Come può Huawei (o qualsiasi altro fornitore di servizi di telecomunicazione) fornire una garanzia di sicurezza verificabile?

2

IMHO, è nell'interesse di Huawei (e di tutti gli altri produttori di apparecchiature) precludere \ impedire a qualsiasi parte di violare la sicurezza da remoto. Tutti gli attori governativi controllano le comunicazioni avvincendo ISP & Telco via forza.

In che modo i produttori di apparecchiature possono garantire che le vulnerabilità di accesso remoto intenzionale non sono progettate in sistemi per il loro governo locale?

    
posta gatorback 09.12.2018 - 03:38
fonte

1 risposta

2

Fornire garanzie di sicurezza completamente verificabili è impossibile con i sistemi complessi di oggi. Anche se il codice sorgente completo viene offerto per l'audit (che Huawei sembra offrire ) questo potrebbe catturare le backdoor evidenti ma non catturerà bug che possono nascondersi in profondità e che potrebbero anche essere usati per fornire backdoor nel sistema. Inoltre, non rileverà espliciti o impliciti (cioè bug) che sono stati aggiunti nelle patch a meno che queste patch non vengano nuovamente verificate, il che è costoso e richiede tempo. E questo riguarda solo il software: anche hardware e firmware sono complessi e potrebbero anche avere backdoor esplicite o implicite.

Tuttavia, fornire il software e i documenti di progettazione per la verifica potrebbe in realtà aggiungere sufficiente fiducia che il sistema non abbia backdoor esplicite. Quando si eseguono valutazioni di criteri comuni, è normale che il revisore abbia accesso a software e documenti di progettazione, almeno per i più alti livelli di certificazione come EAL4. Pertanto, pur non essendo completamente verificabile, sicuro o verificato formalmente, potrebbe essere considerato sufficientemente sicuro per lo scopo e il venditore potrebbe essere considerato attendibile.

Ma ovviamente, questo significa che non solo il venditore deve offrire tutto questo accesso (molti lo fanno) ma che c'è in realtà un interesse anche considerando il venditore affidabile. Ci sono diversi fattori in grado di giocare contro questo: fattori politici ed economici ma anche l'obiettivo di ridurre i potenziali rischi. I primi dovrebbero essere chiari, cioè si possono usare le restrizioni commerciali come arma politica e si può anche voler favorire i venditori locali contro i venditori stranieri per motivi economici.

Ma anche la riduzione del rischio è rilevante: non si vuole avere un fornitore con potenziali legami o dipendenza da un politico, economico e militare per avere il controllo su infrastrutture sensibili o critiche. Il venditore potrebbe essere considerato affidabile adesso. Ma questo potrebbe cambiare se aumentano i conflitti e in questo caso il foo ha un vantaggio se potesse controllare una parte essenziale della tua infrastruttura - come la rete mobile, le apparecchiature di comunicazione, le centrali elettriche ecc. Questo è particolarmente vero per i venditori che si trovano in Paesi in cui è probabile che il governo attiri o faccia pressione sul venditore affinché giochi nell'interesse degli Stati, come la Cina, la Russia ma anche (come anche l'affare Snowden ha dimostrato) negli Stati Uniti e in Israele (che ha conosciuto strette connessioni tra cyber-sicurezza aziende e militari).

    
risposta data 09.12.2018 - 07:17
fonte

Leggi altre domande sui tag