美媒:美国网络安全公司调查结果 华为很不满意

中国华为技术有限公司(Huawei Technologies Co.)对美国一家网络安全公司的调查结果提出异议,称其分析不完整且不准确。这家网络安全公司的调查结果认为,华为设备存在缺陷的可能性比其竞争对手的设备高得多。

总部位于俄亥俄州哥伦布市的Finite State上周发布的一份报告发现,在接受研究人员测试的近1万个编入华为企业网络设备500多个变体中的固件映像中,有一半以上包含至少一个这种可被利用的漏洞。固件是为计算机硬件组件提供动力的软件。

在公开发布之前,Finite State的这份报告曾在特朗普(Donald Trump)政府高级官员中广泛传播,这些官员表示,他们认为这份报告可信,并表示,这进一步证明了他们对华为强硬立场正当性。看过该报告的包括白宫、美国国土安全部和英国国家网络安全中心(Cyber Security Center)的高级官员以及美国议员。

华为在反驳长文中指责Finite State使用了“非常规办法”,在测试评估过程中没有与华为接触,并拒绝在公布前将报告提供给华为。

华为还指责Finite State选择性地公布结果,包括选择可能包含更多瑕疵的较旧版本设备进行测试,并且将测试结果与较小的竞争对手Arista Networks Inc. (ANET)和瞻博网络(Juniper Networks Inc., JNPR)、而非思科(Cisco Systems Inc., CSCO)等其他市场领头羊作比较,这种做法有违中性原则。

2018年,华为花费110亿美元向美国公司采购零部件、软件、其它技术及服务。华为称其92家核心供应商中33家在美国,其中包括高通、英特尔和美光科技。美国以威胁国家安全为由将华为列入出口管制“实体名单”,这势必让美国诸多公司失去一个大客户。那么,对于畅销全球的华为手机,有几成软硬件将受影响?《华尔街日报》记者Dan Strumpf拆解了一部华为手机,分析其中哪些技术来自美国,以及华为有何替代方案。

华为的产品安全应急响应团队(PSIRT)表示:“鉴于Finite State的做法及其工具和方法的不足,其分析结果往最好的方向说是可疑的,往最差的方向说就是不准确。若是通过合作而不是在安全方面选择政治立场的话,这本应是可以避免的。”

Finite State对此进行了回击,提供了详细的回应,并表示华为依然没有表现出对共同安全原则的承诺。Finite State称,该公司测试的几乎所有固件都是今年4月份能够拿到的最新版本;该公司还称,华为表示将因该报告而采取一些行动,包括删除至少一款设备上的嵌入式加密密钥,而这恰恰证实了Finite State的部分结论。

Finite State首席执行长怀克豪斯(Matt Wyckhouse)称:“我们坚持我们报告中的观点。我们的立场仍然是,华为的漏洞是广泛的,它们是真实存在的,且普遍存在于整个产品线中。”

当被问及为什么把华为设备与瞻博网络和Arista相比,而不是与思科作比较时,怀克豪斯称,鉴于Finite State现有的客户基础,该公司只将华为的设备与其能拿到的设备进行了对比。他表示:“没有任何恶意。我们也很乐意大规模分析思科的固件。”

华为批评该评估报告称,该报告只选择了瞻博网络和Arista的一款产品与华为的一款高端网络交换机进行漏洞测试比较,而对华为则是选择了该公司几乎所有企业网络的数百种产品。作为回应,怀克豪斯称,报告结论是基于将华为漏洞率与Finite State数据库中超过25万固件映像进行对比的结果,其数据库包括对来自多家供应商设备的测试结果。Finite State没有将其测试的整个华为全部数据组与瞻博网络或Arista的具体数据组进行对比。

虽然Finite State的报告称,该报告记录了该公司所称的在华为设备中发现的大量网络安全漏洞,以及据称是该公司工程师做出的一系列糟糕的安全决定,但Finite State没有指责华为蓄意在其产品中留下漏洞。

推荐阅读