文章轉自網路,旨在為讀者提供多元信息,文章內容並不代表本網立場和觀點。
來源:華爾街日報
中國華為技術有限公司(Huawei Technologies Co.)對美國一家網路安全公司的調查結果提出異議,稱其分析不完整且不準確。這家網路安全公司的調查結果認為,華為設備存在缺陷的可能性比其競爭對手的設備高得多。
總部位於俄亥俄州哥倫布市的Finite State上周發布的一份報告發現,在接受研究人員測試的近1萬個編入華為企業網路設備500多個變體中的固件映像中,有一半以上包含至少一個這種可被利用的漏洞。固件是為計算機硬體組件提供動力的軟體。
在公開發布之前,Finite State的這份報告曾在特朗普(Donald Trump)政府高級官員中廣泛傳播,這些官員表示,他們認為這份報告可信,並表示,這進一步證明了他們對華為強硬立場正當性。看過該報告的包括白宮、美國國土安全部和英國國家網路安全中心(Cyber Security Center)的高級官員以及美國議員。
華為在反駁長文中指責Finite State使用了「非常規辦法」,在測試評估過程中沒有與華為接觸,並拒絕在公布前將報告提供給華為。
華為還指責Finite State選擇性地公布結果,包括選擇可能包含更多瑕疵的較舊版本設備進行測試,並且將測試結果與較小的競爭對手Arista Networks Inc. (ANET)和瞻博網路(Juniper Networks Inc., JNPR)、而非思科(Cisco Systems Inc., CSCO)等其他市場領頭羊作比較,這種做法有違中性原則。
2018年,華為花費110億美元向美國公司採購零部件、軟體、其它技術及服務。華為稱其92家核心供應商中33家在美國,其中包括高通、英特爾和美光科技。美國以威脅國家安全為由將華為列入出口管制「實體名單」,這勢必讓美國諸多公司失去一個大客戶。那麼,對於暢銷全球的華為手機,有幾成軟硬體將受影響?《華爾街日報》記者Dan Strumpf拆解了一部華為手機,分析其中哪些技術來自美國,以及華為有何替代方案。
華為的產品安全應急響應團隊(PSIRT)表示:「鑒於Finite State的做法及其工具和方法的不足,其分析結果往最好的方向說是可疑的,往最差的方向說就是不準確。若是通過合作而不是在安全方面選擇政治立場的話,這本應是可以避免的。」
Finite State對此進行了回擊,提供了詳細的回應,並表示華為依然沒有表現出對共同安全原則的承諾。Finite State稱,該公司測試的幾乎所有固件都是今年4月份能夠拿到的最新版本;該公司還稱,華為表示將因該報告而採取一些行動,包括刪除至少一款設備上的嵌入式加密密鑰,而這恰恰證實了Finite State的部分結論。
Finite State首席執行長懷克豪斯(Matt Wyckhouse)稱:「我們堅持我們報告中的觀點。我們的立場仍然是,華為的漏洞是廣泛的,它們是真實存在的,且普遍存在於整個產品線中。」
當被問及為什麼把華為設備與瞻博網路和Arista相比,而不是與思科作比較時,懷克豪斯稱,鑒於Finite State現有的客戶基礎,該公司只將華為的設備與其能拿到的設備進行了對比。他表示:「沒有任何惡意。我們也很樂意大規模分析思科的固件。」
華為批評該評估報告稱,該報告只選擇了瞻博網路和Arista的一款產品與華為的一款高端網路交換機進行漏洞測試比較,而對華為則是選擇了該公司幾乎所有企業網路的數百種產品。作為回應,懷克豪斯稱,報告結論是基於將華為漏洞率與Finite State資料庫中超過25萬固件映像進行對比的結果,其資料庫包括對來自多家供應商設備的測試結果。Finite State沒有將其測試的整個華為全部數據組與瞻博網路或Arista的具體數據組進行對比。
雖然Finite State的報告稱,該報告記錄了該公司所稱的在華為設備中發現的大量網路安全漏洞,以及據稱是該公司工程師做出的一系列糟糕的安全決定,但Finite State沒有指責華為蓄意在其產品中留下漏洞。 _(網文轉載)