华为挑战全球LINUX安全生态体系,被捕当场,无耻抵赖

【中英对照翻译】https://spark.adobe.com/page/taJIYMOdtb143/

者: Vijay Prabhu

消息来源:androidrookies.com

翻译/简评:freedust

PR:海阔天空

简评

由于Linux系统是目前使用最广泛的主流商务系统,华为的邪恶意图是显而易见的。在内核上植入一个后门,通过Patch(系统补丁)的方法可以轻易的将此后门广泛地部署在大多数商务服务器上,这样就可以方便华为绕过Linux的安全系统,进而获得服务器的控制权。在信息时代,这种行为的危险性和破坏性是惊人的,它不只会影响到IT业界,也将以指数级进行放大,影响到与IT业相关的各个行业。

然而,华为的这种做法是愚蠢的。Linux本身作为一款开源的操作系统,它的整个开发、维护都是在一个透明的社区里进行的,受到每个参与到其中的技术人员、乃至爱好者的关注和监督。它的这种做法更像是在一个珠宝店的营业期间,在监控下,伸手去偷展示柜里的东西。同时,数据会记录你的每个操作,而在这个分散的、透明的社区里,你的每个操作都是可以被其他人读取的。哪怕就像这位华为技术顶级的工程师,也无法改变这一事实,GitHub明确记录了他的回滚、修改和再次提交的操作,就像一个摄像机一样记录了他每一个动作。我不清楚,是什么样的压力让中共和华为想出这种狗急跳墙又掩耳盗铃的办法,但其结果只会是留下更多其龌龊而险恶行径的例证。

华为开发团队通过Linux基金会的后门发送了一个
HKSP(华为内核自我保护)Linux补丁,华为否认参与其中

在小工具中引入后门的完美秘诀。 上周,华为开发团队向Linux基金会提交了一个带有“无足重轻的漏洞”的补丁。该漏洞被发现后,华为一如既往的否认与该补丁有关联,并表示其员工可能对此负责。

华为因安全相关问题而臭名昭著。 由于安全性和数据泄漏问题,美国政府已经禁止其向美国电信服务商提供5G技术。 现在,华为正试图在HKSP(华为内核自我保护)中秘密部署后门程序,该程序原本可能包含在Linux的下一个更新中。

什么是HKSP?

顾名思义,HKSP或华为内核自我保护是一种内核保护工具。它已通过星期日的邮件提交给Linux基金会,以包含在正式的Linux内核项目中。 内核保护工具应该为Linux内核引入一系列安全性增强选项。 但是,经过检查,发现该补丁程序为Linux内核项目植入了后门。 有趣的是,华为称后门为“可被利用的漏洞”。

大多数技术公司都会为Linux内核的Linux基金会提供补丁,以使其无法被利用。 众所周知,谷歌,微软,亚马逊等公司都贡献了代码。

HKSP中的漏洞

虽然其他科技公司也做出了贡献,但这是华为首次为Linux内核项目做出贡献。 自然,它引起了Linux开发团队,Linux迷和安全研究人员的兴趣。 包括Grsecurity的开发人员在内的各类人员立即对其进行了审查,该项目为Linux内核提供了华为自己的一组安全性增强补丁。

Grsecurity安全性在HKSP修补程序中发现了一个可利用的漏洞。在周日发布的博客文章中,Grsecurity团队详细介绍了内核代码中的“可轻易利用的”漏洞。从报告中我们可以推断出,华为或其所谓的员工正在偷偷地将后门引入Linux内核,如果该补丁获得批准,该内核可能在下一个Linux更新中实现。

华为否认参与

当Grsecurity博客文章上线时,华为立即采取行动。 它坚决否认关于它参与其中的指控。 华为在周一发表的一份声明中表示,它没有正式参与HKSP项目。它进一步辩称,该项目是其一名员工的工作内容。

为表示,该项目是由华为工程师创建并提交给Linux内核项目的,没有官方的支持。它还补充说,它尚未在其产品中正式包含HKSP代码。 华为说:“这只是个人用于与开源社区Openwall进行技术讨论的演示代码。”

HKSP GitHub存储库发布者回滚记录

HKSP资源库的GitHub所有者在项目中发布了类似readme的免责声明。它是这样说的:

Grsecurity坚称自己报告的可信性

Grsecurity坚称其报告属实,即华为在Linux内核补丁中秘密部署了该漏洞,并希望该漏洞在下一个Linux更新中得到批准和实施。 他们表示,华为产品安全事件响应小组(Product Security Incident Response Team ,PSIRT)与他们联系,并转发了一封邮件,指出“补丁集不是由华为官方提供,而是由个人提供。而且也没有在任何华为设备中使用。”

Grsecurity表示,它发现HKSP存储库所有者是华为的20级首席安全员工。20级是华为内部的最高技术水平,如此高级别的官员不可能在不了解上级组织的情况下发布代码。此外,Grsecurity发现,检查所有https://api.github.com/repos/cloudsec/hksp/events的内容后,GitHub提交的日期都已回滚,从而证明提交实际上是在周一所有问题都解决之后写入到repo的。

据我们所知,到底发生了什么

HSKP包含一个无法抵赖的后门。 据说该漏洞本该是在Linux基金会为Linux内核项目批准了HKSP之后才起作用的。 华为以类似的违法行为而闻名。如前所述,美国已经对与华为的交易施加了一些限制。英国当局去年还发现,华为网络设备存在许多可以被利用的安全漏洞。

在被指为中国政府从事间谍活动、华为产品存在安全问题、知识产权盗窃诉讼、在其固件中隐藏秘密后门、在产品性能上撒谎之后,华为的声明毫无意义。

原文链接

编辑:【喜马拉雅战鹰团】

5+
1 评论
Inline Feedbacks
View all comments
phoenix
1 年 之前

ccp 这个臭苍蝇,好东西都让它糟蹋了!
哪儿哪儿,都想叮咬一口
ccp 必灭

0

热门文章