「掩蓋」和「光說不練」-華為安全風險的根源

楊喜慧

華為與美國政府的科技鬥爭演變至今,已經到了「不死不休」的階段。美國政府對華為是充滿敵意的,華盛頓指控華為是中國的「小間諜」,所以將華為列入「實體黑名單」中,禁止美國供應商出貨給華為,並在國際上要美國盟友們將華為從5G的供應商名單去除。美國政府手拿「安全」的十字架,要燒死華為這個可惡的巫婆。

華為聰明的知道,最好的防守就是面對迎戰。華為創辦人任正非九月初在接受《紐約時報》(The New York Times)的專訪提到願意將5G技術「求售」,喊價15億美元。其目的是要減輕人們對安全的憂慮。在《經濟學人》(the Economist)的專訪提到,買家可以「永久訪問」華為現有的5G專利,許可證,代碼,技術藍圖和生產技術訣竅,更重要,收購方可以修改源代碼(source code)這個提議非常「切重要點」,源代碼是可以被審查跟修改的,買家手握修改的權限,假設有中國政府的後門(backdoors),網路安全專家指證歷歷「後門」的真實存在,現在都可以被大方檢驗出來。

現在,華為透過遞出橄欖支,希望可以移開美國按在頭上的十字架。這是華為大膽的嘗試,引出一個更重要的問題,華為真的是那個邪惡的化身,活該被釘在十字架上嗎?

現在,美國的邏輯在中美貿易架構下開展。在中國沒有公司是獨立於中共存在的,再加上創辦人任正非的背景,「合理推測」,華為無法對中共的指令說不。這家中國國家指導的企業,中國政府說要去竊取國外商業機密和智慧財產權,華為只會順從。以及,現在科技特定的竊聽竊取是非常「微妙」,難以察覺。《北約合作網絡防禦卓越中心》(NATO Cooperative Cyber Defence Centre of Excellence,CCDCOE)提出報告的結論即是:中國政府網路技術是狼子野心,華為對美國及其盟友已構成國家安全的威脅。

老實說,美國的指控只是提出每一個中國企業的原罪而已,至今沒有「具體證據」來支撐。連同為科技巨頭的微軟(Microsoft)都小小為華為喊冤。美國沒有說的是,為什麼要獨獨「針對」華為?

因為華為的快速壯大讓美國感到不可思議又心生恐懼。BBC專文「華為在五個排行榜的快速崛起」簡單扼要的描述華為現已「躍升」第一大的電信公司,如下圖所示,現甚至超越瑞典愛立信(Ericsson)。又5G將會領導下一個工業革命,這將是場「新軍備競賽」,川普政府必須要為時不太晚下把中國拉下來,因為這樣最「顯眼」的目標就是「華為」。為了達成這目標,美國殺紅了眼,喊出華為的間諜罪「無需證明」。

圖片來源:BBC

不過,美國雖然有點過頭指控華為的國家安全疑慮,但這不代表華為「安全性」沒有問題。資安公司ReFirm Labs接受採訪說,他們發現在華為系統102個漏洞,四分之一以上可以讓駭客輕鬆取得完全訪問權限,是他們測試過「最糟糕」的產品,不符合西方標準。論述的重點已經從指證華為是「小偷」轉到「品質不良」。

英國支持這樣的論點,並且還認真寫成報告。美國一直說服英國也要跟進對華為禁令,因為「國家安全」,英國對於這個要求「不置可否」,因此要有關單位進行研究。

還好,英國早在2014對於這議題早有準備,《英國國家網絡安全中心》(National Cyber Security Centre, NCSC)當時主任馬丁(Ciaran Martin)針對華為成立《華為網絡安全評估中心監督委員會》(Huawei cyber security evaluation centre oversight board,HCSEC),專門負責檢查華為設備與軟體,每年會整理年度報告供民眾下載。

報告的結論,華為有「重大的技術問題」,來自於「複雜且控制不良的開發和構建過程」其所造成的「漏洞」可以能會帶來「安全風險」。以及,華為的「軟體開發」以及「網路安全」能力會帶給英國營運商顯著「風險」,但這風險,可以經由「嚴格監督機制」獲得管控。

雖然如此,但對於華為在修復問題的態度頗有微詞,「華為在修復去年發現的問題上沒有取得任何重要進展。」認為華為「沒能力」解決報告中所提的擔憂。「監督委員會目前還看不到華為提出任何可行的修正計畫」。華為回應,他們「非常認真」看待。言下之意,該報告不認為「安全」的風險不是來自於「政府的後門」,而是「本身」安全性不夠。這裡有個更深的疑問,一個現有系統具有「嚴重」系統問題的公司,是否有能力在新一代通訊系統扮演重要角色?

另一份英國報告來自情報單位《政府通訊總部》(Government Communications Headquarters,GCHQ)下屬《華為網絡安全評估中心》(Huawei Cyber Security Evaluation Centre,又稱The Cell)提供給國會報告中,不斷強調華為的二元碼(Binary equivalence)有嚴重問題,無法將人類可讀的編碼轉化成機器可讀編碼。但這問題,其他西方供應商也有。

另一個大問題「開放式漏洞」(Bug doors),華為的編碼能力很「差」,因此二元碼的問題會被放大,例如,在新構環境沒有正確地清除之前的代碼及項目,代碼之間沒有一致性,這些種種的「無能」造成「安全風險」。他們可以理解為什麼美國將華為解釋成故意製造「開放式漏洞」,但英國人認為那只是編碼鬆散造成的(result of lax coding practice),雖然不確定這「無能」是不是故意為之。

第三,去年九月在華為改進報告(eNodeB)提到的代碼錯誤的問題,被發現有「掩蓋」問題的證據。「如法炮製」與大眾汽車(The Volkswagen)一樣的醜聞作法。

有人建議,華為的產品不甚完美,可以讓其留在外圍(periphery),報告指出這樣的想法有點天真,因為5G技術並不存在核心(Core)與外圍的界線,因為5G的頻寬及傳輸速度的進步,是來自於更頻繁的轉化,這也是之前核心的物件向外外圍延伸的結果。這也是澳洲對於華為的顧慮。再來,媒體指出還有個問題,華為的系統與其他供應商(如Nokia or Ericsson)不相容(incompatible)

第三份報告來自於科技媒體《註冊》(The Register)以「華為的半連接路由器安全漏洞:華為屢勸不改的錯誤」(Huawei's half-arsed router patching left kit open to botnets: Chinese giant was warned years ago – then bungled it)文章揭示,華為遇到別人指出問題的反應不是「全面更正」漏洞,而是修改「模型」,然後報告說沒有問題。以致問題仍未解決,至今仍發現有18,000多個殭屍網絡在系統中。對於此報告,華為又「相當重視」,宣稱將提供20億美元來解決安全問題,但會不會如HCSEC報告所說「華為話都講很大聲,但沒有實質明顯改善。」

總結三份報告,突顯出華為非常明顯的處事態度,遇到問題,與其花大量時間「慢慢解決」,不如想辦法「掩蓋」比較效率。以及「光說不練」,這兩個最深層的與西方不同的處事態度,才是「安全風險」的根源,也是無法普遍被人相信的根源,其他技術的問題都只是反射這根源的不同體現。

看來,美國錯把華為看成強大又邪惡的敵人。這敵人的「邪惡」不是來自「有意為之」,而只是長期錯誤的處事態度造成的「無能」而已。要根治這巫婆的劣根性,不是擺出「十字架」,大費周章的審判,而是要矯正視而不見的愚痴罷了。

※作者台大博士/旅美學人

更多上報內容:

【影片】台電百年-桂山水力發電廠 探尋百年流轉的歷史軌跡

【影片】柯文哲粉專讚數一夜飆升2萬 小編:愚蠢行為絕非柯團隊操作