Co je špatně (s) Huawei?!

Čínský gigant Huawei je v posledních měsících předmětem vyhrocené politické debaty. Experti na Čínu i na telekomunikační technologie obecně naznačují, že by firma Huawei mohla využívat svou technologii k odposlouchávání a monitorování svých uživatelů a tato data pak poskytovat čínské vládě. Huawei ale tvrdí, že je to jen strategie USA ve špinavé obchodní válce. Kde je tedy pravda? 

Firma Huawei ráda zdůrazňuje skutečnost, že na rozdíl od americké NSA nikdy prokazatelně neodposlouchávala ani nesledovala evropské politiky.

Pravda je však jako vždy mnohem složitější a zajímavější. A mimo jiné demonstruje, jak vypadá strategické uvažování Číny v době míru a případně i v období války.

Do prosince 2018 využívala technologie firmy Huawei – mobilní telefony, servery či routery – řada různých orgánů státní správy, ministerstev, ale i politici, novináři, vědci, policejní složky i státní firmy. 

Huawei vyhrál veřejné zakázky v Česku, Maďarsku nebo v Polsku a měl tak poskytovat technické řešení stání infrastruktury, což by znamenalo výrobky Huawei jako routery nebo servery na ministerstvech, v jaderných elektrárnách, v záchranné službě nebo u policie.

Infobox: Kauzy společnosti Huawei

  • Nizozemsko
  • Afrika
  • USA
  • Spojené království
  • Česká republika
Deník De Volkskrant s odvoláním na nejmenované zdroje z rozvědky informoval o tom, že telekomunikační vybavení firmy Huawei disponuje skrytou technologií „zadních vrátek“ (backdoor), která firmě umožňuje přístup k datům svých zákazníků.
V lednu představitelé Africké unie informovali o tom, že technologie firmy Huawei – instalované v ředitelství této mezinárodní organizace – mezi lety 2012 a 2017 každodenně odesílaly utajené informace na čínské servery.

První případ: Společnost Microsoft odhalila zranitelná místa v softwarových ovladačích Huawei.

Druhý případ: Na největší světové hackerské konferenci DEF CON v červenci roku 2016 odborníci na bezpečnost Felix Lindner a Gregor Kopf prezentovali svá zjištění a  odhalili řadu zásadních bezpečnostních rizik na routerech firmy Huawei (modely AR18 a AR29). Tato rizika podle nich mohou být využita při získání vzdáleného přístupu k zařízením.

V březnu 2019 britský dohledový orgán pro společnost Huawei s názvem Huawei Cyber Security Evaluation Centre (HCSEC) u produktů firmy odhalil „vážné a systematické nedostatky“ v oblasti zabezpečení. Orgán taktéž zpochybnil schopnost společnosti tyto závažné nedostatky odstranit.
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal následující varování: „Použití technických nebo programových prostředků následujících společností, včetně jejich dceřiných společností, představuje hrozbu v oblasti kybernetické bezpečnosti – Huawei Technologies Co., Ltd., Šen-čen, Čínská lidová republika a ZTE Corporation, Šen-čen, Čínská lidová republika.“

Zahrňte je dary

K distribuci výrobků Huawei ale nedocházelo jen oficiálně. Vybrané osobnosti s vlivem na chod státu či veřejné mínění obdrželi například mobilní telefony nebo chytré hodinky jako pozornost podniku.

„Huawei pravidelně zve vysoce postavené členy diplomatického zastoupení v Číně na luxusní výlety, do svých výzkumných center, do Pekingu nebo Šen-čenu. Darem pak dostávají nejnovější tablety, routery nebo fotoaparáty. Čína je rozdává neustále: ne jako formu úplatku – neočekávají protislužbu – jen tyhle vlivné lidi neustále zahrnují dary,“ uvádí bývalý maďarský diplomat dříve působící v Číně. Podle něj jde o způsob, jak se Huawei snaží propagovat a šířit své výrobky.

Obdobná situace panuje v Polsku. Společnost Huawei permanentně zve tamní novináře na exkluzivní pracovní cesty do největších měst světa. Firma je přitom známá tím, že tyto cesty pořádá v honosném stylu. V říjnu 2018 Huawei rezervoval celý letoun Boeing 737-800 pro polské novináře mířící na slavnostní odhalení nového typu chytrého telefonu v Londýně. Firma také pořádá několikadenní novinářské zájezdy do Číny. 

A veškerá útrata jde na vrub společnosti Huawei, včetně letenek, dopravy, luxusních hotelů, večeří ve vybraných restauracích, průvodců nebo tlumočníků. Aby novináři mohli fungovat neomezeně i v prostoru přísně cenzurovaného čínského internetu, obdrží od hostitelů také speciální SIM karty.

Co je tedy tak nebezpečného na tom, že významní členové státní správy i veřejného života používají – a do určité míry vlastně závisí – na užívání produktů Huawei? Skoro všechno.

Stánek Huawei na konferenci v Las Vegas, zdroj: Flickr

Technické nedostatky

Společnost Finite State se sídlem ve Spojených státech letos provedla systematickou analýzu zařízení Huawei. „Provedli jsme rozsáhlou studii bezpečnostních rizik u zařízení této firmy analýzou jejich firmwaru… Naše automatizované systémy zkoumaly přes 1,5 milionu složek integrovaných v 9 936 firmwarových obrazech, jež se objevují v 558 různých produktech společnosti Huawei,“ stojí ve zprávě Finite State.

Poznatky vyplývající ze studie jsou šokující, čínskou vládu nicméně nijak neusvědčují z probíhající špionáže. Výzkumníci neobjevili žádná přímo nainstalovaná „zadní vrátka“ (backdoor). Nenašli ani kód, který by čínským tajným službám umožňoval odposlouchávat soukromé hovory politiků, krást data či sledovat důležitá strategická jednání. V čem jsou tedy zjištění obsažená ve studii šokující, když v technologiích Huawei žádná zadní vrátka nejsou? Spočívají ve slově: ZATÍM. Bezpečnost těchto výrobků je tak špatná, že zadní vrátka tam kdykoliv mohou být doinstalována, aniž by si majitel přístroje jakékoliv akce všiml.

Odpovědí firmy Huawei na výzkum Finite State byla její vlastní studie. „Neobvyklý přístup společnosti Finite State nás překvapil a zklamal. Nemůžeme jednoznačně stanovit, zda společnost zkoumaný software získala z důvěryhodných zdrojů nebo se zaručit za jejich věrohodnost,“ kritizoval Huawei ve své zprávě závěry výzkumu Finite State.

Šéf bezpečnostního oddělení americké pobočky Huawei Andy Purdy v rozhovoru pro stanici Fox Business News nicméně připustil, že některé závěry vyplývající z této zprávy mohou být pravdivé a vydání zprávy dokonce přivítal: „Faktem je, že je to přesně ten typ zprávy, který vznikne, když produkt putuje k zákazníkům… Je to přesně to, co odhalíte… Dobrá zpráva je, že přesně to Amerika potřebuje při zavádění bezpečné komunikace a sítě 5G – nezávislé ověřování všech produktů.“

Zadní vrátka otevřená, zlatým klíčem podepřená

Největší riziko ze všech bezpečnostních problémů představují takzvaná „zadní vrátka“ přímo v samotném hardwaru. Tzv. „backdoor“ totiž umožňuje obejít běžné zabezpečení nebo šifrování daných zařízení.

Forenzní odborníci na kybernetickou bezpečnost používají při hodnocení rizika škálu od jedné do deseti: jednička představuje minimální riziko, desítka naopak riziko kritické.

„Kritické riziko znamená, že kontrolu nad daným zařízením může útočník zcela převzít, aniž by si toho vlastník musel všimnout,“ vysvětluje expert na kybernetickou bezpečnost Pavol Lupták ze společnosti Nethemba.

Téměř třetina (27 procent) zařízení Huawei vykazovala vysoké či kritické množství bezpečnostních slabin.

To znamená, že zadní vrátka lze do zařízení firmy Huawei instalovat kdykoliv, a to i na dálku. Jediné, co k tomu útočník potřebuje, je připojení ke stejné internetové síti, ke které je připojeno i dotyčné zařízení.

Tato kritická bezpečnostní rizika má na svědomí využití velmi zastaralého a slabého kódu ve firmwaru přístrojů – právě onoho kódu, jenž zajišťuje kontrolu nad zařízením samotným. Backdoory přitom do zařízení nemusí vkládat přímo příslušníci vládních bezpečnostních složek. Každý schopnější kyberzločinec by potenciálně mohl požadovat výkupné za to, že například nepřevezme kontrolu nad jadernou elektrárnou nebo letovým dispečinkem, a nebo obojím najednou.

Kromě nebezpečně zastaralého kódu se u každého zkoumaného firmwaru podařilo odhalit 102 bezpečnostních problémů (common vulnerabilities and exposures, zkráceně CVEs). To znamená, že existuje 102 možností, jak převzít nad zařízením kontrolu a jakkoliv ho využít. Může pak sloužit k odposlouchávání nebo třeba jako detonátor.

Huawei se v minulosti opakovaně zavázal k tomu, že zabezpečení svých produktů posílí. Přislíbil dokonce investici ve výši dvou miliard dolarů do vývoje lepší technologie. K tomu však nikdy nedošlo. Vývojáři společnosti Huawei místo toho stále kreativnějším způsobem obcházejí zabezpečení svých zařízení, například prostřednictvím domnělých bezpečnostních updatů, které ale místo nového kódu obsahují kód starý deset let, jehož slabiny jsou již velmi dobře známé. Anebo bezpečnostní problém opraví tak, že ho přejmenují na „safe“ neboli „bezpečné“.

„Přístroje firmy Huawei obsahují násobně více bezpečnostních slabin než obdobná zařízení od jiných firem, navíc mají dvakrát až osmkrát více bezpečnostních slabin už v první den pořízení jejich výrobku. Zařízení společnosti byla taktéž jedinými, která obsahovala pevně kódované defaultní přihlašovací údaje a šifrovací klíče,“ stojí ve zprávě Finite State.

Záměr

Není jasné, zda za řadou bezpečnostních rizik obsažených ve výrobcích Huawei stojí záměr čínské vlády, technologická kapacita společnosti nebo nedostatečná vůle poskytnout bezpečnější kódování. Jinými slovy zda jde o slabinu, nebo zřejmý úmysl. A právě to lze velmi těžko prokázat. 

Ta nejlepší „zadní vrátka“ totiž působí jako pouhé přehlédnutí bezpečnostních nedostatků a jakýkoliv záměr lze na sto procent popřít. Bonusem je skutečnost, že nekvalitní kódování pak poskytuje vládám a bezpečnostním službám, jež by chtěly zneužít výrobky firmy Huawei, výhodu hodnověrného popření svých nekalých úmyslů. 

„Je tu reálná hrozba, že v dobách míru je možné tyto slabiny využít k vydírání. A v dobách války ještě k mnohem závažnějším skutkům,“ varuje zpráva Finite State.

Tyto možnosti potvrzuje také český NÚKIB. „Technické a programové prostředky uvedených společností (Huawei Technologies Co., Ltd. a ZTE Corporation) jsou dodávány do informačních a komunikačních systémů, které mají či mohou mít z hlediska bezpečnosti státu strategický význam. Narušení bezpečnosti informací, tedy narušení dostupnosti, integrity nebo důvěrnosti informací v takových informačních a komunikačních systémech může mít zásadní dopad na bezpečnost České republiky a její zájmy,“ uvádí úřad ve svém varování z prosince minulého roku.

Ve vzduchu tak visí otázka, jak moc je pravděpodobné, že by Huawei poskytl svá zařízení k využití orgánům čínské vlády. Odpověď není složitá, ona pravděpodobnost je velká. 

Zákon o čínské národní zpravodajské službě z roku 2016 ukládá všem firmám povinnost „podpořit, asistovat a spolupracovat se zájmy národní rozvědky“.

Huawei to však kategoricky odmítá. „Čínské právo neposkytuje vládě pravomoc k tomu, aby nutila telekomunikační společnosti k instalování backdoorů, odposlouchávacích zařízení či podílení se na jakémkoliv chování, které by mohlo kompromitovat telekomunikační vybavení jiných zemí,“ reagovala společnost na výše citované  obavy, které údajně vznikly ze špatného pochopení čínských zákonů.

Na jednu stranu jde o pravdivé vyjádření. Samotný Huawei nepotřebuje instalovat skryté přístupy. Stačí, když k dotyčným zařízením poskytnou přístup někomu jinému. A to prostřednictvím aktualizací, oprav chyb či jiných online aktivit.

„Čínské IT společnosti jsou prodlouženou rukou státního aparátu, jsou napojené na státní instituce ČLR, plně podporují čínskou komunistickou stranu. Poznatky, které jsme získali od doby vydání našeho varování, tento záměr potvrdily,“ vysvětluje Michal Thim z oddělení strategických informací a analýz Národního úřadu pro kybernetickou a informační bezpečnost.

Sinoložka Olga Lomová zákon o čínské zpravodajské službě vidí podobně: „Při existenci tohoto zákona si neumím představit, že firma, kterou by čínsky stát požádal, aby udělala to či ono, by to odmítla. Neodpovídá to tamní realitě.“ 

Mobilní telefon Huawei P8, Zdroj: Flickr

Visegrádská neshoda

Ačkoliv české úřady tvrdí, že bezpečnostní hrozbu berou vážně, mnohé orgány státní správy se zařízeními firmy Huawei nadále pracují. Jako například ministerstvo vnitra, které nám používání výrobků Huawei potvrdilo a odůvodnilo následovně: „Po vydání varování Ministerstvo vnitra zpracovalo analýzy rizik technických a programových prostředků zmíněných ve varování a na základě výsledků stanovilo opatření ke snížení příslušné míry rizika. Součástí opatření jsou například: šifrování uložených a přenášených dat, zvýšený bezpečnostní monitoring prostředků zmíněných ve varování, důsledný patch management ICT infrastruktury, důsledný management řízení změn ICT infrastruktury, diverzifikace prostředků zmíněných ve varování (tedy nákup stejného prostředku, ale od jiného výrobce).“

Podobně vážně bere Huawei jako bezpečnostní riziko pro stát i Polsko.

Polské úřady začátkem letošního ledna zadržely dva zaměstnance společnosti Huawei a posléze je obvinily z údajné špionáže pro Čínu. Jednalo se o Piotra D., bývalého pracovníka zpravodajských služeb a manažera u telefonního operátora Orange, a Wejing W., jenž dohlížel nad oddělením veřejných zakázek v polské pobočce Huawei. Oba nyní čelí hrozbě až desetiletého trestu vězení.

Tato kauza představuje pro Huawei tvrdou ránu. Podle neoficiálních zdrojů čínský telekomunikační gigant nyní zvažuje přesun z Polska do Maďarska, pokud se situace brzy neuklidní. Maďarsko je totiž zřejmě jedinou výjimkou v EU, jeho úřady i nadále považují Huawei za bezpečného a spolehlivého partnera. A o tom bude následující článek z naší série o Huawei.

Autoři textu: Pavla Holcová, Anita Komuves a Tamas Bodoky (Átlátszo), Wojciech Cieśla (Fundacja Reporterów)
Autorka grafiky: Lenka Matoušková

Tento text vznikl za podpory mezinárodního investigativního projektu GACC (The Global Anti-Corruption Consortium) zaměřeného na země Visegradu. Na projektu spolupracují Átlátszo a Direkt36 z Maďarska, polská Fundacja ReporterówInvestigatívne centrum Jána Kuciaka ze Slovenska a česká investigace.cz.