综合报道
全球大型电信公司陆续拒绝华为参与5G建设,虽然至今没有确凿证据显示华为有安全风险,但有专家认为,因为5G乃高端技术,攻击者可能从最前端的供应链处下手,现实上根本难以查觉或堵塞当中的漏洞。
有人说是美国忌惮中国崛起才打击华为,也有人说华为和中国政府紧密相连,其设备当然会被用来从事间谍活动。但总的来说,把两个因素交织在一起,都有道理。
5G的安全风险在哪里?CBC报道,情报机构和电信公司特别关注供应链遭攻击的问题。这代表攻击者不是攻击核心网路,却选择对一块硬件或软件进行恶意修改,让中途的信息完全失控或失真。由于公司与电信供应商之间的信任度很重要,攻击供应链就可打击信任关系。
5G技术用于各种尖端应用,例如自动驾驶汽车、远程操作医疗机械人等,其更快的速度发送和接收数据,让人难以察觉延迟性。所以另一个国家或黑客透过先进的5G技术,就可以像特洛伊木马一样潜入前门,直接攻击最前端的硬软件,并不需要盗取密码,就可黑入电脑达到目的;又因为速度太快,所以即使电脑被黑了,用家也难以即时查觉。
不需密码也可黑入电脑
去年《彭博商业周刊》援引六位未具名的现任和前任国家高级安全官员的话说,一家名为SuperMicro的美国公司的电脑组件(包括苹果和亚马逊在内的近30家公司都有使用),在中国工厂生产过程中就被巧妙地修改过。当然,苹果、亚马逊和美国情报部门都否认这些指控。
但有些案例已证实,攻击者成功地在流行的应用程式中开了「后门」,例如个人电脑的维护机制CCCleaner和文件共享应用程式Transmission,都在创建者不知情的情况下,遭黑客动了手脚。
最臭名昭著的案件涉及名为NotPetya的俄罗斯链接勒索软件,该软件伪装成乌克兰广泛使用的会计软件M.E.Doc的合法更新软件。没过多久,NotPetya就让许多乌克兰企业瘫痪,几家大公司包括航运巨头马士基(Maersk)、制药大厂默克(Merck)、联邦快递的子公司等全部中招。
英国和加拿大政府都试图降低供应链攻击的问题,不仅是针对华为,而是任何电信设备制造商。加拿大通信安全机构自2013年开始,就实施安全审查计划。声明指「补强当前3G/4G/LTE中的供应链漏洞,帮助降低网络间谍和中断的风险环境。」该机构提到,可以经过漏洞和后门测试来检验管理华为公司的技术,防堵其潜在风险。
有些人认为这是一种「要通过验证的信任」,但有些人根本不相信验证能起到作用。
美国官员多次对加拿大的保障验证措施提出质疑。本周美国司法部起诉华为公司高管,还公布调查证据,指称华为员工只要成功窃取商业机密,就可以获得奖金报酬。英国情报机构GCHQ的前安全顾问伍德沃德曾在英国国家安全委员会上提到「技术只能验证基础设施和关键位置的内容,不可能验证所有生产线上和进入网络的内容。」
美国10年前一份机密文件中,提到中国政府操控其电信公司。华为称,若美国认为其设备有「后门」,应拿出证据。
