Под капотом HUAWEI
Feb. 21st, 2020 12:44 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
beldmitHUAWEI CYBER SECURITY EVALUATION CENTRE (HCSEC) VERSIGHT BOARD ANNUAL REPORT 2019
Цитата:
On the first version of the software, there were 70 full copies of 4 different OpenSSL versions, ranging from 0.9.8 to 1.0.2k (including one from a vendor SDK) with partial copies of 14 versions, ranging from 0.9.7d to 1.0.2k, those partial copies numbering 304. Fragments of 10 versions, ranging from 0.9.6 to 1.0.2k, were also found across the codebase, with these normally being small sets of files that had been copied to import some particular functionality. There were also a large number of files, again spread across the codebase, that had started life in the OpenSSL library and had been modified by Huawei.
In the later version, there were only 6 copies of 2 different OpenSSL versions, with 5 being 1.0.2k and one fork from a vendor SDK. There remained 17 partial copies of 3 versions, ranging from 0.9.7d to 1.0.2k. The fragments from the 10 different versions of OpenSSL remained across the codebase as do the OpenSSL derived files that have been modified by Huawei. More worryingly, the later version appears to contain code that is vulnerable to 10 publicly disclosed OpenSSL vulnerabilities, some dating back to 2006.
Комментарий коллеги на тему классической цитаты:
У нас было 2 пакета c openssl, 75 форков 5 различных версий, пол-libcrypto и целое множество патчей всех сортов и расцветок, а также gnutls, libressl, nettle и 2 дюжины реализаций aes для python. Не то чтобы это был необходимый запас для базовых станций Huawei, но если начал собирать дурь, становится трудно остановиться. Единственное, что вызывало у меня опасение — это реализация шифра ZUC на php. Ничто в мире не бывает более беспомощным, безответственным и порочным, чем реализация криптографии на php китайскими руками. Но я знал, что рано или поздно мы перейдем и на эту дрянь.
Ещё один коллега в комментариях рассказал про софтину, к которой одновременно статически прилинковали openssl и GnuTLS.
Цитата:
On the first version of the software, there were 70 full copies of 4 different OpenSSL versions, ranging from 0.9.8 to 1.0.2k (including one from a vendor SDK) with partial copies of 14 versions, ranging from 0.9.7d to 1.0.2k, those partial copies numbering 304. Fragments of 10 versions, ranging from 0.9.6 to 1.0.2k, were also found across the codebase, with these normally being small sets of files that had been copied to import some particular functionality. There were also a large number of files, again spread across the codebase, that had started life in the OpenSSL library and had been modified by Huawei.
In the later version, there were only 6 copies of 2 different OpenSSL versions, with 5 being 1.0.2k and one fork from a vendor SDK. There remained 17 partial copies of 3 versions, ranging from 0.9.7d to 1.0.2k. The fragments from the 10 different versions of OpenSSL remained across the codebase as do the OpenSSL derived files that have been modified by Huawei. More worryingly, the later version appears to contain code that is vulnerable to 10 publicly disclosed OpenSSL vulnerabilities, some dating back to 2006.
Комментарий коллеги на тему классической цитаты:
У нас было 2 пакета c openssl, 75 форков 5 различных версий, пол-libcrypto и целое множество патчей всех сортов и расцветок, а также gnutls, libressl, nettle и 2 дюжины реализаций aes для python. Не то чтобы это был необходимый запас для базовых станций Huawei, но если начал собирать дурь, становится трудно остановиться. Единственное, что вызывало у меня опасение — это реализация шифра ZUC на php. Ничто в мире не бывает более беспомощным, безответственным и порочным, чем реализация криптографии на php китайскими руками. Но я знал, что рано или поздно мы перейдем и на эту дрянь.
Ещё один коллега в комментариях рассказал про софтину, к которой одновременно статически прилинковали openssl и GnuTLS.
no subject
Date: 2020-02-21 11:49 am (UTC)no subject
Date: 2020-02-21 12:44 pm (UTC)no subject
Date: 2020-02-21 12:46 pm (UTC)Издержки слишком глубокого разделения труда. Каждый пилит свой кусочек, и никто не пытается посмотреть что получится в целом.
no subject
Date: 2020-02-21 06:14 pm (UTC)no subject
Date: 2020-02-21 06:20 pm (UTC)no subject
Date: 2020-02-22 11:10 am (UTC)no subject
Date: 2020-02-22 03:44 pm (UTC)no subject
Date: 2020-02-21 01:05 pm (UTC)no subject
Date: 2020-02-21 01:08 pm (UTC)no subject
Date: 2020-02-21 01:18 pm (UTC)no subject
Date: 2020-02-21 01:57 pm (UTC)no subject
Date: 2020-02-21 02:55 pm (UTC)no subject
Date: 2020-02-21 04:53 pm (UTC)no subject
Date: 2020-02-21 04:00 pm (UTC)