ההחלטה המוזרה לגבי Huawei ו-ZTE

בארה”ב הוחלט לאחרונה לאסור על גופי ממשל לרכוש ציוד מחברות Huawei ו-ZTE. להחלטה קדמה חקירה מקיפה שערכה ועדה בארה”ב, שבמהלכה זומנו ראשי החברות לתשאול בנושאי קניין רוחני, והחשד הכבד שחברות אלו יצתתו (דרך הציוד שימכרו) לאותם גופים שימכרו להם את הציוד – ויעבירו את המידע לסין. ב-CBS במסגרת תוכנית “60 דקות” פרסמו כתבה על הנושא, הנה הכתבה (למי שאינו רואה את הכתבה, מומלץ לבטל זמנית את Adblock, מבטיח שלא יצוצו פרסומות):

אישית אני בהחלט מבין את דאגות הממשל בארה"ב (החלטה דומה התקבלה באוסטרליה לגבי אותן חברות). הסינים ידועים כגונבי מידע סדרתיים בכל נושא אפשרי, וזה הגיע עד להעתקות של מטוסי חמקן מסוגים שונים, טילים, מכוניות ואפילו לנושאות מטוסים. כל מה שאפשר להעתיק בצורה חוקית או לא – הסינים בהחלט יעתיקו, יגנבו, יצתתו וכו'.

בממשל עצמו כמובן לא מסתפקים באיסור על גופים ממשלתיים. חברות הסלולר הגדולות כבר קיבלו רמזים (כפי שאפשר לראות ככתבה לעיל) שימצאו חברות אחרות לרכוש מהן ציוד תקשורת.

את כל זה אני מבין.

משהו אחד אני לא מבין והוא עניין הקוד.

טכנית, רוב המחשבים מיוצרים כיום בסופו של דבר בסין בחברות כמו Foxconn ואחרות. רוב הציוד עצמו גם מיוצר בסין (כמו עדשות למצלמות סלולריות, לוחות, פלסטיקים וכו') וחלק גדול מהצ'יפים שנמצאים במחשבים וטלפונים סלולריים גם מיוצרים בסין.

אם הממשל הסיני היה מעוניין לדחוף בכל הכח מערכות ריגול אחר מידע, כל מה שהם היו צריכים לעשות זה:

  • להטמיע קוד "מאזין" בתוך אחד מהדרייברים של יצרן צ'יפים סינים (כמו Realtek ואחרים), את הקוד הזה מכניסים לתוך Image של דיסק קשיח שאמור להיות משוכפל עבור אותם מחשבים.
  • "להמליץ" ליצרן הציוד להכניס את הקוד שהממשל הסיני פיתח לתוך חבילת הדרייברים ל-Windows שאותו יצרן מפתח, אך לא באופן ישיר (לדוגמא, כחלק מ-Online update) כך שהדרייבר עצמו יהיה "כשר", אך החלק של ה-Update ידווח "הביתה" במועד מסוים מה קורה ואם צריך להעביר לו עדכון שיתחיל באמת להאזין.
  • "להמליץ" ל-Foxconn או יצרני מחשבים אחרים לוודא כי הדרייברים ה"חדשים" יהיו בתוך אותם דיסקים קשיחים.

(סביר להניח שבנקודות לעיל יש מספר כשלים, אבל אני מדבר באופן כללי) ובכך יכול הממשל הסיני להאזין כרצונו למידע שהמשתמש מכניס/מוציא. כמובן שאם יעלו על כך המשתמשים או היצרנים במועד יותר מאוחר, תמיד ניתן יהיה להאשים כמה עובדים זוטרים ולפתר אותם ו"להתנצל". בין כה לחברה שמוכרת את המחשב (HP/DELL וכו') אין ממש לאן לעבור מבחינת יצור זול.

זה נשמע הזוי כל העניין? אולי, אבל הוא היה קיים בעבר לפני כשנה וחצי בצורה מעט שונה: סדרת מחשבים של HP שהחלה להימכר, נמצאה לאחר כחודש נגועה בוירוס, כלומר איך שקנית מחשב ופתחת אותו – היה לך וירוס במחשב. הוירוס לא היה חדש והיצרן התנצל על כך בפני HP, אבל זו דוגמא מעולה לכך שמה שאני מתאר תאורתית יכול בהחלט לקרות.

כשאנחנו מדברים על ZTE ועל Huawei חשוב שנזכור כי 2 החברות לא ממש "צדיקות". חברת Huawei בעבר העתיקה ראוטרים של סיסקו בשלמותם, מהמדריך למשתמש, דרך הקופסא, הצ'יפים והלוח ועד החיבורים, וסיסקו כמובן תבעה אותם על כך. ל-ZTE מצד שני לא חסרים פאקים מכאן עד הודעה חדשה בציודים רבים שהם מייצרים שישנה גישת root עם סיסמא קבועה וגלויה שמאפשרת גישה מרחוק.

אבל במקום לבטל חוזים ופוטנציאל רכישה עם 2 החברות, אפשר לעשות משהו אחר שיועיל ל-2 הצדדים. מה אפשר לעשות? משהו פשוט: אם Huawei מעוניינת למכור ציוד שלה, שתתן את כל קוד המקור (לא רק למערכת הפעלה, אלא גם לחלקי קוד שהם מקבלים מיצרנים אחרים) לגוף עצמאי מוסכם שיעברו על הקוד שורה שורה כדי לוודא שאין שום אפשרות לציוד "להתקשר הביתה" בחזרה ליצרן או לכל מקום אחר. כל עדכון קוד יעבור גם דרך אותו גוף עצמאי לבדיקה והקוד שיותקן במערכת יהיה אך ורק קוד שאושר על ידי הגוף העצמאי הנ"ל.  כך בעצם חוסמים אפשרות שהציוד ישמש לצרכי ריגול סיניים.

מיקרוסופט בעבר נחשדה על ידי מדינות רבות בכך שיש בתוך Windows קוד של NSA ושאר סוכנויות לרגל אחרי המשתמשים ולהעביר את הקוד לגופי הממשל האמריקאיים. מה מיקרוסופט עשתה במקרים אלו? היא שלחה לנציגי הממשלות השונות את קוד המקור של Windows בצורה כזו שמתכנתים יכלו להעיף מבט על הקוד (אך לא להעתיק אותו בשיטת Copy/Paste). אני לא יודע כמה מדינות באמת בדקו את הקוד (גם לישראל הקוד הגיע למשרד האוצר בדואר מאובטח בכמה עשרות תקליטורים), אבל ברגע שמיקרוסופט עשו זאת, כל המתלוננים שתקו.

לעניות דעתי, החלטות כמו זו שהחליט הממשל בארה"ב ובאוסטרליה רק פוגעות בחברות שמעוניינות לרכוש ציוד ולהקים תשתית במחיר זול. את הקוד ניתן לבדוק, ואת החשש (המוצדק לעיתים) ניתן להפיג, ועדיף לעבוד כך מאשר חסימה מוחלטת של יצרן ובכך לגרום למקימי התשתית לשלם הרבה יותר ליצרנים אירופאיים (אריקסון) או אמריקאיים (סיסקו). אישית, קצת הפתיע אותי שישראל, אחת המדינות שיש בה חברות רבות המפתחות צ'יפים לתקשורת – אין בה אפילו חברה אחת שיכולה למכור ציוד לדור רביעי (4G), במיוחד בשוק שאין בו מתחרים רבים ושיכולים לנצל את ה"אמברגו" על הציוד הסיני לטובתם.

Comments

comments

7 תגובות בנושא “ההחלטה המוזרה לגבי Huawei ו-ZTE

  1. מצד אחד, החששות נכונים ומגובים, מצד שני, זה לא שארה"ב לא עושה את זה לאחרים.
    יותר מזה, ארה"ב עושה כפייה של החוקים שלה, מדיניות שלה וכו' על ממשלות זרות, כדוגמת הנושא של זכויות יוצרים וכו' …

    ארה"ב בוכה שהיא כבר לא מעצמה כלכלית, אבל כל האחריות על כך היא בידיים שלהם. הגישה שלהם של "כלכלה חופשית" (עאלק), גרמה לכך שיהיה ייצוא של מידע החוצה. למשל לנובו יצרה מערכות לIBM ובסוף קיבלה את היכולת לייצר לפטופים.
    הרבה חברות בעולם התחילו כיצרניות לחברות גדולות יותר, ולמעשה באיזשהו מקום הפסיקו לייצר עבור אותן חברות, והתחילו לייצר את אותו המוצר, או מוצר דומה בעצמן.

  2. יש כאן אספקט אחר לגמרי ואני די בטוח שישי חשש שהbackbone הסלולרי יהיה בשליטה זרה , שורש הבעיה הוא התנהלות החברות שהוא ממש לא בתחום התחרות הסבירה (ואני מדבר כיוון שאני עובד בתחום) הם תמיד ניכנסים במחירי הפסד עם סיבסודיה ממשלתית (פעם בעיקר של Huawei אבל כיום רק של ZTE) .
    חוץ מזה ההנחה שלך לגבי כרטיסי רשת וכו היא לא כול כך נכונה כיוון שהם בטח מקבלים ROM מוכן מחברת פיתוח מערבית וכול התכנון ההנדסי הוא מערבי (זה בטח גם נבדק די לעומק על ידי הספקים המערבים).
    יכול להיות ששורש הבעיה הוא התנהלות החברות הסיניות והסיבה שהממשל עומד מאחריהם.

  3. לגבי שתילת האפשרות לשתילת קוד זדוני בדרייברים, זה משהו שמאוד קשה ליישם בפועל. מרבית החומרה עובדת עם מערכות קוד פתוח (כדוגמת לינוקס קרנל) וזה מאוד קשה להכניס קוד זדוני שיחמוק מעיניהם של חברי הקהילה.

    • תמיד אפשר ליצור backdoor בקוד שאתה אפילו לא תשים לב אליו, כי זה נראה קוד C הגיוני לחלוטין, ורק כניסה ממש רצינית לקוד תראה לך את הבעיה, ואז תמיד אפשר להגיד שזה באג.

  4. אני לא רואה איך פתרון של גוף נפרד שבודק קוד, או הדיסקים ששלחה MS יכולים להרגיע אדם בר דעת:

    * כיצד בדיוק מוודאים שהקוד שאותו גוף קיבל לבדיקה, הוא גם הקוד שקומפל בפועל ומותקן בתוך כל המכשירים הנמכרים?

    * אם הקוד ש-MS נתנה לממשלות לבדוק הגיע בצורה כזו שאי אפשר לעשות Copy /Paste, האם זה אומר שגם אי אפשר לקמפל אותו או לסרוק אותו באמצעים אלקטרוניים, אלא רק לקרוא בעין אנושית?

    אם כך, איך יודעים שזה אותו הקוד שנמכר על הדיסקים של Windows?
    ובהתחשב בכמות הקוד זו לא דרך לעשות בדיקות אבטחה…

    בקיצור, לא פשוט…

    ואלכס – זה שמשהו מריץ לינוקס, לא אומר שלא הוכנס בו קוד זדוני.

    השאלה היא מי בנה את הלינוקס שהוא מריץ?
    להכניס קוד זדוני ל-kernel הראשי יהיה כמעת בלטי אפשרי בגלל כל העיניים שבודקות את הקוד, אבל כל יצרן חומרה יכול לעשות שינויים כעוות נפשו ולא לשחרר אותם.

    זו תהיה הפרה של רישיון ה-GPL, אבל אם אתה משתיל דלת אחרית כדי לרגל אחרי משתמשים שלך, כנראה שלא אכפת לך מרישיונות תוכנה.

    אישית, אני חושב שכל הסיפור הזה הוא עוד ניסיון אמריקני לכפות את חוקי זכויות יוצרים ופטנטים המטורפים, המזיקים, ולא מוסריים שלה על סין.

    ארה"ב היום בבעיה: מצד אחד, המודל הסיני מאפשר ייצור זול שכל החברות שלה חייבות כדי לשמור על הרווחים שלהן.
    האם Apple היית כ"כ עשירה היום אם היית חייבת לייצר iPhone בארה"ב?

    מצד שני, אחת הסיבות לייצור הזול (פרט ליחס המזעזע לעובדים) היא שעלות רכיב אינה מנופחת לשווא ע"י פטנטים מיותרים על דברים טריביאליים או כאלה שכבר היו קיימים, ולכן אין מסים מיותר על ייצור.

    אם ארה"ב לא תתעורר בקרוב ולא תעשה רפורמה רצינית בחוקי זכויות יוצרים ופטנטים שלה, וגם תאסור על השימוש במונח המטעה "קניין רוחני", שום איסורים ביטחוניים לא יעזרו וסין תהיה כלכלה מס' 1 בעולם, וארה"ב תכנס לעוד משבר עמוק ורציני ותצטרך להמתין (או לייצר) למלחמה הבאה שתציל אותה.

    נקווה רק שזו לא תהיה מלחמה גרעינית…

  5. אני חושב שכל הבעיה שאתה מתאר, כולל הבעיה של שיעתוק מרכזי ייצור למזרח, הינו חלק מהבעיה שאני מכנה "בועת הקניין הרוחני".
    גודלה של בועה זו הינו מפלצתי, בערך המכפלה של בועת הדוט קום עם בועת הסאב פריים.
    כיום, רוב הקניין בעולם הינו קניין רוחני. בלי לבדוק את העניין, אני משער שמדובר במעל ל 90%.
    ברגע שמשתפרת יכולת ההעתקה, והימצאות של עניינים "מוגנים" בזכויות יוצרים, פטנטים וכו' משועתקים בשוק, כמו במקרים שהזכרת, הערך של "קניין" זה יורד (ע"פ כללי ביקוש היצע פשוטים).
    היכולת משתפרת כל הזמן, וכך גם ה"מעקפים" לחוקים השונים, כמו גם עברות על החוק. ממילא, בנקודה מסוימת עלולה להיווצר קריסה של כל המודל הקרוי "קניין רוחני".
    קריסה זו תהיה טוטאלית וכואבת, והיא עלולה להחזיר אותנו לעידן האבן (כשלא יהיה רווחי לחברות לייצר – הן תפסקנה לעשות זאת, אפילו בדברים הבסיסיים ביותר).
    לדעתי, כולם מבינים זאת, אך מסקנתם היא שצריך הקשחה של חוקי הקניין הרוחני. לפי מה שתיארתי, זה בלתי אפשרי, ולבסוף הטכנולוגיה (מישהו הזכיר מדפסות תלת מימד?) תנצח את כל ההגבלות.
    לכן לדעתי *חובה* עלינו להתנתק מההתמכרות לקניין רוחני, ומוטב יום אחד קודם. חובה למצוא מודלים כלכליים (וישנם כאלו) שאינם מתבססים על קניין רוחני. הקוד הפתוח לענ"ד יהיה חלק מרכזי מהעניין.
    עד כאן ב 60 שניות…

  6. כתבה מאוד מעניינת.

    יש כאן שאלות רבות, לא כל כך חדשות אבל מאוד אקטואליות בעולם שמנסה להגדיר מהו מרחב הסייבר ואיך מייצרים הגנה בו.
    כאן יש בהחלט פרדוקס מדהים בין הדאגה האמריקאית (גם לדעתי לגיטימית) לבין הרצון לעמוד בחוקי השוק החופשי.

    השורה התחתונה : האם אנחנו מוכנים לוותר על הטכנולוגיה הסינית – בעצם כמעט הכל מייוצר לפחות חלקית בסין ?

    שאלה נוספת : מה לגבי חברת Checkpoint ? האם יום אחד ייפול האסימון למדינות העולם שרוב ציוד ההגנה מסוג חומת אש פותח בישראל ? בוודאי … רק עניין של זמן לצערינו הרב.

סגור לתגובות.