Huawei 보안 UK 문제는 보안 코딩의 필요성을 보여줍니다

에 처음 게시되었습니다. 정보화 시대.이 버전은 Wind River Systems의 실시간 운영 체제 제품인 VxWorks에 대한 지속적인 보안 지원과 관련된 포지셔닝을 수정한 업데이트된 버전입니다.

영국 화웨이 사이버 보안 평가 센터의 최근 보고서에 따르면 화웨이의 소프트웨어 엔지니어링 프로세스 내에서 주요 보안 문제가 확인되었습니다.이 중요 보고서에 대한 뉴스의 대부분은 전년도 해결되지 않은 문제에 초점을 맞추고 있지만, 더 위험하고 간과되는 문제는 Huawei가 채택한 보안 코딩 지침 및 관행이 명백히 부족하다는 것입니다.하지만 이 문제는 고칠 수 있습니다.

중국 통신 대기업 화웨이에 대한 뉴스는 계속 악화되고 있습니다.미국은 화웨이의 향후 정부 업무를 전면 금지했지만 영국은 화웨이의 장치와 코드에 있는 근본적인 결함 중 상당수가 고칠 수 있다는 사실을 더 잘 받아들이고 있습니다.영국은 화웨이 제품의 보안 문제를 평가 및 해결하고 제품을 생산하기 위해 2010년에 화웨이 사이버 보안 평가 센터 (HCSEC) 를 설립했습니다. 연례 보고서 그들에 대해.하지만 올해 보고서는 특히 끔찍했습니다.

뉴스에서 2019 HCSEC 보고서에 초점을 맞춘 것은 전년도 보안 결함이 거의 해결되지 않았다는 사실과 관련이 있습니다.여기에는 곧 단종될 윈드 리버 (Wind River) 의 이전 버전의 VxWorks 실시간 운영 체제를 사용하는 것도 포함됩니다.Huawei는 이 문제를 해결하겠다고 약속했지만 (그리고 Wind River Systems로부터 지속적인 지원을 받게 될 것입니다), 이는 영국 통신 인프라 대부분에서 여전히 핵심 구성 요소로 남아 있습니다.

대부분의 주류 언론이 간과하고 있는 것으로 보이는 중요한 요소 중 하나는 회사의 새로운 소프트웨어 및 하드웨어 개발 및 배포 과정에서 존재하던 근본적으로 고장난 프로세스일 수 있다는 것입니다.보고서는 Huawei가 내부 엔지니어링 방법을 처리하는 방식에 “중대한 기술적 문제”가 있다고 지적합니다.

보고서에 요약된 이러한 기술적 문제의 몇 가지 예를 살펴보겠습니다.화웨이가 해낸 최고의 일 중 하나는 엔지니어와 프로그래머가 새 코드를 배포하는 데 도움이 되는 보안 코딩 지침을 만든 것이었다고 말할 수 있습니다.이러한 지침에는 신뢰할 수 있는 라이브러리의 알려진 안전한 버전의 시스템 기능 및 프로세스를 사용하는 것과 같은 광범위한 모범 사례가 포함되며, 알려진 취약점이 있는 변종은 사용하지 않습니다.이론상으로는 훌륭한 일이지만, 영국의 화웨이 생산 시스템을 실제로 평가한 결과 이러한 지침은 프로그래머에게 전달된 적이 없거나 프로그래머가 무시하거나 단순히 시행되지 않은 것으로 나타났습니다.

이 보고서에서는 공용 응용 프로그램 내의 특정 메모리 처리 기능을 살펴보았습니다. 이 경우에는 사용자가 프로그램의 기능으로서 입력을 추가하도록 초대하는 메시지 보드 집합을 살펴보았습니다.사용자 입력 영역을 “신뢰할 수 있는” 영역으로 취급해서는 안 된다는 점을 감안하면 Huawei 내부 지침에 따라 해당 영역에는 보안 코드만 포함될 것으로 예상되었습니다.특히 테스터들은 프로덕션 시스템 내에서 메모리 처리 함수 memcpy (), strcpy () 및 sprintf () 를 직접 호출하는 방법을 살펴보았는데, 이후 버퍼 오버플로우와 같은 심각한 보안 문제가 발생할 가능성이 있는 것으로 알려져 있습니다. 1988년 .

놀랍게도 17개의 안전한 memcpy () 함수를 5,000번 직접 호출했지만, 안전하지 않은 12가지 변종을 600번 사용하기도 했습니다.다른 함수들과 거의 같은 비율이었습니다.1,400개의 안전한 strcpy () 호출이 있었지만 알려진 취약점이 있는 잘못된 호출도 400개 있었습니다.그리고 sprintf () 의 안전한 사용은 2,000건인데 반해 안전하지 않은 경우는 200건이었습니다.이러한 함수의 사용이 대부분 안전하다는 점은 좋지만, 그래도 전체 코드의 약 20% 가 알려진 공격에 취약한 상태로 남아 있습니다.이는 거대한 위협 표면 공격 영역이며, 또한 세 가지 메모리 처리 함수의 직접 호출만 고려하고 함수 포인터를 통한 간접 사용 사례는 고려하지 않습니다.감사자들은 이러한 특정 함수만 살펴보았지만, 선택된 세 가지 메모리 처리 함수에만 문제가 있을 가능성은 거의 없습니다.

Huawei가 프로그래머를 위한 모범 사례 가이드를 만든 것은 좋지만 아직 해야 할 일이 더 많다는 것은 분명합니다.보안 기대치를 개략적으로 설명하는 것은 한 단계이지만, 이러한 가이드라인을 적극적으로 준수하고 개발 집단에 친숙한 경우에만 효과적입니다.Huawei는 내부 Huawei 가이드라인을 준수하는 방법에 대한 기본 사항을 간과하는 데 그치지 않고 프로그래머를 효과적으로 교육하겠다는 약속을 함으로써 보안을 개선하는 데 상당한 진전을 이룰 수 있습니다.그들은 일반적으로 보다 안전하게 코딩하는 방법을 시연하는 데 한 걸음 더 나아가야 합니다.코더는 좋은 (안전한) 코딩 패턴과 나쁜 (안전하지 않은) 코딩 패턴에 대해 충분한 교육을 받아야 하며 회사에서 권장하는 내용을 매번 실천할 책임을 부여해야 합니다.

HCSEC 보고서에 설명된 많은 특정 코딩 문제는 다음의 일부로 해결되고 시행됩니다. 시큐어 코드 워리어 플랫폼: 프로그래머와 사이버 보안 팀이 항상 보안 코드를 배포하고 유지하도록 교육합니다.사용자 입력을 절대 신뢰하지 않는 것, 항상 기존 라이브러리에서 함수를 가져오는 것, 서버로 전달하기 전에 모든 입력을 삭제하는 것, 기타 여러 가지 안전한 코딩 관행과 같은 개념이 플랫폼 내에서 지속적으로 입증되었습니다.또한 매우 구체적인 취약점을 살펴보고 이를 방지하고 완화하는 방법을 단계별로 보여줍니다.

Huawei와 같은 회사는 숙련된 교육 외에도 DevSecOps 솔루션을 활용할 수 있습니다.회사의 보안 가이드라인에 맞게 사용자 지정된 보안 코딩 레시피를 활용하여 IDE에 직접 실시간 코칭을 추가하며, 개발자가 코드를 작성할 때 코딩 '주방'에서 부셰프 역할을 합니다.이러한 접근 방식은 기술 수준에 관계없이 모든 Huawei 프로그래머가 더 나은 코드를 작성하고 잠재적 취약점을 식별하는 데 도움이 될 수 있으며, 동시에 Huawei의 보안 전문가가 정책을 준수하고 명령을 실행하는 데 도움이 되는 레시피로 구성된 '요리책'을 만들 수 있습니다.

화웨이의 문제에서 얻은 핵심 교훈은 프로그래머가 보안 코딩 지침을 모르거나 단순히 좋은 코딩 관행을 따르는 방법을 모른다면 보안 코딩 지침을 만드는 것은 의미가 없다는 것입니다.이 사례의 경우 내부 모범 사례 가이드라인은 화웨이의 자체 지라오후로 밝혀졌는데, 이는 서구에서는 이를 가리킵니다.”종이 호랑이'.스타일은 많았지만 실체는 없는 문서였습니다.실제 치아를 만들기 위해서는 적절한 실용적인 도구와 실제 교육 프로그램이 필요합니다. 실습을 통해 지속적인 지식과 기술을 쌓을 수 있습니다.