Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Kínai telkók

2012.10.18. 18:00 | buherator | 7 komment

A magyar sajtóban is több helyen megjelent hír, hogy az USA titkosszolgálati bizottsága egy jelentéstervezetben nemzetbiztonsági kockázatnak nyilváníttatná a kínai Huaweit és ZTE-t. A téma már csak azért is érdekes, mert a két gyártó Magyarországon is jelentős beszállítója különböző telekommunikációs illetve más kritikus infrastruktúrát üzemeltető cégeknek, de a téma ennél jóval messzebb vezet.

A kérdést ugyanis valójában nem úgy kellene feltenni, hogy vajon kémkedett-e a Huawei. Ezt technológiai értelemben bizonyítani ugyanis szinte lehetetlen, az pedig, hogy a kínai gyártók képviselői nem működtek maradéktalanul együtt a vizsgálóbizottsággal (a jelentés tulajdonképpen ezt és csakis ezt állítja), nem mindenki számára elég meggyőző érv.

A valódi kérdés, hogy megengedhető-e a kritikus IT infrastruktúránkat (hardveres és szoftveres) fekete dobozok hálózataként üzemeltetni? Az, hogy az szenátusban valaki feltette a kérdést, hogy vajon mit is csinálnak a kínaiak dobozai, csak az első dominó a logikai láncban: Mit csinálnak azok az eszközök, amiket Kínában szerelnek össze, vagy kínai komponenseket tartalmaznak? Létezik-e egyáltalán olyan komplex informatikai eszköz, amit kizárólag az USA területén, megbízható emberek gyártanak? Mi van, ha ezekbe az üzemekbe is beférkőzött az Ellenség? Hogy is vannak implementálva azok a fránya kripto algoritmusok? És most helyettesítsük be az USA helyére Magyarországot...

A válasz az, hogy bizonyos feltételek esetén igen, vagyis <bullshiting> kockázatarányosan kell a védelmi szinteket meghatározni</bullshiting>. Vagyis az mindegy, hogy egy gyártó kémkedik-e, az a lényeg, hogy jó eséllyel kémkedhet. Most úgy tűnik, hogy az amerikai kormányzat számára a Huawei működésének átláthatatlansága, kombinálva a Kínából tapasztalható hírszerzési tevékenységgel, informatikai incidensekkel átlépett egy határt.

De vajon meddig vezet mindez, és mikor válik ez a hozzáállás globálissá? Látszik, hogy ha elimináljuk a potenciálisan megbízhatatlan elemeket, szépen lassan visszatérünk a kőkorba, ami nyilván nem opció. Az amerikaiak most kibillentették a rendszert az egyensúlyi állapotból, a következő évek kérdése az lesz, hogy hol jutunk ismét nyugvópontra.

Az összeesküvéselméletek gyártásához fogadjátok szeretettel FX-ék epikus defconos előadását a Huawei sérülékenységeiről, a HITBKUL2012-s prezentáció a bedrótozott jelszavakkal itt tolvasható PDF-ben. Azt azonban ne felejtsétek el, hogy hasonló problémák más gyártók esetében is felmerültek már, így pusztán műszaki paraméterek alapján ítéletet mondani nem lenne célszerű.

Címkék: kína politika usa zte huawei

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

b. á. 2012.10.18. 18:35:02

Ha már Kína, kicsit off: egyik nagy magyar bolt AES-256 bites hardveres titkosítást alkalmazó X pendrive-ja 5.190 HUF, a másik nagy bolt hasonlóan biztonságos pendrive-ja pendrive-ja 20193 HUF. Mindkettő ugyanakkor tárkapacitással. Az egyik FIPS-2 L3 besorolású, a másik nem. Külömbség? Az egyiket tetőtől talpig az USA-ban tákolják össze, a másik is amerikai, de azt Kínában. Elgondolkodtató. Vagy csak nekem?
//a BB-n korábban pendrive-okról itt: buhera.blog.hu/2010/01/06/szigoruan_orzott_pendrive_ok

buherator · http://buhera.blog.hu 2012.10.18. 18:40:18

@b. á.: Azért a FIPS L3 az nem mindegy, az 5-rongyos darabban vszínű standard alkatrészek vannak, meg valami szoftveres implementáció, a másikba elvileg spéci hw kell.

Aron bacsi 2012.10.19. 09:22:41

Hát, igen, de azért az is veszélyes, ha nem kínaiak raknak backdoor-t a cuccba (szándékosan vagy véletlenül), csak felfedezik ezen sérülékenységeket és kihasználják a háttérben: ahogy írtad is, FBI-os OpenBSD backdoor, vagy OpenSSL random durva hibája, vagy a mostani Flame/sKyWIper esetében új technika az MD5-RSA tanúsítványok/kulcsok legyártásához... Mi van, ha ezekről is sokkal hamarabb tudtak a kínaiak, mint akárki más, pedig a hibák maguk nem is az ő művük? Én nem a kínaiaktól félek, hanem az ilyen hibáktól, amelyek azért is aggasztóak, mert pl. OpenSSL forráskódját elvileg mindenki láthatja, aztán mégis másfél éven keresztül senki nem vette észre a seed-re vonatkozó kódokat... :-(

dnet 2012.10.19. 11:05:54

@Aron bacsi: az OpenBSD-s FBI backdoor IIRC sosem lett bizonyítva, magam részéről a hype, hisztériakeltés és erőfitogtató propaganda által alkotott háromszögbe sorolnám. Az OpenSSL-t pedig árnyalja rendesen, hogy kizárólag a Debian (és annak leszármazottai, pl. Ubuntu) által terjesztett, módosított kódban volt a hiba, így drámaian csökken az (ESR-i kifejezéssel élve) szemgolyók száma (vö. RedHat vagy SuSE).

buherator · http://buhera.blog.hu 2012.10.19. 16:08:55

@dnet: Az FBI backdoorral (meg általában kriptorendszerekkel) kapcsolatban ebben az értelemben nem az a lényeg, hogy tudod-e bizonyítani, hanem hogy tudod-e cáfolni a létezését ;)
OpenSSL-re meg mondhatjuk, hogy keleten vannak elegen, hogy megvalósítsák az ESR-i álmot, és tényleg átnézzenek minden commitot. Persze ez túlzás és konteógyártás.

dnet 2012.10.19. 16:22:04

@buherator: OpenBSD esetében szerintem a többi vendorhoz képest meggyőző volt a "security by isolation" érvelésük, melyben bemutatták, mely kódrészletet ki szerkeszthette, és ezen belül hol van egyáltalán lehetőség backdoor elrejtésére.

buherator · http://buhera.blog.hu 2012.10.20. 17:09:45

@dnet: link plz, le vagyok maradva úgy tűnik.