去年10月4日《彭博》商業週刊發表一個題為 〈重大黑客:中國如何用一粒小芯來滲透美國公司〉("The Big Hack: How China Used a Tiny Chip to Infiltrate US Companies"),透露了中國在製造電腦服伺器過程中預裝了間諜芯,能夠把用戶的資料傳送到中國。該報導並透露美國約有30多家公司的電腦被預裝了這些電子後門。雖然相關公司強烈否認自己的電腦被中共預裝了間諜硬件,但為了測試誰的說法屬實,英國劍橋大學一個研究員 Dr A Theodore Markettos (他是劍橋大學電腦科學和技術系專門研究硬件及平台安全的專家)拆解了一個由華為製造的母版來加以檢驗,初步確認了該報導的事實。他說:
最後我們學到什麼?主要是:這則新聞(按:指彭博的報導)通過了『嗅』的一關。(筆者按:我的理解是初步證據成立)對很多人來說,他們的系統遠比他們想像的複雜得多,正是在這種複雜性中會隱藏很多令人非常驚訝的漏洞(So, finally, what do we learn? In essence, this story seems to pass the sniff test. But it is likely news to many people that their systems are a lot more complex than they thought, and in that complexity can lurk surprising vulnerabilities)。
《彭博》商業週刊的報道。圖為間諜芯的大小與一根指頭比較。
彭博文章刊登後,日本馬上做測試,根據日本富士電視台2018年12月11日報導,日本執政的自民黨中有關人士表示,他們在實際拆解華為設備後,確實發現了硬體中不必要的元器件(間諜晶片),這一問題引發日本政府的極大關注。
事實上,早在彭博這篇報導之前,知名黑客媒體The Hacker News報導,來自德國的安全公司G-Data發現,中國的手機製造商的安卓智能手機都在韌體中預裝了間諜軟件,這些製造商包括小米、華為、聯想、Alps、ConCorde、DJC、Sesonn和Xido等旗下26款Android智能手機,都在韌體中被預裝間諜軟件。 G-Data公司報告指出,這些預裝的間諜軟件偽裝在facebook和Google等流行的手機應用程序中,由於駐留在手機的韌體(firmware)中,在沒有解除鎖的情況下無法刪除。
值得注意的是,英國「政府通信總部」(Government Communications Headquarters GCHQ)轄下的「國家網絡安全中心」(National Cyber Security Centre NCSC)去年7月發表了一個下屬委員會「華為網絡安全評估中心(Huawei Cyber Security Evaluation Board HCSEC)監督委員會(Oversight Board)的年度報告」,這份報告指出,「發現華為工程流程中存在的短板,已經暴露了英國電信網絡面臨的新風險,以及在緩解和管理這種風險時所面臨的長期挑戰。監督委員會只能提供十分有限的保證,即華為參與英國重要網絡建設給英國國家安全帶來的任何風險都得到了充分緩解。」(However, identification of shortcomings in Huawei's engineering processes have exposed new risks in the UK telecommunication networks and long-term challenges in mitigation and management).
結論部分第七段說:「基於暴露出來的若干憂慮,監督委員會只能提供有限的保證,即華為參與英國重要網絡建設給英國國家安全帶來的任何風險都得到了充分緩解。我們就是根據此基礎向國家安全顧問提供意見」(7. Due to areas of concern exposed through the proper functioning of the mitigation strategy and associated oversight mechanisms, the Oversight Board can provide only limited assurance that all risks to UK national security from Huawei's involvement in the UK's critical networks have been sufficiently mitigated. We are advising the National Security Adviser on this basis.
除了從技術層面考慮華為的安全性外,NCSC 的技術主任 Ian Levy 在今年2月20日發表文章 〈安全、複雜和華為:保護英國的通訊網絡〉,他指出,使英國不能掉以輕心的兩個事實,一是中國政府能夠通過《國家情報法》強制中國人去收集情報,二是中國會對英國實施網絡攻擊,「而這點我們最近已經公開證實」(筆者按:指 NCSC 去年公開指責中國國家安全部的黑客部隊 APT10 對英國的攻擊)。
華為除了協助中共極權統治鎮壓國內人權外,還積極協助中共到海外收集情報,這種助紂為虐的行徑,使本來中性的技術變成極權主義者手上邪惡的工具。
(華為三宗罪之三:助紂為虐(下)完)
from 港文集 http://hktext.blogspot.com/2019/03/934.html