美國、澳洲、紐西蘭和日本已經禁止華為5G,且美國正在推動盟友禁止華為參與5G建設。網絡安全專家警告:華為帶來的風險無解,「討論可能的緩解措施,如重新在鐵達尼號上安放躺椅一樣難」。

阿列克謝‧布拉澤爾(Alexei Bulazel)是美國River Loop Security公司的高級安全研究員。近日,他與其他三位安全研究人員共同撰寫的題為「The Risks of Huawei Risk Mitigation」一文,被發表在美國法律和國家安全網站「法律戰」(Lawfare)上。

他們指出,緩解華為所帶來的風險是不可能的事情,而且要付出高昂的代價,因為「防守者必須每次獲勝,攻擊者只求得手一次」。

專家們提到,對於華為技術的風險問題,除了要考察中共是否會惡意使用這種技術外,還要考慮華為設備可能帶來的具體威脅,以及這些威脅可以減輕的程度。

雖然人們認為華為的風險可以在技術層面上得到緩解,但專家們認為,在5G網絡中,華為帶來的風險將以指數方式上升,無法預測。與此同時,由於技術複雜性的增加,第三方系統中任何重要級別的安全資產驗證已經變得難以為繼,因此減緩這種風險已經變得不可能。如果中共現在或將來惡意使用這種技術,風險將無法緩解。

三元素分析失效 風險無法預測

信息安全風險通常以機密性、完整性和可用性(CIA)三元素來進行討論。國際安全與合作中心(Center for International Security and Cooperation)的資深網絡政策安全研究員赫伯特‧林(Herbert Lin)在 「法律戰」網站上曾撰文說,實際上,華為技術的嵌入會對傳統網絡的機密性、完整性和可用性造成安全風險。一些風險可以使用已知技術來解決,例如虛擬私人網絡(VPN)和端到端加密。但可用性來說則更難以解決,因為一旦供應商選擇一個時間來破壞或降低網絡功能,沒有甚麼能阻止他們置入這樣的功能。

雖然CIA三元素是衡量一些電腦漏洞很有用的方式。但當涉及到國家基礎設施和針對國家的攻擊時,三元素分析方法是不夠的。

首先,這種分析通常假設一個抽象的「攻擊者」,也許是一些惡意的地下室黑客。現實情況是,當涉及到電信基礎設施時,這些攻擊者往往是國家行為者:有組織,資金充足,並專門攻擊「硬目標」。這些敵手在幾大方面與眾不同:

‧ 有針對性的情報行動並不侷限於商業界常見的傳統大規模攻擊。

‧ 國家行為者的情報操作可以是長期的:人們今天可以使用加密來保護其數據的機密性,但是如果加密密鑰被破壞,或者對手已經開發出計算能力破解密碼,那麼明天就無法保護這些數據。用通俗的話說,就是通過華為設備的數據可能是加密的,但不一定會保持加密狀態。

‧ 攻擊隱秘目標是國家行為者的每日生計,包括:中間人攻擊、嵌入系統攻擊、罕見硬件、暗號和軟件攻擊。對於許多有目標的和資源充足的攻擊者來說,阻力最小的方法是對外部世界不加保護的事物進行破壞。

專家們指出,這些國家行為者攻擊的重點不在於如何在單個時間點對單個漏洞進行數據破壞,而是在於如何讓漏洞成為未來惡意行為的立足點。「良好」的滲透測試人員很少談論個別漏洞(和CIA三元素),更多地談論「攻擊樹」(Attack trees)和「利用原語」(exploit primitives),就是放長線而非速戰速決。這些概念更好地說明了基礎設施級問題帶來的風險,這些問題不容易通過VPN或其它簡單控制來解決。

鼴鼠的價值:「進入」就是一切

在情報界,一切都取決於「進入」。來看冷戰時的間諜活動:一個位置良好的蘇聯長期潛伏間諜(鼴鼠)比克里姆林宮能買到的最好東西還有價值。「進入」是這個等式的基本組成部份,每個國家的安全戰略都取決於拒絕將它交給對手。

無論誰為5G網絡提供技術,都將擁有令人難以置信的「進入」權,從而擁有權力。如果華為提供該技術,那麼從移動設備、智能家居,甚至汽車發送和接收的所有數據都將通過華為設備構建的網絡。這些設備將受到遠程控制和更新,從而導致指數向量的攻擊。

加密是保護數據傳輸的一種方法,但它對防止濫用超數據幾乎不起作用:攻擊者可能無法讀取消息的內容,但他們知道是誰在何時發送給了誰。這些情報信息的價值不容小覷。當現代的人工智能優勢與其它情報收集交叉引用的能力相結合時,這些數據就更有效了。

實際上,這種設備帶來的威脅遠遠超出了傳輸數據本身的威脅。關鍵基礎設施網絡中的華為控制設備可以作為進入系統的立足點,即可以作為一個跳板破壞連接的電腦。VPN或其它數據私隱機制無法緩解此風險。

惡意攻擊 軟硬件漏洞防不勝防

「不信任但可驗證」是信息安全的口號。但是,在這種規模下,要通過驗證來保護不受一個惡意供應商的攻擊通常是不可能的。源代碼驗證已經成為一種潛在緩解技術:華為允許政府檢查可能在其設備上運行的代碼。雖然源代碼在攻擊性漏洞研究中很有用,但在防禦時,如驗證預構建系統的安全性時,則不太常見。源代碼是藍圖,二進制代碼是藍圖描述的構建。藍圖可以告訴人們後門沒有鎖,但它並沒有告訴你建築團隊藏在牆上的相機的任何有關信息。

源代碼驗證在驗證可信賴的合作夥伴時起作用,例如國家實驗室驗證美國國防承包商的工作。像這樣的工作可以告訴用戶,系統是根據特定標準構建的,或者它具有一些漏洞。但是,很少能夠證明沒有漏洞或沒有後門。

華為已經允許英國政府訪問其源代碼,但唯一能保證華為設備上運行的代碼是與交個英國政府代碼相同的,是應允許英國將此源代碼構建為二進制代碼,並與華為設備上的二進制代碼進行比較。

審核源代碼的委員會發現無法複製華為的構建過程,並生成與其設備上二進制文件相同的文件。當攻擊者控制實際的源代碼、構建過程和代碼運行的硬件時,檢查表面上的「源代碼」無濟於事。

硬件受外國控制更成問題。與軟件驗證一樣,幾乎不可能確保由惡意行事另一方創建的硬件系統的完整性。特別對硬件安全擔憂時,驗證一個設備並不能確保大規模生產的相同設備有相同的安全保障。

硬件逆向工程方法通常具有破壞性,包括用燒杯和酸煮沸晶片或用電動工具磨掉矽層。甚至可以擴展審查過程,隨機抽選設備檢查,但攻擊者也可以簡單地賭一把,暗中修改一個晶片。正如網絡格言所說的:防守者必須次次獲勝,攻擊者只求得手一次。

更新維護無信任 未來防範代價大

良好的信息安全戰略往往是一個不僅涉及空間,更涉及時間的防禦問題。這意味著要考慮信任傳遞這個複雜的問題,其中最明顯的是軟件更新和維護。

專家們指出,來自製造商的惡意更新最讓人猝不及防。現代安全系統具有更複雜的透明度模式,這影響著超出軟件更新方式驗證系統設備的能力。許多複雜的系統幾乎不可能「破解」,以驗證其行為是否符合預期。這意味著將第三方設備引入您的網絡就是過度信任其安全性符合商定的要求。

來看蘋果手機鎖定的安全模式:代碼簽名保證更新來自蘋果本身,而不是惡意行為者。對於用戶來說,驗證這些保證是否像蘋果聲稱的那樣是非常重要的,從而供應商擁有用戶的信任。雖然大多數人都信任蘋果為其數據提供安全保證,但並非所有供應商都有這種用戶的信任。在華為的案例中,這種信任是缺失的。

國際公司製造關鍵信息技術司空見慣。對於在關鍵基礎設施中技術嵌入而言,風險緩解的規模和複雜性會迅速地超過低成本效益,討論可能的緩解措施就像重新安排鐵達尼號上的躺椅一樣難。

從長遠來看,由於需要不斷創建、更新和維護緩解政府將承擔的不斷變化風險,因此前期成本節約將相形見絀。國際監管、創新和勞動力價格方面的標準不一致,使得對手能夠提供經濟上的權宜之計,而擁有了進入基礎設施的滲透能力。

雖然這些問題很複雜,但公眾和國際上對此問題的討論表明,安全的供應鏈將成為21世紀最難以捉摸的奢侈品。#

------------------

🏵️《九評》20周年
https://hk.epochtimes.com/category/專題/退黨大潮

🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand