0
0
Especialistas em segurança do Reino Unido encontraram uma falha de “significância nacional” ao analisar a tecnologia da empresa chinesa de rede Huawei, de acordo com um relatório do governo.
As práticas de engenharia de software e segurança cibernética da Huawei foram criticadas no relatório anual (PDF) do Huawei Cyber Security Evaluation Centre (HCSEC), criado pelo governo britânico e pela gigante de rede para avaliar equipamentos que serão usados em redes britânicas.
O centro foi inaugurado em 2010, com o objetivo de reduzir qualquer risco potencial de usar as tecnologias da Huawei como parte da infraestrutura nacional crítica do Reino Unido. Como tal, o relatório anual do HCSEC fornece uma análise detalhada dos processos de software, engenharia e cibersegurança da empresa.
“O trabalho do HCSEC continuou a identificar questões relativas à abordagem da Huawei ao desenvolvimento de software trazendo um risco significativamente maior para as operadoras do Reino Unido, o que requer gerenciamento e mitigação contínuos”, disse o relatório, acrescentando que foram feitos progressos limitados sobre as questões levantadas no relatório anterior.
No geral, o conselho que supervisiona o centro disse que só poderia fornecer garantia “limitada” de que todos os riscos à segurança nacional do Reino Unido a partir do envolvimento da Huawei nas redes críticas do Reino Unido podem ser suficientemente mitigados a longo prazo.https://c7ffa4e12afdf57b95699ef7b67c840c.safeframe.googlesyndication.com/safeframe/1-0-37/html/container.html?n=0
“O número crescente e a gravidade das vulnerabilidades descobertas, juntamente com questões arquitetônicas e de construção, pela equipe relativamente pequena do HCSEC é uma preocupação particular. Se um invasor tem conhecimento dessas vulnerabilidades e acesso suficiente para explorá-las, elas podem ser capazes de afetar o funcionamento de uma rede do Reino Unido, em alguns casos fazendo com que ela deixe de operar corretamente”, alertou.
O relatório disse que uma falha de “significância nacional” havia sido descoberta durante o trabalho do HCSEC este ano.
Quando uma falha é identificada, o HCSEC geralmente reporta ao NCSC, a empresa de telecomunicações, e à Huawei para corrigi-la.
Mas o relatório observou: “Em raras circunstâncias, onde o impacto da vulnerabilidade é de importância nacional, a divulgação de detalhes completos da vulnerabilidade à Huawei pode ser adiada para permitir que a comunidade britânica avalie e atenue o impacto. Isso ocorreu durante 2019.” Segundo a BBC,essa falha estava relacionada à banda larga – mas as autoridades não acreditam que alguém a explorou.
O relatório disse que sua descoberta se referia à competência básica de engenharia e higiene da segurança cibernética – não falhas deliberadamente introduzidas. “O NCSC não acredita que os defeitos identificados sejam resultado da interferência do Estado chinês”, diz o relatório.
“Foram encontradas evidências sustentadas de más práticas de codificação, incluindo evidências de que a Huawei continua a não seguir suas próprias diretrizes internas de codificação segura. Isso apesar de algumas pequenas melhorias em relação aos anos anteriores”, diz o relatório.
O HCSEC disse que, em 2019, identificou “vulnerabilidades críticas voltadas para o usuário” em produtos de acesso fixo. Ele disse que estes foram causados por “particularmente má qualidade do código” e pelo uso de um antigo sistema operacional.
“As vulnerabilidades foram um exemplo sério das questões mais propensas a ocorrer dadas as deficiências nas práticas de engenharia da Huawei, e durante 2019 as operadoras do Reino Unido precisaram tomar medidas extraordinárias para mitigar o risco”, disse o relatório.
Embora a Huawei tenha corrigido as vulnerabilidades específicas no Reino Unido, isso introduziu um problema importante adicional no produto, adicionando mais evidências de que as deficiências nos processos de engenharia da Huawei permanecem, acrescentou o relatório.
A Huawei disse que continua com um investimento “significativo” para melhorar seus produtos. “O relatório reconhece que, embora nosso processo de transformação de software esteja em sua infância, fizemos alguns progressos na melhoria de nossos recursos de engenharia de software”, disse a empresa, acrescentando que todos os fornecedores devem ser avaliados com um benchmark igualmente robusto, “para melhorar os padrões de segurança para todos”.
O relatório só abrange 2019. No entanto, este ano, a posição da Huawei como uma das principais fornecedoras de tecnologia de rede no Reino Unido começou a mudar significativamente. Em julho, o governo disse às operadoras de telecomunicações para suspender a compra de equipamentos 5G da empresa chinesa a partir de 2021, um movimento em grande parte impulsionado por preocupações de segurança nacional. As empresas de telecomunicações também são obrigadas a remover toda a tecnologia da Huawei de suas redes 5G nos próximos sete anos.
FONTE: ZDNET