网络安全专家警告：华为带来的风险无解，“讨论可能的缓解措施，如重新在泰坦尼克号上安放躺椅一样难”。(Robyn Beck/AFP) 6park.com
	
2019年05月14日        记者    吴馨 6park.com
美国、澳大利亚、新西兰和日本已经禁止华为5G，且美国正在推动盟友禁止华为参与5G建设。网络安全专家警告：华为带来的风险无解，“讨论可能的缓解措施，如重新在泰坦尼克号上安放躺椅一样难”。
阿列克谢‧布拉泽尔（Alexei
 Bulazel）是美国River Loop Security公司的高级安全研究员。近日，他与其他三位安全研究人员共同撰写的题为“The 
Risks of Huawei Risk Mitigation”一文，被发表在美国法律和国家安全网站“法律战”（Lawfare）上。
他们指出，缓解华为所带来的风险是不可能的事情，而且要付出高昂的代价，因为“防守者必须每次获胜，攻击者只求得手一次”。 6park.com
专家们提到，对于华为技术的风险问题，除了要考察中共是否会恶意使用这种技术外，还要考虑华为设备可能带来的具体威胁，以及这些威胁可以减轻的程度。 6park.com
虽然人们认为华为的风险可以在技术层面上得到缓解，但专家们认为，在5G网络中，华为带来的风险将以指数方式上升，无法预测。与此同时，由于技术复杂性的增加，第三方系统中任何重要级别的安全资产验证已经变得难以为继，因此减缓这种风险已经变得不可能。如果中共现在或将来恶意使用这种技术，风险将无法缓解。 6park.com
三元素分析失效 风险无法预测

信息安全风险通常以机密性、完整性和可用性（CIA）三元素来进行讨论。国际安全与合作中心（Center for International 
Security and Cooperation）的资深网络政策安全研究员赫伯特‧林（Herbert Lin）在 
“法律战”网站上曾撰文说，实际上，华为技术的嵌入会对传统网络的机密性、完整性和可用性造成安全风险。一些风险可以使用已知技术来解决，例如虚拟私人网络（VPN）和端到端加密。但可用性来说则更难以解决，因为一旦供应商选择一个时间来破坏或降低网络功能，没有什么能阻止他们置入这样的功能。 6park.com
虽然CIA三元素是衡量一些计算机漏洞很有用的方式。但当涉及到国家基础设施和针对国家的攻击时，三元素分析方法是不够的。 6park.com
首先，这种分析通常假设一个抽象的“攻击者”，也许是一些恶意的地下室黑客。现实情况是，当涉及到电信基础设施时，这些攻击者往往是国家行为者：有组织，资金充足，并专门攻击“硬目标”。这些敌手在几大方面与众不同： 6park.com
• 有针对性的情报行动并不局限于商业界常见的传统大规模攻击。 6park.com
• 国家行为者的情报操作可以是长期的：人们今天可以使用加密来保护其数据的机密性，但是如果加密密钥被破坏，或者对手已经开发出计算能力破解密码，那么明天就无法保护这些数据。用通俗的话说，就是通过华为设备的数据可能是加密的，但不一定会保持加密状态。 6park.com
• 攻击隐秘目标是国家行为者的每日生计，包括：中间人攻击、嵌入系统攻击、罕见硬件、暗号和软件攻击。对于许多有目标的和资源充足的攻击者来说，阻力最小的方法是对外部世界不加保护的事物进行破坏。 6park.com
专家们指出，这些国家行为者攻击的重点不在于如何在单个时间点对单个漏洞进行数据破坏，而是在于如何让漏洞成为未来恶意行为的立足点。“良好”的渗透测试人员很少谈论个别漏洞（和CIA三元素），更多地谈论“攻击树”（Attack
 trees）和“利用原语”（exploit 
primitives），就是放长线而非速战速决。这些概念更好地说明了基础设施级问题带来的风险，这些问题不容易通过VPN或其它简单控制来解决。 6park.com
鼹鼠的价值：“进入”就是一切

在情报界，一切都取决于“进入”。来看冷战时的间谍活动：一个位置良好的苏联长期潜伏间谍（鼹鼠）比克里姆林宫能买到的最好东西还有价值。“进入”是这个等式的基本组成部分，每个国家的安全战略都取决于拒绝将它交给对手。 6park.com
无论谁为5G网络提供技术，都将拥有令人难以置信的“进入”权，从而拥有权力。如果华为提供该技术，那么从移动设备、智能家居，甚至汽车发送和接收的所有数据都将通过华为设备构建的网络。这些设备将受到远程控制和更新，从而导致指数向量的攻击。 6park.com
加密是保护数据传输的一种方法，但它对防止滥用超数据几乎不起作用：攻击者可能无法读取消息的内容，但他们知道是谁在何时发送给了谁。这些情报信息的价值不容小觑。当现代的人工智能优势与其它情报收集交叉引用的能力相结合时，这些数据就更有效了。 6park.com
实际上，这种设备带来的威胁远远超出了传输数据本身的威胁。关键基础设施网络中的华为控制设备可以作为进入系统的立足点，即可以作为一个跳板破坏连接的计算机。VPN或其它数据隐私机制无法缓解此风险。 6park.com
恶意攻击 软硬件漏洞防不胜防

“不信任但可验证”是信息安全的口号。但是，在这种规模下，要通过验证来保护不受一个恶意供应商的攻击通常是不可能的。源代码验证已经成为一种潜在缓解技术：华为允许政府检查可能在其设备上运行的代码。虽然源代码在攻击性漏洞研究中很有用，但在防御时，如验证预构建系统的安全性时，则不太常见。源代码是蓝图，二进制代码是蓝图描述的构建。蓝图可以告诉人们后门没有锁，但它并没有告诉你建筑团队藏在墙上的相机的任何有关信息。 6park.com
源代码验证在验证可信赖的合作伙伴时起作用，例如国家实验室验证美国国防承包商的工作。像这样的工作可以告诉用户，系统是根据特定标准构建的，或者它具有一些漏洞。但是，很少能够证明没有漏洞或没有后门。 6park.com
华为已经允许英国政府访问其源代码，但唯一能保证华为设备上运行的代码是与交个英国政府代码相同的，是应允许英国将此源代码构建为二进制代码，并与华为设备上的二进制代码进行比较。 6park.com
审核源代码的委员会发现无法复制华为的构建过程，并生成与其设备上二进制文件相同的文件。当攻击者控制实际的源代码、构建过程和代码运行的硬件时，检查表面上的“源代码”无济于事。 6park.com
硬件受外国控制更成问题。与软件验证一样，几乎不可能确保由恶意行事另一方创建的硬件系统的完整性。特别对硬件安全担忧时，验证一个设备并不能确保大规模生产的相同设备有相同的安全保障。 6park.com
硬件逆向工程方法通常具有破坏性，包括用烧杯和酸煮沸芯片或用电动工具磨掉硅层。甚至可以扩展审查过程，随机抽选设备检查，但攻击者也可以简单地赌一把，暗中修改一个芯片。正如网络格言所说的：防守者必须次次获胜，攻击者只求得手一次。 6park.com
更新维护无信任 未来防范代价大

良好的信息安全战略往往是一个不仅涉及空间，更涉及时间的防御问题。这意味着要考虑信任传递这个复杂的问题，其中最明显的是软件更新和维护。 6park.com
专家们指出，来自制造商的恶意更新最让人猝不及防。现代安全系统具有更复杂的透明度模式，这影响着超出软件更新方式验证系统设备的能力。许多复杂的系统几乎不可能“破解”，以验证其行为是否符合预期。这意味着将第三方设备引入您的网络就是过度信任其安全性符合商定的要求。 6park.com
来看苹果手机锁定的安全模式：代码签名保证更新来自苹果本身，而不是恶意行为者。对于用户来说，验证这些保证是否像苹果声称的那样是非常重要的，从而供应商拥有用户的信任。虽然大多数人都信任苹果为其数据提供安全保证，但并非所有供应商都有这种用户的信任。在华为的案例中，这种信任是缺失的。 6park.com
国际公司制造关键信息技术司空见惯。对于在关键基础设施中技术嵌入而言，风险缓解的规模和复杂性会迅速地超过低成本效益，讨论可能的缓解措施就像重新安排泰坦尼克号上的躺椅一样难。 6park.com
从长远来看，由于需要不断创建、更新和维护缓解政府将承担的不断变化风险，因此前期成本节约将相形见绌。国际监管、创新和劳动力价格方面的标准不一致，使得对手能够提供经济上的权宜之计，而拥有了进入基础设施的渗透能力。 6park.com
虽然这些问题很复杂，但公众和国际上对此问题的讨论表明，安全的供应链将成为21世纪最难以捉摸的奢侈品。# 6park.com
更多信息请看：https://%63%68ogo%6F%6E.com/srt/zne3c 6park.com