美企發(fā)現(xiàn)華為產(chǎn)品存在大量漏洞和后門?

這幾天，網(wǎng)上很多有關(guān)美國俄亥俄州網(wǎng)絡(luò)安全公司Finite State（以下簡稱F公司）發(fā)現(xiàn)華為公司網(wǎng)絡(luò)產(chǎn)品存在大量漏洞和后門的消息傳出來?！度A爾街日?qǐng)?bào)》在7月5日也報(bào)道了這一事件，為中美兩國目前關(guān)于華為產(chǎn)品安全性的爭論，似乎提供了一個(gè)確鑿無疑的有利于美方的證據(jù)，據(jù)說相關(guān)報(bào)告在美國政府高層已經(jīng)獲得了相當(dāng)多的認(rèn)同，美國的盟友一直要求美國拿出來有關(guān)華為存在安全性漏洞的證據(jù)，按照現(xiàn)在美國政府毫無顧忌的行事表現(xiàn)，如果過幾天有某些政客拿著個(gè)報(bào)告說事，一點(diǎn)都不會(huì)令人感到驚訝。

F公司花費(fèi)了幾個(gè)月的時(shí)間進(jìn)行了調(diào)查分析，最終報(bào)告的詳細(xì)內(nèi)容是在上月底開始流出的，幾乎在第一時(shí)間，華為在它的網(wǎng)站上發(fā)表了《華為PSIRT：《Finite State供應(yīng)鏈評(píng)估》的技術(shù)分析報(bào)告》（以下簡稱華為報(bào)告），針對(duì)這份報(bào)告中的結(jié)論進(jìn)行了詳細(xì)回復(fù)。我們注意到這個(gè)回復(fù)修改的時(shí)間是7月3日，最初發(fā)布的回復(fù)應(yīng)該更早，說明華為對(duì)這個(gè)報(bào)告提出的問題是重視的，響應(yīng)是迅速的。

華為報(bào)告中指出，F(xiàn)公司的“這份報(bào)告缺乏洞察力、完整性和準(zhǔn)確性，F(xiàn)公司的這種做法也不是一個(gè)專業(yè)、認(rèn)真、有能力的安全公司通常的做法。”并且“鑒于F公司的做法及其工具和方法的不足，其分析結(jié)果，最好的情況下是種質(zhì)疑，最差的情況下就是不準(zhǔn)確的。若是通過合作而不是在安全方面選擇政治立場的話，這本應(yīng)是可以避免的。”仔細(xì)閱讀了華為報(bào)告之后，華為針對(duì)F公司相關(guān)報(bào)告的這段回復(fù)總結(jié)，分析是專業(yè)的，判斷是準(zhǔn)確的。

（Finite State針對(duì)華為供應(yīng)鏈給出評(píng)估報(bào)告）

業(yè)界中，針對(duì)軟件系統(tǒng)的漏洞無論是自查還是第三方輔助巡查，都是保證軟件正常安全運(yùn)行的常規(guī)機(jī)制，尤其第三方參與的查漏機(jī)制，對(duì)于很多大公司來說，不但不是反對(duì)的，而且往往還有一定的獎(jiǎng)勵(lì)措施。所以按照常理來說，F(xiàn)公司投入這么大資源，這么長時(shí)間專門針對(duì)華為產(chǎn)品進(jìn)行漏洞檢測，在正面的效果來說，對(duì)華為產(chǎn)品的安全性有很大的促進(jìn)作用，理應(yīng)當(dāng)獲得華為的歡迎，不過正如華為報(bào)告中指出來的那樣，F(xiàn)公司如此費(fèi)勁氣力做出來的結(jié)果，卻在關(guān)鍵的一些環(huán)節(jié)上沒有遵循業(yè)界慣常的做法，也就是說，F(xiàn)公司需要將報(bào)告提交給華為公司，提出漏洞存在的可能性，并且由雙方共同進(jìn)行驗(yàn)證。F公司沒有遵循這個(gè)規(guī)范做法，而是直接將報(bào)告交給正在苦于找不到華為不安全證據(jù)的美國政府手中，其中的意味就顯然有不善的成份，難怪華為對(duì)此表達(dá)了相當(dāng)憤怒的情緒。

（Finite State公司對(duì)華為的CE12800和Juniper的EX4650、Arista的7280R產(chǎn)品做了對(duì)比分析，結(jié)果認(rèn)為華為產(chǎn)品安全性差、有疑似后門，安全性低于友商）

（華為針對(duì)報(bào)告中提到的AR3600 V200R007C00SPCb00存在10個(gè)已知漏洞的情況，經(jīng)過分析確認(rèn)，其中 6個(gè)不受影響、2個(gè)已修復(fù)，2個(gè)風(fēng)險(xiǎn)低）

F公司測試報(bào)告中使用的分析方法SCA(Software Composition Analysis)技術(shù)也是業(yè)界普遍采用標(biāo)準(zhǔn)化漏洞掃描技術(shù)，實(shí)現(xiàn)的方法非常簡單，大致有以下幾個(gè)檢驗(yàn)原則：

1、識(shí)別軟件中所使用開源軟件版本、License 信息，確保開源軟件使用合規(guī)性

2、根據(jù)開源軟件版本到漏洞庫中匹配，以得出開源軟件的全部漏洞列表

3、針對(duì)一些安全性薄弱的函數(shù)方法和調(diào)用手段給予警示

所有的SCA都是采用特征值檢測，軟件實(shí)現(xiàn)的邏輯是相對(duì)簡單的，它通過掃描軟件，與需要預(yù)警的特征值進(jìn)行匹配，至于這個(gè)特征值的實(shí)際實(shí)現(xiàn)的功能究竟為何，不放到整個(gè)的軟件邏輯和數(shù)據(jù)環(huán)境中，是不可能得到的。所以SCA掃描獲得的結(jié)果只能用來做警示信息，還需要通過人工進(jìn)行二次核對(duì)，這才是業(yè)界正確的規(guī)范做法。僅僅根據(jù)疑似的特征值，就貿(mào)然得出存在漏洞的結(jié)論是相當(dāng)武斷毛糙的，的確不是一個(gè)正常公司的正常做法。

要知道無論是源代碼還是二進(jìn)制代碼，通過讀取軟件代碼，分析出來軟件的操作能力和運(yùn)行結(jié)果的空間，還是一個(gè)相當(dāng)有挑戰(zhàn)新的話題，這屬于機(jī)器證明的領(lǐng)域，不是現(xiàn)在時(shí)，在今后相當(dāng)長時(shí)間內(nèi)，都不會(huì)有什么顯著的進(jìn)展，目前甚至連理論都沒有什么引人注目的成果，蓬勃發(fā)展的AI也還沒有將這部分納入到研究的范疇，更不用說F公司能夠提供什么革命性的解決方案了，所以華為指責(zé)F公司的報(bào)告根本沒有考慮到軟件的上下文，這就一點(diǎn)也不奇怪，因?yàn)檫@個(gè)世界上目前還不存在這個(gè)技術(shù)。

通過特征值掃描技術(shù)得到的結(jié)果可信度非常低，有證據(jù)表明，90%以上的疑似結(jié)果都證明是錯(cuò)誤的，這就好比說，竊賊往往在夜深人靜的時(shí)候登門入戶行竊，但是如果因此你將所有夜行的人都當(dāng)作竊賊，那就是極其荒腔走板了。F公司的檢測報(bào)告就是這樣一個(gè)荒腔走板的報(bào)告。如果F公司遵循業(yè)界正常的流程，將這個(gè)報(bào)告提交給華為公司做進(jìn)一步的確認(rèn)，或者F公司也可以自己組織資源針對(duì)潛在的漏洞進(jìn)行攻擊驗(yàn)證，那么獲得的結(jié)果可信度就能大大提高，也能排除絕大多數(shù)的虛假警示，也是業(yè)界提倡的兩種行為規(guī)范。但是F公司走的是另外一條上層路線，直接將這個(gè)報(bào)告交給對(duì)于技術(shù)一無所知的政客，讓他們拿來作為攻擊華為安全性的炮彈，這樣的用意動(dòng)機(jī)首先就不純，違反了業(yè)界的行為規(guī)范，也給自己公司的專業(yè)性、公正性蒙上污點(diǎn)。我們注意到盡管F公司提及那么多漏洞和后門，但是沒有一個(gè)得到最終的確認(rèn)，所有結(jié)果就仍然還屬于莫須有的狀態(tài)。

（美國國家漏洞數(shù)據(jù)庫中顯示微軟公司漏洞數(shù)量位于TOP5的第一位）

動(dòng)機(jī)不純，公正性就無從談起，如何制造更有指向性的結(jié)論就是一件簡單的事情。任何一個(gè)公司的軟件系統(tǒng)都有一些公共的資源共享，都有一些特殊的編碼模式可以遵循，因此選取一些具有指向性的特征值集合，就能獲得期望的有偏向性的結(jié)果。我們無從知道F公司采用的特征值集合組成情況，是否具有普適性，是否經(jīng)過目標(biāo)明確的裁剪，這同樣會(huì)讓F公司的測試報(bào)告失去可對(duì)比的公允性。華為報(bào)告也指出來，用來對(duì)比的公司既非主流也缺少足夠的數(shù)據(jù)采集量，獲得的采樣分析結(jié)論就肯定不具有統(tǒng)計(jì)學(xué)上的顯著意義，這對(duì)于一個(gè)專業(yè)公司來說，如果連基礎(chǔ)統(tǒng)計(jì)學(xué)意義都沒有達(dá)到，那么付出那么大代價(jià)所要得到的結(jié)論首先就禁不起科學(xué)的推敲，顯得很不專業(yè)。上面兩種可能性導(dǎo)致結(jié)果偏差的存在，不能不令人懷疑F公司背后隱藏著的動(dòng)機(jī)。

華為報(bào)告中用明確的例子一一指出來F公司不專業(yè)的表現(xiàn)，他們對(duì)于嵌入式系統(tǒng)需要遵循的規(guī)范顯然比較陌生，更要命的是，華為產(chǎn)品是對(duì)Linux系統(tǒng)的深度改版，只保留了系統(tǒng)最核心的基礎(chǔ)功能，更多的有關(guān)用戶管理、遠(yuǎn)程接入控制、TCP/IP協(xié)議棧都是由自主開發(fā)的VRP（Versatile Routing Platform）接管，取代了Linux原有的功能。雖然我們不知道這與鴻蒙系統(tǒng)的承繼關(guān)系如何，不過可以看出來華為對(duì)于Linux系統(tǒng)吃得很透，已經(jīng)進(jìn)入自由王國境界的門檻。但是F公司顯然不知道這個(gè)情況，他們做的掃描檢測一律按照標(biāo)準(zhǔn)的Linux系統(tǒng)實(shí)現(xiàn)的模式來進(jìn)行，走入的技術(shù)路徑跟華為南轅北轍，也難怪華為一再指出來，如果F公司之前與華為進(jìn)行溝通就不會(huì)犯這種低級(jí)的錯(cuò)誤，將根本不存在的問題拿出來說事。標(biāo)準(zhǔn)模式下運(yùn)行的掃描系統(tǒng)會(huì)按照Linux實(shí)現(xiàn)規(guī)范進(jìn)行檢測，根本不會(huì)理會(huì)華為專有的設(shè)計(jì)架構(gòu)，所以得出的結(jié)果自然是無效的，除非系統(tǒng)能夠?qū)ｉT針對(duì)華為產(chǎn)品進(jìn)行定向定制，而這樣的工作其實(shí)只有華為自己公司才能實(shí)現(xiàn)。

（VRP接管遠(yuǎn)程用戶接入）

不過華為報(bào)告中同時(shí)也認(rèn)可了F公司報(bào)告中發(fā)現(xiàn)的一些問題，這些問題包括：

1. 遺留超級(jí)用戶帳戶的授權(quán)authorized_keys文件

2. 已修復(fù)的漏洞，沒有將相應(yīng)的版本號(hào)同步修訂

由于華為產(chǎn)品相關(guān)操作都已經(jīng)轉(zhuǎn)為在VRP環(huán)境下運(yùn)行，不再需要Linux環(huán)境下的authorized_keys授權(quán)文件，這類文件屬于開發(fā)工程調(diào)試階段的遺留產(chǎn)物，在正式發(fā)布的產(chǎn)品中應(yīng)該被剔除。顯然華為在產(chǎn)品發(fā)布清單管理方面的工作還有待加強(qiáng)。任何一個(gè)大系統(tǒng)中，多多少少都會(huì)遺留一些陳舊的代碼文件，這些文件在任何動(dòng)態(tài)測試的環(huán)節(jié)中都無法被發(fā)現(xiàn)，只有建立起來明確的產(chǎn)品發(fā)布清單核查機(jī)制后，才能有效地避免類似的垃圾文件混入發(fā)布產(chǎn)品中的情況發(fā)生。當(dāng)然因?yàn)檫@些數(shù)據(jù)或者文件不會(huì)影響產(chǎn)品的功能實(shí)現(xiàn)，在很多公司，除了比較認(rèn)真的團(tuán)隊(duì)會(huì)做一個(gè)徹底的清理外，基本都會(huì)多多少少忽視這個(gè)環(huán)節(jié)。其實(shí)包括微軟在內(nèi)，發(fā)布的windows產(chǎn)品一直都有很多類似的垃圾文件存在，至于共享生態(tài)下的Linux體系，這類文件就更多了，很少引起大家的重視。但是不管怎么說，存在這類垃圾文件本來就不是好現(xiàn)象，更何況還是這樣敏感的授權(quán)文件，就更不應(yīng)該，華為在新發(fā)布的修正版中已經(jīng)剔除掉這個(gè)文件?？偟膩碚f，這個(gè)文件屬于廢棄的文件，由于Linux對(duì)應(yīng)的操作代碼在系統(tǒng)中不復(fù)存在，因此任何時(shí)候都無法將其利用作為提權(quán)的手段，因此不屬于存在實(shí)質(zhì)性的安全問題，頂多算是系統(tǒng)環(huán)境清理得不夠干凈。

有關(guān)漏洞修復(fù)后不同步更新版本號(hào)，其實(shí)也是共享軟件一直存在的痼疾，畢竟散亂的開發(fā)成員之間是否能夠嚴(yán)格遵循版本管理的約定，很多時(shí)候都是依靠自我管理，這不像在同一個(gè)公司能夠制定剛性的紀(jì)律來強(qiáng)制執(zhí)行，所以對(duì)于這個(gè)業(yè)界普遍知曉的問題，也確實(shí)需要得到重視，能夠在巡檢的過程中發(fā)現(xiàn)此類問題，并進(jìn)行更正也是很有必要的。我們注意到華為針對(duì)此類問題都做了再次仔細(xì)的核查，并確認(rèn)標(biāo)識(shí)的版本中存在的漏洞都已經(jīng)修復(fù)過，但是版本號(hào)沒有進(jìn)行過更新，因此導(dǎo)致掃描軟件發(fā)生誤判。嚴(yán)格來說，雖然漏洞在實(shí)際的代碼中早已被修復(fù)，但是這種版本號(hào)沒有同步更新的情形仍然算作系統(tǒng)的缺陷，但是不歸入到威脅安全水平的致命型缺陷中。

可以說，F(xiàn)公司發(fā)現(xiàn)的上述兩種類型的問題，確實(shí)屬于實(shí)實(shí)在在需要改進(jìn)的缺陷，只是這些缺陷并不屬于安全漏洞或者后門，通常測試時(shí)候發(fā)現(xiàn)類似的問題，如果出于交付時(shí)間和工作量的綜合考慮，仍然可以將產(chǎn)品交付，不用進(jìn)行修復(fù)，這在測試領(lǐng)域內(nèi)也是允許和經(jīng)常發(fā)生的。畢竟任何已經(jīng)發(fā)布的軟件產(chǎn)品中都必然存在一些缺陷，那是真正影響到軟件功能實(shí)現(xiàn)的問題。軟件領(lǐng)域中，完美主義是根本無法實(shí)現(xiàn)的理想，你看看手頭上那些主要使用的軟件，哪個(gè)不是經(jīng)常在打補(bǔ)丁，堵漏洞？所以類似上述與功能實(shí)現(xiàn)都一點(diǎn)不相關(guān)的問題，在很多公司中，甚至都不當(dāng)作缺陷來看待。當(dāng)然，一個(gè)優(yōu)秀的公司，它的優(yōu)秀應(yīng)該是體現(xiàn)在方方面面的，在細(xì)節(jié)上的精雕細(xì)琢是必須具備的品質(zhì)，所以來說，華為也確實(shí)需要在上述兩個(gè)環(huán)節(jié)中加強(qiáng)管理，因?yàn)榇_實(shí)會(huì)發(fā)生某些特殊的情況，垃圾文件也會(huì)被有心人利用起來，作為攻擊的手段；版本管理的失調(diào)，更會(huì)在后續(xù)的版本迭代過程中發(fā)生很多意想不到的疏漏，這是華為在這個(gè)事件中需要吸取的教訓(xùn)。

盡管F公司發(fā)布了所謂發(fā)現(xiàn)華為產(chǎn)品存在疑似漏洞和后門的報(bào)告，但是因?yàn)檫@個(gè)報(bào)告違反了業(yè)界約定俗成的規(guī)范，在數(shù)據(jù)采集過程中存在某些法律越界的現(xiàn)象，也沒有采用最新的固件版本，發(fā)現(xiàn)疑似漏洞也沒有進(jìn)一步多方核查，就貿(mào)然將高達(dá)90%以上不可靠結(jié)論的報(bào)告當(dāng)作最終報(bào)告，也不奇怪華為很不客氣地評(píng)價(jià)說：最好的情況下是種質(zhì)疑，最差的情況下就是不準(zhǔn)確的。并且在美中兩國進(jìn)行貿(mào)易爭端談判和美國單方面將華為列入實(shí)體清單，并號(hào)召全世界進(jìn)行封殺的時(shí)候，如此違反常規(guī)的做法，背后沒有政治目的是很不令人信服的，何況這些所謂的漏洞后門在華為報(bào)告中都已經(jīng)進(jìn)行了一一反駁，一個(gè)進(jìn)行了幾個(gè)月的調(diào)查，采集了500多種產(chǎn)品軟件，近1萬個(gè)固件和150多萬份文件的專業(yè)公司，走了這么不專業(yè)的路徑，得出這么不專業(yè)結(jié)論，我們不相信不是出于某些非技術(shù)的目的。

科學(xué)家和工程師們面對(duì)問題需要具有客觀性，但是政客們可以隨意篩選他們想要的論據(jù)，不具專業(yè)能力的普通人只能在科學(xué)技術(shù)工作者和政客的言論之間選擇自己的立場。如果前兩種人物具有某種默契，就會(huì)形成一個(gè)遠(yuǎn)離事實(shí)的輿論場，等到真相到來的時(shí)候，有些成見已經(jīng)固化，難以挽回，中國成語有所謂的“三人成虎”就是這個(gè)道理。

你得承認(rèn)美國人確實(shí)在國際事務(wù)中積累了豐富的博弈經(jīng)驗(yàn)，他們知道在叫牌之前，如何制造出來一個(gè)有利于自己的氛圍，讓參加博弈的對(duì)方還沒開局就已落下方，逼迫對(duì)方知難而退，特朗普的極限施壓是這個(gè)博弈方法最登峰造極的典型例子。F公司的作為顯然也是制造這個(gè)不公正氛圍的一個(gè)有機(jī)組成，他們不光彩的是一面打著科學(xué)公正的面目，另一面卻在做著違反行業(yè)各種規(guī)范的事情，一面在明，一面在暗，而公眾只能從他們充滿謬誤的結(jié)論中，誤認(rèn)為這就是公正。

科學(xué)家和工程師們面對(duì)客觀世界雖然需要秉持客觀公正的態(tài)度，遵循業(yè)界業(yè)已行之有效的各種行事規(guī)范，但是就科學(xué)家、工程師個(gè)人以及公司而言，同樣需要面對(duì)各種私利的誘惑，沒有哪個(gè)研究表明科學(xué)家團(tuán)體具有更高的道德水準(zhǔn)，一旦他們的行為失范，就會(huì)利用公眾對(duì)科學(xué)的信任，將錯(cuò)誤的信息傳達(dá)給整個(gè)社會(huì)。這樣的事例可以說是層出不窮，國內(nèi)國外皆如此，就F公司的這個(gè)報(bào)告來說，就是提供的又一個(gè)典型的例子。很多國內(nèi)的公眾僅僅從表面的結(jié)論中誤以為華為確實(shí)被美企抓住了把柄，但實(shí)際的情況，這只是中美大博弈過程中一個(gè)小小的浪花，對(duì)于技術(shù)界來說， 這個(gè)充滿偏見和非專業(yè)色彩的報(bào)告根本沒有多少可供參考的價(jià)值，只能被政客拿來做他們博弈過程中一個(gè)小小的籌碼。