2012年8月2日消息,华为就美国黑客关于华为路由器易被破解的言论做出回应,表示公司采用的安全策略是严密的。
上周末在拉斯韦加斯举行的Def Con黑客年会上,与会者演示了通过某些华为路由器入侵网络的方法。这被Recurity Labs负责人Felix “FX” Lindner形容为送给黑客的礼物。
华为发布声明对此作出回应。华为在声明中称,公司了解媒体对某些小型华为路由器存在安全漏洞的报导,正试图对相关报导进行核实。
华为称,公司采用了严密的安全策略和规则来确保客户的网络安全性,相关做法既符合行业标准,也遵循了安全风险和突发事件管理方面的最佳实践。
黑客大会披露华为路由器存在严重安全漏洞
安全公司Recurity Labs的负责人费利克斯·林德纳(Felix Lindner)是发现这些安全漏洞的两位研究人员之一。他说,这些安全漏洞包括一个会话劫持安全漏洞、一个堆溢出安全漏洞和一个堆栈溢出安全漏洞。这些 安全漏洞是在华为AR18和AR29系列路由器中发现的。利用这些安全漏洞能够在互联网上控制这些设备。
林德纳称,华为是世界上增长最迅速的网络和电信设备提供商之一。全球一半的互联网基础设施都是华为生产的设备。
这位研究人员过去曾分析了思科的网络设备的安全性。他解释说,他分析的华为设备的安全性是迄今为止“最糟糕的”。他说,这些设备肯定包含更多的安全漏洞。
林德纳与Recurity Labs的安全顾问格雷戈尔·科夫(Gregor Kopf)一起在Defcon会议上发表了讲话。这两位研究人员指出,在从固件的代码到把格式数据写成串(函数指令)的过程中有1万多个调用。这个函数是以不安全而闻名的。
丹·卡明斯基(Dan Kaminsky)在2008年因在全球DNS(域名系统)中发现一个重大安全漏洞而闻名并且以前曾为思科工作。卡明斯基称:“这个材料是令人怀疑的。如果我从头开始教某人如何编写二进制安全漏洞,这些路由器可能是我展示这些安全漏洞的设备。”
卡明斯基称,林德纳显示的是我们学习了15年的安全的编写代码的做法,应该做的和不应该做的事情,这些一直没有被华为的工程师采纳。
据华为的网站称,AR系列路由器是企业应用的。AR18路由器是小企业和家庭企业使用的。
Recurity Labs的研究人员在讲话中特别指出,他们没有测试华为的NE系列路由器等大型设备,因为他们得不到这种设备。这些设备是为电信数据通信网络使用的。
出自【比特网】,原文链接:http://sec.chinabyte.com/33/12396033.shtml
标签: Defcon, 华为, 华为路由器, 破解, 路由器, 路由器破解, 黑客