Huaweis 5G-utrustning får godkänt i GSMA:s säkerhetsutvärdering

Permalänk
Medlem
Skrivet av automatika:

Det räcker inte att bara granska förändringen, du måste ta hela koden i kontext för att säkerhetsställa att förändringen inte orsakar något annat.

Logiska bomber kan triggas av vad som helst och kan i sin tur ladda ner mer kod och endast lagra denna koden i minnet. Startas utrustningen om är spåren borta. Vill man infektera igen är det bara att köra triggern.

Det går att bevisa oskuld genom att dom släpper källkoden och låter oberende experter granska den.

Hur ska du ladda ner kod när systemet inte har kontakt med internet? Hur ska du göra det i hemlighet? Det är inte ens meningen att kinesiska medborgare ska ha möjlighet att uppdatera dessa system i Sverige.

Varför skulle du inte låta samma firma granska uppdateringarna som har gjort den tidigare granskningen?

Huaweis källkod och arbetssätt är bland annat det som granskats av ett svenskt säkerhetsföretag på uppdrag av GSMA. Även andra företag har granskat källkoden till Huaweis produkter, Huawei är öppna för denna typ av granskning.

Sen nej, den typ av granskning bevisar ingen oskuld.

Permalänk
Medlem

Jag har jobbat för telekomoperatörer sedan 2013, vilket förvisso inte är en speciellt lång tid. men dessa noder Huawei säljer är inte anslutna till internet och fungerar mer eller mindre som svarta lådor. Jag låter någon annan kommentera ev. detaljerade säkerhetsluckor, men när det kommer till MNO-infrastruktur så tycker jag det hela är löjligt, då nästan alla nätverkselement har inte möjligheten att kommunicera med omvärlden.
Det enda folk i min bransch är oroade för är att bli associerade med ett företag USA inte tycker om, inte vad de faktiskt levererar eller hur de presterar.

Visa signatur

7700K @ 4,8Ghz | EVGA 1080 SC @ 2021Mhz | Z270F | 16GB @ 3000Mhz | Acer XB270HU

Permalänk
Medlem
Skrivet av Toko:

Förstår inte. Är det nån som kan förkara. När vi har en svensk tillverkare av 5G, Ericsson. Varför ska man köpa Kinesisk5G, Huawei?

I Kinas 5G finns det också många Ericssons och NOKIA. Inte alla Huawei eller ZTE.

Ericsson och Nokia står för 35% av marknadsandelen

Permalänk
Moderator
Brons i quiz

*OT och sidospår borttagna*

/Vzano, Moderator

Visa signatur

Citera om du vill ha svar!
Tycker du om sidospår? :D Besök The Wiki Game
Har du fråga angående modereringen? PM till Moderatorerna eller Kontaktformulär

Permalänk
Medlem
Skrivet av automatika:

Det räcker inte att bara granska förändringen, du måste ta hela koden i kontext för att säkerhetsställa att förändringen inte orsakar något annat.

Logiska bomber kan triggas av vad som helst och kan i sin tur ladda ner mer kod och endast lagra denna koden i minnet. Startas utrustningen om är spåren borta. Vill man infektera igen är det bara att köra triggern.

Det går att bevisa oskuld genom att dom släpper källkoden och låter oberende experter granska den.

En mycket god poäng. Jag tycker man måste se hela denna diskussionen i kontext av detta som du nämner.

Dessutom, som du och en del andra i tråden är inne på, så är mjukvara i dagens teknik sällan något statiskt, utan något dynamiskt som hela tiden förändras över tid.

Visa signatur

macOS: MacBook Air 13" [M1/16/256GB], MacBook Pro 16" [M2/32/512GB], iOS: iPad Mini [128GB/LTE], iPad Pro 12,9" [M1/512GB/LTE], iPhone SE3 [128GB], Apple Watch Series 6 44mm [LTE], W10: Surface Book 3 15" [Core i7/GTX1660Ti/32/512GB], LG 77" OLED C2 [OLED77C25LB]
The purpose of morality is to teach you, not to suffer and die, but to enjoy yourself and live. --Ayn Rand
Skriv under ett upprop för en grönare energipolitik: https://energiupproret.se/

Permalänk
Medlem
Skrivet av Vzano:

*OT och sidospår borttagna*

/Vzano, Moderator

Japp, vi tar till oss av det (inklusive jag själv), och anpassar oss så gott som möjligt efter detta.

Lätt att glida in på diverse sidospår, och ibland så behöver vi en påminnelse om det.

Visa signatur

macOS: MacBook Air 13" [M1/16/256GB], MacBook Pro 16" [M2/32/512GB], iOS: iPad Mini [128GB/LTE], iPad Pro 12,9" [M1/512GB/LTE], iPhone SE3 [128GB], Apple Watch Series 6 44mm [LTE], W10: Surface Book 3 15" [Core i7/GTX1660Ti/32/512GB], LG 77" OLED C2 [OLED77C25LB]
The purpose of morality is to teach you, not to suffer and die, but to enjoy yourself and live. --Ayn Rand
Skriv under ett upprop för en grönare energipolitik: https://energiupproret.se/

Permalänk
Medlem
Skrivet av Gender Bender:

Att GSMA godkänner deras utrustning säger ingenting om hur säkerheten kommer se ut i framtiden. Allt man kan säga är att Huaweis utrustning är godkänd i de tester som har utförts på utrustningen som GSMA haft tillgång till under testet. Den kinesiska diktaturen kan ha eller kommer få tillgång till kryphål som GSMA inte har upptäckt. Och vare sig det är och förblir säker teknik så är det fortfarande en brutal diktatur det är frågan om, och såna ska störtas, inte stöttas.

Är man så lat så man inte granskar säkerheten i utrustningen så kanske man förtjänar skiten som då med tiden kan tänkas ske, eller hur känner du?
Precis samma sak med utrustning från Ericsson eller Nokia, den skall granskas den också.

/Lifooz

Skrivet av bennyfax:

Vet inte vad det är för krav de klarat med 5G är känsligt. Vad tror du händer vid krig?
Kina styr företagen som i sin tur kan kontrollera den installerade 5G-utrustningen dvs vår kommunikation. Så minns jag en svensk säkerhetsexpert uttala sig på ett ungefär

Kina är en vidrig stat. Se bara vad de nyligen gjort i Hong Kong, lika sorgligt är det att folk knappt vet vad jag pratar om så Googla!

Vid krig med Kina, så har vi ganska så jävla mycket större problem än ett 5G nät. ^^
Nu vet jag inte vilka intressen Kina har av Sverige men om de vill ha landet så tar de det innan vi hinner reagera, och det sker inte med hjälp av någon 5G utrustning kan jag ju säga.
Elnätet är nämligen den viktigaste infrastrukturen landet har.

Ja så är det, men sedan kan den mesta utrustning på marknaden plomberas.
Då tänker jag inte på någon plugg i nätverksuttaget utan snarare på själva programvaran.

Är utrustningen billigare än den från Ericsson eller Nokia så bör den övervägas.
Men utrustningen skall alltid granskas, första fröet till det är nu sått.

Vad som sker i framtiden är en annan sak, men kanske behöver vi inte de senaste uppdateringarna om utrustningen fungerar som den skall idag?

/Lifooz

Skrivet av automatika:

Bakdörrar och smyguppdateringar är lätta att gömma genom att programmera logiska bomber. Det enda sättet att hitta sådana är att granska hela källkoden varje gång en uppdatering sker, men jag hittar inga källor på att en sådan granskning har gjorts.

Då löser man den saken genom att en gång granska källkoden och ge fan i att uppdatera.
Fungerar utrustningen som den skall med originalprogramvaran så behöver man inte uppdatera.
Finns rätt många företag i Sverige som är ett utmärkt exempel på den saken.

/Lifooz

Skrivet av Moton:

Som om GSMA är pålitligt? Litar nog mer på vad Huawei själva säger än GSMA som har fler än Kinesiska statens intressen högt upp. GSMA är ju bara en väldigt massa företag som gått samman, vad dom säger borde inte ha mycket vikt i frågan på om vi i Sverige ska använda Huawei eller inte.

Men du tycker alltså att vi ska använda Kinesiska statens "Huaweis" 5G-utrustning i kärnnätet här i Sverige? Du tycker inte alls att det är något problem?

Hur pålitligt GSMA är får väl visa sig om Sverige gör en egen granskning av källkoden, men GSMA är ju alltid en början, eller hur?

Och nej, jag tycker inte att det är något problem att använda deras utrustning om den visar sig vara säker.

/Lifooz

Visa signatur

Deepcool Matrexx 30 & MSI Z87-G43 Gaming!
Intel Inside Core I7 4790K med AMD Radeon R9 290!
Rubbet strömförsörjs av Corsair RM750X!
Hjälp Teamtrees plantera träd på vår jord. https://teamtrees.org/

Permalänk
Medlem

Sverige behöver ju inte själva ligga i krig med Kina. Det kan även vara ett extremt kallt krig och vi ser ju ständigt hur vidriga Kina är som stat. Risken kan vara mycket liten men finns möjligheten att Kina kan kontrollera 5G-nätet så är det en säkerhetsrisk.

Visa signatur

Ryzen 3700x, ASUS PRIME X370-PRO, 32GB ram, RTX 2080, Acer XN253Q 240Hz, MSI G241 IPS 1080p 144Hz, Varmilo VA88M (MX Brown), Cooler Master MM710.

Permalänk
Medlem
Skrivet av Lifooz:

Hehe, pöl för alla som har gapat sig hesa över att Huawei är en sådan enorm säkerhetsrisk, och att alla minsann borde köpa av Ericsson istället. >_>

/Lifooz

Du har inget emot att använda ett mobilnätet som byggts av en totalitär diktatur som regelbundet ägnar sig åt spionage på sina invånare och andra anländer?

En teknik kan ju vara 100% motståndskraftig mot tex länkavlyssning och samtidigt vara möjlig att avlyssna med hjälp av en bakdörr. Inte heller kan du veta att enheten just din operatör har är fri från bakdörrar eftersom de knappast testar alla enheter. Om de nu testar alla enheter kan de ju inte veta om bakdörren kommer med nästa uppdatering osv. Det kokar ner till om du litar på kinesiska staten eller inte.

Permalänk
Medlem
Skrivet av Lifooz:

Är man så lat så man inte granskar säkerheten i utrustningen så kanske man förtjänar skiten som då med tiden kan tänkas ske, eller hur känner du?
Precis samma sak med utrustning från Ericsson eller Nokia, den skall granskas den också.

/Lifooz

Vid krig med Kina, så har vi ganska så jävla mycket större problem än ett 5G nät. ^^
Nu vet jag inte vilka intressen Kina har av Sverige men om de vill ha landet så tar de det innan vi hinner reagera, och det sker inte med hjälp av någon 5G utrustning kan jag ju säga.
Elnätet är nämligen den viktigaste infrastrukturen landet har.

Ja så är det, men sedan kan den mesta utrustning på marknaden plomberas.
Då tänker jag inte på någon plugg i nätverksuttaget utan snarare på själva programvaran.

Är utrustningen billigare än den från Ericsson eller Nokia så bör den övervägas.
Men utrustningen skall alltid granskas, första fröet till det är nu sått.

Vad som sker i framtiden är en annan sak, men kanske behöver vi inte de senaste uppdateringarna om utrustningen fungerar som den skall idag?

/Lifooz

Då löser man den saken genom att en gång granska källkoden och ge fan i att uppdatera.
Fungerar utrustningen som den skall med originalprogramvaran så behöver man inte uppdatera.
Finns rätt många företag i Sverige som är ett utmärkt exempel på den saken.

/Lifooz

Hur pålitligt GSMA är får väl visa sig om Sverige gör en egen granskning av källkoden, men GSMA är ju alltid en början, eller hur?

Och nej, jag tycker inte att det är något problem att använda deras utrustning om den visar sig vara säker.

/Lifooz

För det första tror jag inte några till tillverkare släpper sin källkod, utan du får binärer. Även om du skulle få källkoden kan du inte veta om det är all källkod, och det kan finnas kretsar med bakdörrar i hårdvara. Sådana exempel finns ju. Sedan är det omöjligt att driva ett nät om du inte regelbundet uppdaterar kod pga buggar, säkerhetsbrister, uppdaterade standarder osv. Kort sagt är det ju omöjligt att bevisa om kineserna är pålitliga eller inte, så återigen handlar det om förtroende.

Permalänk
Medlem
Skrivet av bandless:

Jag har jobbat för telekomoperatörer sedan 2013, vilket förvisso inte är en speciellt lång tid. men dessa noder Huawei säljer är inte anslutna till internet och fungerar mer eller mindre som svarta lådor. Jag låter någon annan kommentera ev. detaljerade säkerhetsluckor, men när det kommer till MNO-infrastruktur så tycker jag det hela är löjligt, då nästan alla nätverkselement har inte möjligheten att kommunicera med omvärlden.
Det enda folk i min bransch är oroade för är att bli associerade med ett företag USA inte tycker om, inte vad de faktiskt levererar eller hur de presterar.

Har även jag arbetat med telekom fast då sedan år 2000, och det du säger är delvis sant men samtidigt är ju ingenting autonomomt. Operatörer köper system med olika typer av kontrollenheter och kringsystem och inte sällan levererar tillverkarna en stor mängd tjänster med sin avlösningar. Det finns många potentiella sårbarheter och även om inte själva länken kan avlyssnas kan det läcka metadata osv.

USA har tidigare blivit påkomna med att fysiskt modda ciscoboxar och att kineserna skulle kunna göra något liknande räknar iaf jag med.

Permalänk
Medlem
Skrivet av Petterk:

Nope, du kan inte skjuta ut uppdateringar i smyg, så jobbar inte operatörerna och det är det mesta som granskas inkl källkoden.

Källa på det? Självklart uppdateras inget i smyg, fast inte heller kodgranskas varenda firmware och telekompromvara är normalt inte open source (även om många standarder är öppna).
Sedan uppdaterad normalt programvara löpande och helt automatiskt, se ex https://www.ericsson.com/en/press-releases/2017/9/ericsson-of....

Det finns i praktiken inget sätt för dig eller någon annan att veta om det finns eller kommer en bakdörr utan extrema valideringsinsatser vilket skulle vara både dyrt och kostsamt med tanke,på ovanstående länk.

Permalänk
Medlem
Skrivet av jolu:

Källa på det? Självklart uppdateras inget i smyg, fast inte heller kodgranskas varenda firmware och telekompromvara är normalt inte open source (även om många standarder är öppna).
Sedan uppdaterad normalt programvara löpande och helt automatiskt, se ex https://www.ericsson.com/en/press-releases/2017/9/ericsson-of....

Det finns i praktiken inget sätt för dig eller någon annan att veta om det finns eller kommer en bakdörr utan extrema valideringsinsatser vilket skulle vara både dyrt och kostsamt med tanke,på ovanstående länk.

Tror du blandar fritt. Gör man det inte i smyg gör man inte det i smyg.

GSMA har gjort en granskning som inkluderar källkod, operatörer är fria att göra sin granskning hur de vill, att produkterna inte kör öppen källkod spelar ingen som helst roll då de och företag de samarbetar med kan få tillgång till all källkod.

Inget mobilnät uppdateras automatiskt, och grundkravet är egentligen att du är svensk medborgare och klarar granskning från SÄPO för att du ska kunna skjuta ut uppdateringar. Undantag finns säkert, men du måste klara granskning av SÄPO för säkerhetsklassad tjänst.

Hur de jobbar med uppdateringar mellan olika bolag och olika kunder skiljer sig. Det är dock inga problem att bara få säkerhetsuppdateringar regelbundet och större uppdateringar någon gång om året.

Skrivet av Ericsson:

"For example, customers of Ericsson Continuous Software Delivery and Deployment are able to get Packet Core software updates monthly rather than every six or 12 months."

Sen ska du tänka på att kinesiska medborgare (i och utanför Kina) skriver programvaran i Ericssons grejer också.

Permalänk
Medlem
Skrivet av jolu:

För det första tror jag inte några till tillverkare släpper sin källkod, utan du får binärer. Även om du skulle få källkoden kan du inte veta om det är all källkod, och det kan finnas kretsar med bakdörrar i hårdvara. Sådana exempel finns ju. Sedan är det omöjligt att driva ett nät om du inte regelbundet uppdaterar kod pga buggar, säkerhetsbrister, uppdaterade standarder osv. Kort sagt är det ju omöjligt att bevisa om kineserna är pålitliga eller inte, så återigen handlar det om förtroende.

Det är sant, men då får vi också fråga oss om Ericsson eller Nokia skulle vara failsafe då de som bekant har rätt bra rötter där nere, och tillverkningen sker ju där också om jag fattat det rätt.

I slutändan är det nog hugget som stucket, men ja, nog skulle man behöva få tillgång till källkoden för att kunna granska om de är säkra.

Sveriges alternativ på just den punkten kunde kanske vara att vara hårda och säga att vill ni in på det svenska core-nätet så får ni ge oss källkoden så vi kan granska den.
Även om det, som du säger, är omöjligt att veta om man fått allt och vad som därefter kommer.

I grunden så har allt detta att göra med att Trump har blivit sur på Huawei då de är Kinesiska och har blivit för stora enligt honom.

Därför som deras smartphone-avdelning nu har ett litet helvete att slåss emot då de inte får tillgång till Google´s tjänster.

Sedan har en hög med länder hakat på USA på den punkten, däribland Sverige.
Så missförtroendet hänger i luften, det kan inte förnekas.

Jag ställer mig bara frågan varför den ena måste vara sämre än den andre.
Vi har fått USA´s version av det hela, men jag har inte sett Huawei´s version av historian.

/Lifooz

Visa signatur

Deepcool Matrexx 30 & MSI Z87-G43 Gaming!
Intel Inside Core I7 4790K med AMD Radeon R9 290!
Rubbet strömförsörjs av Corsair RM750X!
Hjälp Teamtrees plantera träd på vår jord. https://teamtrees.org/

Permalänk
Medlem
Skrivet av Lifooz:

Även om det, som du säger, är omöjligt att veta om man fått allt...

Nej, så länge du får instruktioner för hur du bygger programvaran så ska du kunna skapa samma binärer som de skickar ut i uppdateringarna.

Vill du verkligen skulle du säkert kunna kräva att alla uppdateringar sker med binärer du själv signerat.

Just att övervaka i smyg är det svåra, det finns massor funktioner inbyggda i produkterna för myndighetsbruk – men användningen loggas ju. God kännedom om systemen och att du jobbar hos operatören och klarar kontroll av SÄPO så visst då skulle du säkert kunna operera ett tag, men ingen granskning av leverantören förhindrar någon med behörighet.

Permalänk
Medlem
Skrivet av jolu:

Källa på det? Självklart uppdateras inget i smyg, fast inte heller kodgranskas varenda firmware och telekompromvara är normalt inte open source (även om många standarder är öppna).
Sedan uppdaterad normalt programvara löpande och helt automatiskt, se ex https://www.ericsson.com/en/press-releases/2017/9/ericsson-of....

Det finns i praktiken inget sätt för dig eller någon annan att veta om det finns eller kommer en bakdörr utan extrema valideringsinsatser vilket skulle vara både dyrt och kostsamt med tanke,på ovanstående länk.

Japp. Det är något som jag inte tror att kommersiella och kostnadspressade operatörer kommer att ha möjlighet att i praktiken lägga några stora resurser på.

Visa signatur

macOS: MacBook Air 13" [M1/16/256GB], MacBook Pro 16" [M2/32/512GB], iOS: iPad Mini [128GB/LTE], iPad Pro 12,9" [M1/512GB/LTE], iPhone SE3 [128GB], Apple Watch Series 6 44mm [LTE], W10: Surface Book 3 15" [Core i7/GTX1660Ti/32/512GB], LG 77" OLED C2 [OLED77C25LB]
The purpose of morality is to teach you, not to suffer and die, but to enjoy yourself and live. --Ayn Rand
Skriv under ett upprop för en grönare energipolitik: https://energiupproret.se/