華為近期引爆新資安爭議。華為向 Linux 開發社群提交資安程式碼補丁,結果越補資安漏洞越大?
開源資安團隊 Grsecurity 踢爆 華為工程師提交給 Linux 開發社群的資安程式碼補丁 HKSP(Huawei Kernel Self Protection)留有後門,引發軒然大波。
華為週一(5/11)即在官方網站發出公告,澄清 HKSP 並非官方發布資源、也未在華為的產品中使用。華為的迅速切割引起論壇譁然,在中美貿易戰的敏感時機點,各界紛紛質疑此事件是否背後有其他勢力介入。
華為資深工程師在 OpenWall 社群提交補丁
Linux 系統為開源的作業系統。開源是免費、任何人可取用的意思,作業系統則是最底層的硬體跟資源管理。Linux 包含兩個層次,核心(Kernel)與系統呼叫介面。尤其是核心,它是運作系統最重要的組件,直接跟 CPU 溝通。本次華為工程師提交的補丁,就是針對核心的部分進行修補。
在 Linux 的開源社群中,如果任何人發現系統上的問題,都可以在社群提供自己的論點與解方,結合群眾的力量糾錯、補救。若眾人對一致同意某個彌補無運行問題、無資安問題,則該補丁可加入下一次的更新中,提供給全世界使用 Linux 系統的企業或個人自由下載取用。
華為工程師週日(5/10)即在社群 Openwall 開源社群 提出針對 Linux 核心漏洞的補丁。然而隔日資安團隊團隊 Grsecurity 卻發現該補丁本身藏有另一個更大的漏洞,如果社群並未察覺,很可能讓全世界都下載到有後門的更新,讓全世界重要產業的資料陷入門戶大開的資安風險!
開源團隊抓到華為工程師補丁有缺陷
開源資安團隊 Grsecurity 的 報告 指出,HKSP 補丁本身「充滿漏洞跟弱點」、缺乏「威脅建模」(threat model,預期網路攻擊的過程),它的緩解效果,基本上無異於之前 LKRG(Linux Kernel Runtime Guard)補丁的效果。
Grsecurity 團隊指出,這份補丁缺乏了防禦性程序,這份程式碼將引入可輕易利用的漏洞(trivially exploitable vulnerability)。
詳細分析可看這份 報告
雖然團隊不確定提出補丁的行為是否是華為官方授意,或者這份程式碼已經用在華為產品上,但這份補丁使用的是「華為」的名字,且提交者的 Github 帳號中將「華為」作為帳號的機構名稱。
整件事情的爭議點在於「華為」兩字?
由於任何人都能提出補丁、且提出是屬於「貢獻、義務性質」的行為,正常來說沒有太多爭議點,但本次事件的重點,在於提供補丁的工程師來自華為最高階的資安團隊(Level 20)。
今年(2020)二月美國《華爾街日報》才 獨家報導 華為疑似協助中國政府透過電信行動網路設備開啟手機後門,監控各國行動網路超過十年,本次爆出相似事件,加上提出補丁者本身也不是初階的工程師,不見得會忽略明顯錯誤,因此引起外界浮想翩翩。
華為官方顯然也馬上意識到事件的嚴重性,在報導出來的隔天,馬上就發出 澄清文 表示該工程師提交的補丁「不代表華為立場」、「屬於個人與社群的技術探討行為」。華為此舉讓人各界質疑為「快速切割」,無助於提高信任感。
資安問題除了事前防堵、只能謹慎至上
由於 Linux 全免費開放全世界自由使用,因此全世界的科技巨頭如 Google、Amazon、Facebook,或者網路廠商 RedHat、IBM… 等等,都可能是此補丁的潛在受害者。
TechOrange 採訪業界資安專家,專家提醒,若各界不察下載了這次補丁,則「Linux 系統一開啟就運作,在有漏洞的情況下,馬上就會被外界入侵」。
但專家也補充說明,就像一般使用者不會輕易下載 iPhone 最新更新,可能會觀望一下「災情」;企業也是一樣,不會輕易更新本身的 Linux 系統,留待最穩定的時候再進行大幅更新。
參考資料:
Grsecurity 報導
華為官方 公告
ZDNet Huawei denies involvement in buggy Linux kernel patch proposal
(本文提供合作夥伴轉載。)
你可能有興趣
◊ 三層面剖析「華為管理學」,狼性文化不是只有你想的那樣
◊ 中國駭客攻擊 Linux 伺服器,竊取知識產權長達 10 年沒被發現
◊ 【從死對頭到好朋友】微軟宣布新版 Windows 將採用 Linux 特製核心
多雲平台管理不易,找出資安威脅難上加難
IBM 解惑如何善用「開源技術」自動因應網路攻擊