Total Pageviews

Friday, 15 May 2020

针对Linux、Android系统 华为上传的程式码带有后门

问:最近华为在一个Linux相关的开放源码项目,做了一些十分具争议性的事,虽然未有危及 Linux的安全,但行为仍然引起质疑,究竟发生了甚么事?

李建军:有一个叫OpenWall的项目,这个项目为不少Linux套件,以至Android本身提供加强保安功能。最近,有一个叫华为核心自我保护的程式码上传到OpenWall群体,但这个程式码被 OpenWall群体发现充满漏洞,而且有关漏洞并非一些无心之失,而被怀疑是刻意留下的后门,遭 到社群普遍质疑。

周一(11日)华为出面否认程式码系由华为公司发出,表示只是华为个别员工所为。又施压要求发现问题的安全测评厂商删改有关文章,以撇清华为与事件的关系。但安全测评厂商发现,上传程式码的人是华为公司等级最高的首席安全部门成员,故拒绝修改用词。

而华为的种种行为, 已经令开放源码群体质疑,中国政府会否透过中国公司,留下一些暗藏木马或后门的程式码, 为渗透或破坏全球的Linux主机甚至手机做准备。

问:事件对一般用家而言,暂时有没有任何威胁?

李建军:对大部分用家而言,只要你不使用中国品牌的手机,你仍然很安全,因为开放源码群体的成员会把关,不会随便放有问题的程式码入正式Linux或Android版本之中,所以暂时你未 受影响。

只不过,假如你使用小米、华为一类中国品牌手机,就难以担保不受影响,除非你本身是技术专家, 水平十分之高,否则你很难知道究竟你用的手机作业系统有否包括有问题的程式码在内;而即使你有能力侦查到系统中是否被植入病毒程式码,当你 发现程式码有问题时,都已经太迟,因为在此之前,你输入手机中的个资可能已被盗用。

所以一直以来在翻墙问答中,我都不建议听众使用中国品牌 的手机,原因是有保安,以至翻墙效能上的考虑,特别这些中国公司与政府的关系千丝万缕,他们要执行中国当局的政策,一般人是难以察觉。美国总统特朗普延长禁止使用中国特定公司的电讯设备政策一年,在技术上,其实是有实证支持,至少这次OpenWall事件,已经是一个证据, 去支持总统的决定。

问:开放源码社群会否因中国人人多势众,而最终好像维基百科中文版一样,被一些特定立场的人,甚至倾向中国政府的人劫持?

李建军:开放源码社群是比较难被劫持的,因为始终程式码有否有保安问题,并不能够单凭投票 就可以作出决定,不像维基百科,只要你够人多,就可以霸占大量不同的监管职位,甚至将个 别条目,以知名度不足等等奇怪理由删除。在开放源码群体,只要你提供的程式码有保安疑虑 ,其他人就可以视作臭虫(Bug,即程式错误)来修改或拒绝采纳相关的程式码。中国当局要派公司和人去劫持开放源码社群, 并非易事。

只不过,中国当局肯定会持续派出不同的人以及公司,向开放源码群体「贡献」有问题的程式码,社群有可能需要长期在警戒状态,防止有问题的代码最终成功混入,影响安全。特别像华为、联想一类公司都属于国际级大公司,亦持有不同的技术专利,你很难阻止他们主动向社群贡献程式码。因此,开放源码社群中的各路技术专家,他们其实在国际上十分重要,因为没有他们为程式码把关,以现时世界各地的公司以至个人对Linux作业系统,以至Android的依赖程度,如果有木马或后门混入其中,后果不堪设想。因此,这次华为怀疑向开放源码群体提供有可能有后 门的程式码,其实是一次不容忽略的事件,也是一次重大的警告.

No comments:

Post a Comment