederom zeer zwak bewijs. Je zou bijna gaan denken dat Huawei zo goed beveiligd is dat de Westerse veiligheidsdiensten er geen backdoor ingebouwd kunnen krijgen en dat ze daarom Westerse apparatuur aanprijzen, omdat de backdoors daar al ingebouwd zijn :o :+ Daarnaast hebben ze alles reveresed engineered, dus kunnen ze gemakkelijk veilige software schrijven...

[Reactie gewijzigd door harrytasker op 28 maart 2019 18:20]

Aannames en geen enkel bewijs, liever huawai/ericsonn dan Cisco waar " ECHTE" backdoors in zaten en geen half verzonnen verdachtmakingen. Niks met spionage te maken maar het onder valse voorwenselen usa apparatuur drukken ten gunste van amerika's economie, niks anders dan pure concurrentie vervalsing, zgn komend uit t land dat t hardste kraait hoe goed overdreven kapitalisme wel niet is.
"standaardwachtwoorden" Dat is toch aan de beheerder?
Misschien is het technisch niet mogelijk om "complexe" wachtwoorden te gebruiken.

Genoeg websites en dergelijke nog waar je tegen een limiet van 8 karakters aanloopt bijvoorbeeld.
8 kom ik al lang niet meer tegen, maar 16 nog wel.
Ik wilde laatst mijn DigiD veranderen naar 32+ characters, mocht ook niet ;(
Klopt, 32 is max bij DigiD, maar dat is wat mij betreft al lang genoeg :)
Gaat het ff in het algemeen maar elke maximaal lengte geeft wel aan wat je maximaal kunt hebben dus dat geeft 'hackers' al minder keuzes als ze het willen bruteforcen. Tuurlijk als het hoger en hoger wordt wordt het natuurlijk heel lastig maar toch.
Als het korte wachtwoorden zou zijn dan is dat toch echt wat anders dan standaardwachtwoorden
Ik zou wel documenten willen zien waarin deze tekortkomingen en veiligheidsrisico's staan. Was het niet zo dat een bedrijf de tijd kreeg km het te fixen, en ander publiekelijk wordt gemaakt?

Niet dat ik reden heb om het VK niet te geloven, maar ik heb ook geen reden om ze wel te geloven. Kom met bewijs, beargumenteerd je uitspraak met feiten.

En een standaard wachtwoord een veiligheidsrisico? Mijn router van KPN had een standaard wachtwoord. Mijn cisco router had een standaard wachtwoord. Voor zover ik weet heeft veel apparatuur dit. Is toch gebruikelijk? Desnoods geforceerd te wijzigen bij eerste inlog.

[Reactie gewijzigd door skunkopaat op 28 maart 2019 19:20]

Als je een voorbeeld wil van problemen in Huawei software, dan geeft dit artikel op arstechnica wel een aardig beeld: https://arstechnica.com/g...ned-systems-up-to-attack/
Het is tijd voor een soort "Europese Cisco". Huawei staat niet bepaalt bekend om zijn geweldige beveiliging, maar de concurrenten zijn niet veel beter.

Neem bijvoorbeeld Cisco, die recent een beveiligingslek oploste... door de user agent van curl te blokkeren. Of neem Juniper met hun hard-coded backdoor op SSH en Telnet.
Neem Cisco, die wat langer geleden alle poorten open gooide voor de NSA

Cisco is nu net het volslagen foute voorbeeld.
Het was eigenlijk bedoeld als voorbeeld om wat nou net niet te doen. Nu ik het teruglees lijk ik het tegenovergestelde te zeggen. Excuses voor de verwoording!
Dat is wel "het" merk wat de amerikaanse ambassadeur in nl zit aan te bevelen...
Uiteraard, dan kunnen ze zeker nog meer backdoors inbouwen. En dan de schuld aan een ander geven.
Ongeacht het geopolitieke facet, sommige van die punten die gemaakt zijn (onvoldoende beveiligde stacks, voortdurende aanwijzingen dat Huawei een slecht ontwikkelingscyclus heeft waardoor de producten subpar zijn in feite, etc) zijn zorgwekkend genoeg dat als het klopt er genoeg redenen zouden moeten zijn om voorlopig Huawei buiten de deur te houden voor de 5G-infrastructuur.
Het VK boekt zelf ook niet echt vooruitgang met hun eigen problemen. :p
Op het moment dat "standaard wachtwoorden" als beveiligings risico wordt bestempeld, gaan bij mij de haren overeind. Immers, zelfs als ieder apparaat een ander, lang, en "veilig" wachtwoord heeft, zal ieder zich zelf respecterende beheerder dit als een van de eerste handelingen veranderen.
En de wordt je binnen een dag ontslagen bij een beetje provider. Dit kan prima met RADIUS en key encryption, wat ook de internationale standaard is. Er hoort geen enkele manier te zijn buiten management en beheer om in te loggen of zelfs maar een prompt te krijgen via een lokale connectie zonder dat dit specifiek is vrijgegeven door het centrale beheer. Niemand hoort eigenlijke wachtwoorden te weten en alleen de rechten te hebben die bij zijn baan hoort.

In telecom is dit gewoon een grote rode vlag
De mantra is altijd dat de Chinezen alles kopiëren. Dus kan het geen moeite zijn om de |Chinezen te controleren, toch?
Maar blijkbaar zijn ze ons toch voorbij gesneld op dit gebied. Hoe kan dat als ze alles kopiëren.
Het lijkt er toch meer op dat we meer te maken hebben met vooral commerciële overwegingen waarom ons de angst voor het rode of gele gevaar aangesmeerd wordt.
Vreemd want onze kapitalistisch economisch systeem is toch het meest efficiënt en ons 'democratisch' systeem is toch superieur ;) ? Of doen we hier toch iets verkeerd?


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True