這幾天,網上很多有關美國俄亥俄州網路安全公司Finite State(以下簡稱F公司)發現華為公司網路產品存在大量漏洞和後門的訊息傳出來。《華爾街日報》在7月5日也報道了這一事件,為中美兩國目前關於華為產品安全性的爭論,似乎提供了一個確鑿無疑的有利於美方的證據,據說相關報告在美國政府高層已經獲得了相當多的認同,美國的盟友一直要求美國拿出來有關華為存在安全性漏洞的證據,按照現在美國政府毫無顧忌的行事表現,如果過幾天有某些政客拿著個報告說事,一點都不會令人感到驚訝。
F公司花費了幾個月的時間進行了調查分析,最終報告的詳細內容是在上月底開始流出的,幾乎在第一時間,華為在它的網站上發表了《華為PSIRT:《Finite State供應鏈評估》的技術分析報告》(以下簡稱華為報告),針對這份報告中的結論進行了詳細回覆。我們注意到這個回覆修改的時間是7月3日,最初發布的回覆應該更早,說明華為對這個報告提出的問題是重視的,響應是迅速的。
(華為公司官網迴應)
華為報告中指出,F公司的“這份報告缺乏洞察力、完整性和準確性,F公司的這種做法也不是一個專業、認真、有能力的安全公司通常的做法。”並且“鑑於F公司的做法及其工具和方法的不足,其分析結果,最好的情況下是種質疑,最差的情況下就是不準確的。若是通過合作而不是在安全方面選擇政治立場的話,這本應是可以避免的。”仔細閱讀了華為報告之後,華為針對F公司相關報告的這段回覆總結,分析是專業的,判斷是準確的。
(Finite State針對華為供應鏈給出評估報告)
業界中,針對軟體系統的漏洞無論是自查還是第三方輔助巡查,都是保證軟體正常安全執行的常規機制,尤其第三方參與的查漏機制,對於很多大公司來說,不但不是反對的,而且往往還有一定的獎勵措施。所以按照常理來說,F公司投入這麼大資源,這麼長時間專門針對華為產品進行漏洞檢測,在正面的效果來說,對華為產品的安全性有很大的促進作用,理應當獲得華為的歡迎.
不過正如華為報告中指出來的那樣,F公司如此費勁氣力做出來的結果,卻在關鍵的一些環節上沒有遵循業界慣常的做法,也就是說,F公司需要將報告提交給華為公司,提出漏洞存在的可能性,並且由雙方共同進行驗證。F公司沒有遵循這個規範做法,而是直接將報告交給正在苦於找不到華為不安全證據的美國政府手中,其中的意味就顯然有不善的成份,難怪華為對此表達了相當憤怒的情緒。
(Finite State公司對華為的CE12800和Juniper的EX4650、Arista的7280R產品做了對比分析,結果認為華為產品安全性差、有疑似後門,安全性低於友商)
(華為針對報告中提到的AR3600 V200R007C00SPCb00存在10個已知漏洞的情況,經過分析確認,其中6個不受影響、2個已修復,2個風險低)
F公司測試報告中使用的分析方法SCA(Software Composition Analysis)技術也是業界普遍採用標準化漏洞掃描技術,實現的方法非常簡單,大致有以下幾個檢驗原則:
1. 識別軟體中所使用開源軟體版本、License 資訊,確保開源軟體使用合規性
2. 根據開源軟體版本到漏洞庫中匹配,以得出開源軟體的全部漏洞列表
3. 針對一些安全性薄弱的函式方法和呼叫手段給予警示
所有的SCA都是採用特徵值檢測,軟體實現的邏輯是相對簡單的,它通過掃描軟體,與需要預警的特徵值進行匹配,至於這個特徵值的實際實現的功能究竟為何,不放到整個的軟體邏輯和資料環境中,是不可能得到的。所以SCA掃描獲得的結果只能用來做警示資訊,還需要通過人工進行二次核對,這才是業界正確的規範做法。僅僅根據疑似的特徵值,就貿然得出存在漏洞的結論是相當武斷毛糙的,的確不是一個正常公司的正常做法。
要知道無論是原始碼還是二進位制程式碼,通過讀取軟體程式碼,分析出來軟體的操作能力和執行結果的空間,還是一個相當有挑戰新的話題,這屬於機器證明的領域,不是現在時,在今後相當長時間內,都不會有什麼顯著的進展,目前甚至連理論都沒有什麼引人注目的成果,蓬勃發展的AI也還沒有將這部分納入到研究的範疇,更不用說F公司能夠提供什麼革命性的解決方案了,所以華為指責F公司的報告根本沒有考慮到軟體的上下文,這就一點也不奇怪,因為這個世界上目前還不存在這個技術。
通過特徵值掃描技術得到的結果可信度非常低,有證據表明,90%以上的疑似結果都證明是錯誤的,這就好比說,竊賊往往在夜深人靜的時候登門入戶行竊,但是如果因此你將所有夜行的人都當作竊賊,那就是極其荒腔走板了。F公司的檢測報告就是這樣一個荒腔走板的報告。如果F公司遵循業界正常的流程,將這個報告提交給華為公司做進一步的確認,或者F公司也可以自己組織資源針對潛在的漏洞進行攻擊驗證,那麼獲得的結果可信度就能大大提高,也能排除絕大多數的虛假警示,也是業界提倡的兩種行為規範。但是F公司走的是另外一條上層路線,直接將這個報告交給對於技術一無所知的政客,讓他們拿來作為攻擊華為安全性的炮彈,這樣的用意動機首先就不純,違反了業界的行為規範,也給自己公司的專業性、公正性蒙上汙點。我們注意到儘管F公司提及那麼多漏洞和後門,但是沒有一個得到最終的確認,所有結果就仍然還屬於莫須有的狀態。
(美國國家漏洞資料庫中顯示微軟公司漏洞數量位於TOP5的第一位)
動機不純,公正性就無從談起,如何製造更有指向性的結論就是一件簡單的事情。任何一個公司的軟體系統都有一些公共的資源共享,都有一些特殊的編碼模式可以遵循,因此選取一些具有指向性的特徵值集合,就能獲得期望的有偏向性的結果。我們無從知道F公司採用的特徵值集合組成情況,是否具有普適性,是否經過目標明確的裁剪,這同樣會讓F公司的測試報告失去可對比的公允性。華為報告也指出來,用來對比的公司既非主流也缺少足夠的資料採集量,獲得的取樣分析結論就肯定不具有統計學上的顯著意義,這對於一個專業公司來說,如果連基礎統計學意義都沒有達到,那麼付出那麼大代價所要得到的結論首先就禁不起科學的推敲,顯得很不專業。上面兩種可能性導致結果偏差的存在,不能不令人懷疑F公司背後隱藏著的動機。
華為報告中用明確的例子一一指出來F公司不專業的表現,他們對於嵌入式系統需要遵循的規範顯然比較陌生,更要命的是,華為產品是對Linux系統的深度改版,只保留了系統最核心的基礎功能,更多的有關使用者管理、遠端接入控制、TCP/IP協議棧都是由自主開發的VRP(Versatile Routing Platform)接管,取代了Linux原有的功能。雖然我們不知道這與鴻蒙系統的承繼關係如何,不過可以看出來華為對於Linux系統吃得很透,已經進入自由王國境界的門檻。
但是F公司顯然不知道這個情況,他們做的掃描檢測一律按照標準的Linux系統實現的模式來進行,走入的技術路徑跟華為南轅北轍,也難怪華為一再指出來,如果F公司之前與華為進行溝通就不會犯這種低階的錯誤,將根本不存在的問題拿出來說事。標準模式下執行的掃描系統會按照Linux實現規範進行檢測,根本不會理會華為專有的設計架構,所以得出的結果自然是無效的,除非系統能夠專門針對華為產品進行定向定製,而這樣的工作其實只有華為自己公司才能實現。
(VRP接管遠端使用者接入)
不過華為報告中同時也認可了F公司報告中發現的一些問題,這些問題包括:
1. 遺留超級使用者帳戶的授權authorized_keys檔案
2. 已修復的漏洞,沒有將相應的版本號同步修訂
由於華為產品相關操作都已經轉為在VRP環境下執行,不再需要Linux環境下的authorized_keys授權檔案,這類檔案屬於開發工程除錯階段的遺留產物,在正式釋出的產品中應該被剔除。顯然華為在產品釋出清單管理方面的工作還有待加強。任何一個大系統中,多多少少都會遺留一些陳舊的程式碼檔案,這些檔案在任何動態測試的環節中都無法被發現,只有建立起來明確的產品釋出清單核查機制後,才能有效地避免類似的垃圾檔案混入釋出產品中的情況發生。當然因為這些資料或者檔案不會影響產品的功能實現,在很多公司,除了比較認真的團隊會做一個徹底的清理外,基本都會多多少少忽視這個環節。其實包括微軟在內,釋出的windows產品一直都有很多類似的垃圾檔案存在,至於共享生態下的Linux體系,這類檔案就更多了,很少引起大家的重視。但是不管怎麼說,存在這類垃圾檔案本來就不是好現象,更何況還是這樣敏感的授權檔案,就更不應該,華為在新發布的修正版中已經剔除掉這個檔案。總的來說,這個檔案屬於廢棄的檔案,由於Linux對應的操作程式碼在系統中不復存在,因此任何時候都無法將其利用作為提權的手段,因此不屬於存在實質性的安全問題,頂多算是系統環境清理得不夠乾淨。
有關漏洞修復後不同步更新版本號,其實也是共享軟體一直存在的痼疾,畢竟散亂的開發成員之間是否能夠嚴格遵循版本管理的約定,很多時候都是依靠自我管理,這不像在同一個公司能夠制定剛性的紀律來強制執行,所以對於這個業界普遍知曉的問題,也確實需要得到重視,能夠在巡檢的過程中發現此類問題,並進行更正也是很有必要的。我們注意到華為針對此類問題都做了再次仔細的核查,並確認標識的版本中存在的漏洞都已經修復過,但是版本號沒有進行過更新,因此導致掃描軟體發生誤判。嚴格來說,雖然漏洞在實際的程式碼中早已被修復,但是這種版本號沒有同步更新的情形仍然算作系統的缺陷,但是不歸入到威脅安全水平的致命型缺陷中。
可以說,F公司發現的上述兩種型別的問題,確實屬於實實在在需要改進的缺陷,只是這些缺陷並不屬於安全漏洞或者後門,通常測試時候發現類似的問題,如果出於交付時間和工作量的綜合考慮,仍然可以將產品交付,不用進行修復,這在測試領域內也是允許和經常發生的。畢竟任何已經發布的軟體產品中都必然存在一些缺陷,那是真正影響到軟體功能實現的問題。軟體領域中,完美主義是根本無法實現的理想,你看看手頭上那些主要使用的軟體,哪個不是經常在打補丁,堵漏洞?所以類似上述與功能實現都一點不相關的問題,在很多公司中,甚至都不當作缺陷來看待。當然,一個優秀的公司,它的優秀應該是體現在方方面面的,在細節上的精雕細琢是必須具備的品質,所以來說,華為也確實需要在上述兩個環節中加強管理,因為確實會發生某些特殊的情況,垃圾檔案也會被有心人利用起來,作為攻擊的手段;版本管理的失調,更會在後續的版本迭代過程中發生很多意想不到的疏漏,這是華為在這個事件中需要吸取的教訓。
儘管F公司釋出了所謂發現華為產品存在疑似漏洞和後門的報告,但是因為這個報告違反了業界約定俗成的規範,在資料採集過程中存在某些法律越界的現象,也沒有采用最新的韌體版本,發現疑似漏洞也沒有進一步多方核查,就貿然將高達90%以上不可靠結論的報告當作最終報告,也不奇怪華為很不客氣地評價說:最好的情況下是種質疑,最差的情況下就是不準確的。並且在美中兩國進行貿易爭端談判和美國單方面將華為列入實體清單,並號召全世界進行封殺的時候,如此違反常規的做法,背後沒有政治目的是很不令人信服的,何況這些所謂的漏洞後門在華為報告中都已經進行了一一反駁,一個進行了幾個月的調查,採集了500多種產品軟體,近1萬個韌體和150多萬份檔案的專業公司,走了這麼不專業的路徑,得出這麼不專業結論,我們不相信不是出於某些非技術的目的。
科學家和工程師們面對問題需要具有客觀性,但是政客們可以隨意篩選他們想要的論據,不具專業能力的普通人只能在科學技術工作者和政客的言論之間選擇自己的立場。如果前兩種人物具有某種默契,就會形成一個遠離事實的輿論場,等到真相到來的時候,有些成見已經固化,難以挽回,中國成語有所謂的“三人成虎”就是這個道理。
你得承認美中國人確實在國際事務中積累了豐富的博弈經驗,他們知道在叫牌之前,如何製造出來一個有利於自己的氛圍,讓參加博弈的對方還沒開局就已落下方,逼迫對方知難而退,特朗普的極限施壓是這個博弈方法最登峰造極的典型例子。F公司的作為顯然也是製造這個不公正氛圍的一個有機組成,他們不光彩的是一面打著科學公正的面目,另一面卻在做著違反行業各種規範的事情,一面在明,一面在暗,而公眾只能從他們充滿謬誤的結論中,誤認為這就是公正。
科學家和工程師們面對客觀世界雖然需要秉持客觀公正的態度,遵循業界業已行之有效的各種行事規範,但是就科學家、工程師個人以及公司而言,同樣需要面對各種私利的誘惑,沒有哪個研究表明科學家團體具有更高的道德水準,一旦他們的行為失範,就會利用公眾對科學的信任,將錯誤的資訊傳達給整個社會。這樣的事例可以說是層出不窮,國內國外皆如此,就F公司的這個報告來說,就是提供的又一個典型的例子。很多國內的公眾僅僅從表面的結論中誤以為華為確實被美企抓住了把柄,但實際的情況,這只是中美大博弈過程中一個小小的浪花,對於技術界來說, 這個充滿偏見和非專業色彩的報告根本沒有多少可供參考的價值,只能被政客拿來做他們博弈過程中一個小小的籌碼。
#變美大作戰##夏季百搭套裝#