華為「網路安全透明度中心」在歐洲正式揭幕

華為(Huawei)設置於比利時布魯塞爾(Brussels)──也是歐盟神經中樞──的「網路安全透明度中心」(Cyber Security Transparency Center)在3月初正式揭幕。此舉可能被冷嘲熱諷地認為,是近來負面消息不斷的該公司為了挽救在歐洲電信營運商與終端客戶之間的聲譽;而確實很多獲邀參與開幕儀式的媒體記者也是這麼想。

其實華為有點無辜…因為早在2018年5月,該公司就已經透露將成立該中心的訊息。無論如何,這個時間點既可疑又偶然;連華為輪值董事長胡厚崑(Ken Hu)在開幕式致詞中都表示:「現在看來這個據點比任何時候都重要。」而儘管有人私下議論這場開幕式只是高調的行銷活動,它也讓華為擁有了不少反擊詆毀者的彈藥。

20190410_Huawei_NT31P1

眾家媒體齊聚華為布魯塞爾網路安全透明度中心的大廳準備出發參觀。
(圖片來源:EE Times)

這場開幕式邀請了超過200位來自政府主管機關、電信業者、一般企業以及媒體的代表,不僅提供了華為大量曝光的機會,也提供了一個公開平台,讓該公司能針對「竊取IP」、「在網路設備裝『後門』監聽」等指控做出反駁。華為在開幕式當天強調,這些指控純屬子虛烏有的謠言,是「無法驗證」的非事實。

此外華為也趁著該中心的開幕對世界喊話:「在網路安全、技術標準、驗證系統以及法規支持方面的缺乏共識,為ICT基礎建設的安全帶來前所未有的挑戰;」胡厚崑呼籲各界共同合作,並強調:「我們能攜手改善整個價值鏈的安全性,並協助建立相互的、可檢驗的信任。」

「透明度中心」到底有啥用?

華為全球網路安全與隱私權部門總裁John Suffolk表示,新開幕的透明度中心有三大目的:「這是一個協作中心、評估中心,也是一個會議中心。」

在帶領媒體參訪透明度中心的旅程中,華為展示了一個「安全室」(驗證中心),讓客戶(或以及由客戶選擇的獨立安全專家)查看該公司的軟體原始碼以進行驗證。

20190410_Huawei_NT31P2

華為代表率領媒體參觀透明度中心的「安全室」(左);圖右為該設施門口的安全告示。
(圖片來源:EE Times)

而且Suffolk澄清,當戶、電信營運商與合作夥伴在安全室中檢視華為的軟體碼時,該公司不會監看其行動:「我們認為這是正當的,並給予他們完全的彈性;他們可以自由使用任何一種工具、做任何需要做的事情,直到他們滿意。」

那麼誰會使用那些安全室?華為婉拒提供特定名稱,表示不能在未經客戶允許的情況下透露其身份。華為強調,該透明度中心是由該公司出資建立,不受政府監督;而此機構提供評估功能的目的是客戶服務,不會公開披露客戶可能的發現(無論是好是壞或有疑問的),或是他們如何評估華為的原始程式碼。

Suffolk指出,華為的透明度中心非常樂意與任何對象合作,包括政府機關;使用其評估室不需要取得授權,無論是新工具或驗證模型的開發者等各方夥伴「都可以到這裡來嘗試破解我們的原始碼。」而他也表示,華為除了提供實體安全室,也允許其賓客帶他們自己的團隊或自己聘請的專家進來:「我們完全沒問題。」

只是「安全劇場」?

但針對華為的透明度中心,有軟體專家質疑那只是一種提供心理安慰作用的「安全劇場」(security theater),就像是美國運輸安全管理局(TSA)要求機場通關旅客脫下皮帶與鞋子進行安檢,讓人感覺比較安全、但不見得有實質效果,華為藉由成立網路安全透明度中心保證其開放性,可能也只是為了製造那種「感覺」。

如曾經在日本車廠豐田(Toyota)車輛發生多起突然加速意外事件中擔任專家證人、並花了好幾個月檢驗豐田原始程式碼的嵌入式系統工程顧問公司Barr Group技術長Michael Barr就警告,看到了軟體原始碼並不能保證也能無限制地深入查看華為硬體內部。

「他們可以把他們有的所有軟體原始碼放進去,也可以在不安全的硬體內執行各種東西;」Barr表示:「除非你有方法能實際打造每一種版本,並比較二進位檔案(binaries)以及唯讀記憶體(ROMs),否則不會知道你是否看到了所有檔案以及正確的檔案。」

換句話說,就算測試了原始程式碼,最後還是可能有其他東西被安裝在網路設備中。對此華為的Suffolk表示,這確實是一個可能存在的問題,但他也指出有一種稱為Hash的產業標準模型,能藉由產生匹配碼(matching key)來比較兩個檔案;還有一種稱為「等效二進數」(binary equivalent)的方法,能揭露是否建立了原始碼的完整映像。

而Suffolk也坦承,這仍是一個產業界未解決的大問題,因為當設備開始下載其他軟體,會越來越難取得與原始碼的「完美匹配」。

總而言之,一旦華為的網路設備安裝了來自全球供應鏈的資料庫、軟體、晶片與零組件,「通常裡面只有30%是華為自己的技術;」Suffolk表示:「不過我們不只看那30%的華為技術,我們必須向你證明,所有已知的安全漏洞都被排除。」

華為有一種機制能掃描資料庫並排除任何已知安全漏洞,但Suffolk表示,問題在於雖然產業界在2017與2018年間就提出了3萬個軟體安全漏洞,「還有其他漏洞是未知的;」不可能斷言任何一種設備沒有安全漏洞,「沒有完美的答案。」

華為會是中國「特務」?

而因為中國政府頒布的一項新法令,要求所有中國企業──特別是電信業者──在必要時需接受政府指示參與情報工作,並提供所有政府要求的資料,在開幕記者會上就有一位記者提問華為是否會要求北京修法或是提供更明確的規範。

對此曾經擔任英國政府資訊長(CIO)七年的Suffolk表示,任何國家的法律都需要時間吸收並且澄清其意圖。與Suffolk一同接受記者提問的華為西歐地區總裁彭博(Vincent Pang)則是態度強勢地堅稱:「過去三十年,我們從未接到過中國政府要求將資料交回中國的指令,這是事實而且(指控)沒有根據。」

20190410_Huawei_NT31P3

華為全球網路安全與隱私權部門總裁John Suffolk (左),以及西歐地區總裁彭博在透明度中心開幕記者會上接受提問。
(圖片來源:EE Times)

彭博還引述了中國外交部發言人的聲明,後者一再重複表示中國政府從未指示設備業者安裝『後門』或是將資料帶回中國。他也用華為創辦人暨執行長任正非在今年1月接受媒體訪問時的說法,作為華為無辜的最有力佐證──任正非當時表示,北京從未要求他或是華為分享關於該公司合作夥伴的「不當資訊」。

當時任正非並承諾:「我個人永遠不會損害客戶的利益,我與我的公司也不會答應這種(來自北京的)要求。」彭博轉述了任正非的談話,表示如果政府向任正非施壓,破壞華為與客戶之間的信賴關係,任正非不只會拒絕,還會關閉他的公司,而彭博認為沒有比這個更強大、更明確的證據能證明那種詐欺行為是該公司禁區──就算現行中國法令將之明定為義務。

華為其他的安全據點

根據Suffolk的說法,在一開始華為與不同國家政府接洽、提出在那些國家建立網路安全據點時,他們都拒絕了;不過從2010年以來,華為已經在包括英國、加拿大、德國等地建立了安全中心,在中國則是更早。

華為將布魯塞爾視為「重要的歐洲窗口」,在一年以前就開始籌備安全中心的建立;該公司並解釋,每個安全據點都有各自專注的解決方案,因此外觀與運作方式都不會一樣。Suffolk舉例指出,位於英國的據點是華為研發中心的延伸,為華為開發團隊提供技術諮詢與建議,同時代表英國的客戶進行評估;德國安全中心則是專注於針對某些特定標準的規格驗證。

布魯塞爾的透明度中心開幕前,華為的客戶是在哪裡評估原始程式碼?Suffolk表示:「我們的中國總部一直有提供安全室,讓電信營運商、企業與第三方測試業者預約使用,他們想待多久就待多久;雖然我們沒有提供酒店的客房服務,總部的4萬個工程師都很願意提供支援,協助他們檢查設備架構與通訊協議。」而現在,客戶們可以不必出差到中國。

本文同步刊登於電子工程專輯雜誌2019年4月號;編譯:Judith Cheng

(參考原文:Huawei Pitches Alternative Reality,by Junko Yoshida)

延伸閱讀