En mi humilde opinión, es en el mejor interés de Huawei (y de todos los demás fabricantes de equipos) impedir que cualquier parte infrinja la seguridad de forma remota. Todos los actores gubernamentales monitorean las comunicaciones al complacer al ISP & Telco's via force.
¿Cómo pueden los fabricantes de equipos proporcionar garantías de que las vulnerabilidades de acceso remoto intencional no están diseñadas en sistemas para su gobierno nativo?
Con los sistemas complejos de hoy en día es imposible proporcionar una garantía de seguridad completamente verificable. Incluso si el código fuente completo se ofrece para la auditoría (que Huawei parece ofrecer ) esto podría detectar las puertas traseras obvias, pero no detectará errores que puedan acechar en el interior y que también podrían usarse para proporcionar puertas traseras al sistema. Y tampoco detectará explícitos o implícitos (es decir, errores) que se agregaron en los parches a menos que estos parches sean auditados nuevamente, lo cual es costoso y requiere mucho tiempo. Y esto solo cubre el software; también existe el hardware y el firmware, que también son complejos y pueden tener puertas traseras explícitas o implícitas.
Aún así, proporcionar el software y los documentos de diseño para la auditoría en realidad podría agregar suficiente confianza de que el sistema no tiene puertas traseras explícitas. Cuando se realizan evaluaciones de criterios comunes, es común que el auditor tenga acceso a software y documentos de diseño, al menos para los niveles más altos de certificación como EAL4. Por lo tanto, si bien no es totalmente seguro o verificable formalmente, se puede considerar lo suficientemente seguro para el propósito y el proveedor se puede considerar confiable.
Pero, por supuesto, esto significa que no solo el proveedor tiene que ofrecer todo este acceso (muchos lo hacen) sino que en realidad existe un interés en considerar que el proveedor es confiable. Hay varios factores que pueden jugar contra esto: factores políticos y económicos, pero también el objetivo de reducir los riesgos potenciales. Los primeros deben ser claros, es decir, uno puede usar las restricciones comerciales como un arma política y también puede querer favorecer a los proveedores locales en contra de los proveedores extranjeros por razones económicas.
Pero reducir el riesgo también es relevante: uno no quiere tener un proveedor con vínculos potenciales o dependencia de un político, económico y militar para tener control sobre infraestructura sensible o crítica. El vendedor podría ser considerado confiable ahora. Pero esto podría cambiar si aumentan los conflictos y, en este caso, la fuente tiene una ventaja si pudiera controlar una parte esencial de su infraestructura, como la red móvil, el equipo de comunicación, las estaciones de energía eléctrica, etc. Esto es especialmente cierto con los proveedores que se encuentran en países donde es probable que el gobierno atraiga o presione al vendedor para que juegue en el interés de los estados, es decir, China, Rusia, pero también (como también lo ha demostrado el caso Snowden), EE. UU. empresas y el ejército).
Lea otras preguntas en las etiquetas phone