威胁可能是理论上的,但是,被危害的电信设备可能会迅速使一个国家的民用和军事基础设施陷入瘫痪。
美国国会周一发布报告,警告中国电信公司华为和中兴通信“对美国的国家安全利益构成了威胁”,它们可能向企业出售安装了秘密部件的设备,让中国政府得以控制美国的通信网络。
由众议院情报委员会发布的这份报告并没有引用直接的证据显示华为或中兴有危害任何客户安全的行为。但是,专家们称这种可能性是真实存在的,即监视技术可以被装载进路由器和交换器这些互联网和无线通信系统的基础设施中,而这可能难以被察觉。
华为和中兴最主要的业务是销售高端的计算机网络交换器和其他被手机运营商、互联网服务提供商等公司用来运行通信网络的设备。
康奈尔大学研究网络安全和政策的弗雷德•斯耐德(Fred Schneider)教授说:“一台交换器看到所有通过它的数据流。”这些电子数据可以是来自从手机通话到互联网活动的任何内容。“如果你控制着交换器,你可以对它进行设置,让它可以在处理任何数据时做备份并把它们传送到其他地方,或者你可以中途修改数据,把‘是’变成‘非’。”
斯耐德说,装置在网络硬件中的秘密部件可能很难被察觉。“如果你吸纳了大批数据,那么某个监测者会察觉到”,但是,“如果是小规模的数据,就很难被发现了”。这是因为互联网的一部分是设计成容错的,允许偶尔有些数据失踪。“很难在删除、重试的动作和某些恶意行为之间做出区分。”
斯耐德说,一个启动装置可以被装进交换器和网络硬件带有的软件中,或者就装在硬件中,后者更难被发现。他说,最简单的也是很难被察觉的一种攻击是加装一个芯片,它会等待某个特定的信号,然后在某个关键时刻让某次通信失败或者改变路线。他说,“如果你准备发动某种其他形式的攻击,想要让你的对手难以和其部队通信”,那么这种方法可能会很有用。
斯耐德说,许多购买华为设备的企业缺少资源来详尽地检查一台设备的设计或者软件的各个环节是否带有秘密装置。使用强劲的端到端加密有助防止窃听,但是,非技术的防范手段也可能至关重要,比如从可信任的供应商或者多个卖家那里采购设备以减小不良后果——如果其中一台设备被发现靠不住的话。
已经不是第一次有政府指出华为有为中国政府做间谍的可能。2011年,美国商务部禁止华为竞标建设一个针对紧急救护人员的新无线网络。2012年3月,澳大利亚政府禁止华为竞标合同来建造该国新的全国宽带网的其中一部分。
网络安全公司Crowdstrike的联合创始人、首席技术官德米特里•阿尔帕罗维奇(Dmitri Alperovitch)说:“电信公司对此非常担心。”这家创业公司想办法帮助企业防范网络攻击和查找攻击者。然而,华为的价格如此之低,任何想要保持竞争力的企业都没法对其产品视而不见。“从整体功能的角度来看,华为和西方制造商基本不相上下,但它便宜太多了。”阿尔帕罗维奇说。本周的报告再次提到了企业的这种权衡折衷,但没有对和华为做生意的公司制定硬性规定。阿尔帕罗维奇说,中国政府喜欢对其他国家的政府和企业发动网络间谍战,它也是通过电子邮箱和网络传播的间谍软件的主要支持者,这一点已经为人熟知。“在网络间谍方面,中国人是最为无处不在的演员。”他说。
阿尔帕罗维奇说,有这样的记录,加上华为拒绝解释它与中国政府的关系,以及一个共产党委员会在该公司内部的角色,意味着对华为产品安全性的质疑的做法是公平的。“问题在于,如果中国政府找到华为,对它说,‘你可以把这个编码放进你的路由器里吗?’华为会这么干吗?”
华为在昨天发布的一份声明中表示,情报委员会的这份报告“未能提供明确的信息或证据来证实该委员会的担忧的合理性”。它还说,该委员会的成员已经被给予了权限来调查其研究和制造设备以及大量的文案记录。公司高管们过去曾在提交该委员会的证词中表示,华为每年320亿美元的收入中约70%是从中国以外的地区获得,暗示公司若惹恼外国政府没有什么好处。
斯耐德和阿尔帕罗维奇都指出,虽然本周的报告点名华为,但其实供应链的全球化所引发的对于许多技术公司产品的安全忧虑更为广泛。举例来说,即使某个设备是在美国境内制造,它几乎必定包含了由其他国家的其他企业制造的部件和芯片。
“对于供应链有一种广泛的担忧,”阿尔帕罗维奇说。“谁知道在工厂里有什么东西被放到了你的产品里?”
原文:http://www.technologyreview.com/news/429542/why-the-united-states-is-so-afraid-of-huawei/