In 2009-2010 heb ik geruime tijd gewerkt voor de Ghanese telecomoperator, die op dat moment nogal wat Huawei apparatuur in huis had. Toen al werden wij geattendeerd door de Britse geheime dienst op een Litouws onderzoek waaruit bleek dat de Chinese overheid toegang heeft tot alle Huawei apparatuur die verbinding heeft met internet, en deze toegang kan misbruiken voor spionage en/of sabotage Na 13 jaar (!) leidt dat uiteindelijk tot een verbod van Huawei apparatuur in Amerika. Hoe lang duurt het nog totdat we andere Chinese apparatuur ook onderzocht hebben en hoe lang duurt het nog voordat ook de Europese Commissie in actie komt.
Als Freedom digitale burgerrechten wil beschermen is het van belang een strategie te ontwikkelen om dit soort foute apparatuur van het internet te weren (verdrijven), althans in Europa.
100% mee eens.
Kan Freedom met een statement komen dat zijn zelf nergens Huawei apparatur gebruiken en zullen gebruiken en dat ook van hun toeleveranciers eisen, dan met uitzondering van de netwerk apparatuur bij tussenleveranciers die de gegevens transporteren tussen Freedom en de Freedom klant?
Uiteraard geld dit voor alle telecommunicatie infrastructuur voor apparatuur van Chinese makelij.
Zelf heb ik hier inmiddels de 3e generatie of zo USB 4G stickjes van Huawei in gebruik, wat ooit begon met een 3G stick en later een 4G stick via XS4ALL welke ook heel netjes werkte met de FritzBox.
Die laatste generatie werkt als upstream modem met NAT.
Maar, zijn ze te vertrouwen? Geen idee!
In ieder geval gaat de verbinding met de NAS via SSL versleuteling, dus daar kunnen ze niet veel mee.
Maar, tenminste een heel groot deel van onze mobiele communicatie is nu via apparatuur die beheerd wordt vanuit China. Bijv. KPN kan denk ik helemaal niets hier met hun eigen netwerk.
Zelfs Ericsson zit met ontwikkeling voor een groot deel in China. Tja, kosten…
Kortom, lang leve onze markteconomie waarin we eerder onze ziel verkocht hadden aan Putin voor gas en olie (en ook wel Uranium), en aan Xi Jinping en voorganger voor goedkope(re) elektronica (en meer winsten voor de fabrikanten).
Ik heb al eerder gezegd dat als Xi besluit Taiwan in te vallen, dan hoeven ze hier alleen maar een groot deel van onze communicatie plat te leggen om tenminste een chaos te creeren in een deel van de wereld.
Ik vind de afhankelijkheid van Chinese producten inderdaad ook zorgelijk, en wat mij betreft is dat breder dan huawei. Huawei is de laatste tijd vooral in de media de zondebok geweest, maar soortgelijke wetgeving geldt volgens mij voor ieder chinees bedrijf, dus ook voor Oppo, Oneplus, TikTok en noem ze allemaal maar op. Lekker goedkoop heeft ook z’n nadelen.
Als je het helemaal eerlijk wil doen moet je niet naar de afkomst kijken en dan zijn ook merken als Cisco zeker niet heilig, maar om een of andere reden vinden we het minder erg om door amerikanen bespioneerd te worden 
, sterker nog, we geven ons er vrijwillig voor op bij facebook, google, twitter, enz…
Risico’s zullen er altijd zijn zolang apparatuur propriëtaire software gebruikt. Enkel met vrije software kan je zekerheid krijgen over dit soort zaken.
Hopelijk kan Freedom (op termijn), wellicht samen met ISPs met vergelijkbare idealen, dit met fabrikanten oppakken.
Dat weet je dus niet. Het klinkt misschien paranoia, maar met de huidige micro-elektronica is het mogelijk dat er naast de reguliere functies, extra functies in gebouwd zijn bijvoorbeeld periodiek kleine status berichten doorgeven naar een server in Singapore die tellers aggregeert van duizenden soortgelijke apparaten (onschuldig lijkende spionage). Die server in Singapore is dan bijvoorbeeld een dekmantel voor een Chinese activiteit die veel verder gaat, als de server bij een bepaalde tellerstand opeens de stick opdracht geeft om nieuwe firmware te laden die een heel ander gebruik van de stick activeert …
In het Litouwse onderzoek ging het over routers die bij providers in gebruik zijn ,
Wel, mijn SSL versleutelde data tussen de netbook en de NAS zullen ze niet veel mee kunnen, want dan zullen ze die verbinding om moeten leiden en de encryptie breken, wat aan mijn kant een melding zou moeten geven.
Dat ze de stream opnemen en daarna met een brute-force gaan kraken is uiteraard wel mogelijk.
Maar verder, wat ze vanuit het USB modem naar huis bellen zie ik niet, Omdat het een upstream modem is kan ik daar de data niet monitoren, daar kan ook Wireshark niet bij.
Ook als ik dat USB modem met een Fritz!Box gebruik zit datzelfde stukje buiten mijn monitor mogelijkheden.
De enige die dar zou kunnen monitoren is T-Mobile omdat ik nu daar het Mobiel Internet pakket(ten) heb.
Dat is overigens ook bij T-Mobile vervolgens achter NAT.
Vroeger was bij XS4ALL de apparatuur gewoon netjes bereikbaar vanaf het Internet, en dus voor mij ongeacht via welke Internetverbinding ik werkte.
Met T-Mobile heb ik dus een VPN nodig van de remote Fritz!Box(en) naar de FB op de glasvezel hier thuis om de remote systemen te kunnen bereiken of om et de netbook/laptop in het thuisnetwerk ie kunnen werken.
Maar, wat Huawei dus allemaal over mijn dataverkeer naar het baasje doorgeeft? Geen idee.
Op zich ga ik er gewoon van uit dat ze net zo min als de Amerikaantjes te vertrouwen zijn.
Wat mij verbaasd:
de westerse wereld lijkt allergisch voor Chinese producten,
maar gebruikt ondertussen wel Amerikaanse spullen.
En die zijn niet veel beter, kijk maar eens wat BigTech doet.
(Dat zal dieper gaan dan dat wij kunnen zien)
in de huidige internet-wereld is de kans groot dat veel landen proberen ‘te veel’ van anderen binnen te harken.
OpenSource lijkt de oplossing, maar … …
dan moet je wèl eerst de broncode doorspitten (op verdachte acties)
en vanuit die broncode compileren en dat resultaat gebruiken.
Hmmmm… Mijn laatste regel in mijn laatste reactie hiervoor…
Het uitgangspunt is digitale burgerrechten. Freedom kan zich sterk maken om dat in de Europese wetgeving verankerd te krijgen. Het tweede punt is het weren van “bewezen foute” apparatuur.
Freedom kan deze apparatuur boycotten in verschillende mate van strengheid:
- Die apparatuur niet kopen, uit het eigen netwerk verwijderen / weren en die producten publiekelijk aan de schadpaal nagelen
- Partners en toeleveranciers verplichten dit beleid te volgen
- Verdachte apparatuur niet gebruiken, laten onderzoeken en zo nodig ook labelen als foute apparatuur
- bijdragen aan de ontwikkeling van publieke standaarden waaraan Open Source zou moeten voldoen.
Het derde dat Freedom kan doen (maar dit wil ik op dit moment nog niet bepleiten), is conculega’s (KPN/Ziggo/T-Mobile) aan de schandpaal nagelen wanneer ze foute producten blijven gebruiken. Dat sooort acties (samen met Consumentenbond en dergelijke) komen in beeld als Freedom eerst een voldoende sterke positie in de markt heeft veroverd, niet meer chantabel is voor dergelijke bedrijven en zijn eigen infrastructuur perfect op orde heeft.
Op dit moment weten we van Huawei al meer dan dertien jaar dat ze foute apparatuur verkopen. Van een aantal andere producten vermoeden we dat in meerdere of mindere ernstige mate. En inderdaad ik vertrouw meta, ElonMusk, google, microsoft en apple nauwelijks meer dan oppo, synology, goodwe en andere chinese merken. Ik hoop dat we niet per merk 13 jaar hoeven te wachten voordat er een beleid komt om het tij te keren.
Open Source oplossingen als sluitstuk voor betrouwbare software/firmware, prima, maar zonder een beleid om digitale burgerrechten goed te gaan beschermen, blijft dat gepriegel in de marge. Voor nu zou ik al blij zijn als Freedom zich uitspreekt over Huawei in het licht van deze diskussie
Hoewel ik groot voorstander ben van FOSS is dit maar een deel van de oplossing. De eerste stap is inderdaad de geschreven software hebben en die zelf compilen en dat gebruiken (of kunnen verifiëren dat dat is wat daadwerkeljik op de hardware draait. Als je de paranoia nog een stapje hoger zet moet je ook alle libraries en de complete toolchain checken. Waarom zou de compiler niet de gene zijn die de backdoor (al dan niet opzettelijk) toevoegt? En hoe zit het met de compiler die je hebt gebruikt om de compiler te bouwen?
En dan nog is het maar een deel van de oplossing. Een tijd terug kwam supermicro in het nieuws met geruchten dat er extra hardware in de ethernet connectors zou zitten waar mogelijk foute dingen mee gedaan konden worden. Of het waar is heb ik nooit gehoord, maar feit is dat het zo klein gemaakt kan worden en dit ga je in geen enkel schema en in geen enkele source code terug vinden.
Als je je hardware niet kan vertrouwen kom je uiteindelijk nergens, en dingen als de Intel management engine (en AMD zal ook zoiets hebben) helpen niet om dat vertrouwen te krijgen en te houden.
Daarom is er zoiets als een “trusted computer platform” waar een heel certificatie schema omheen gebouwd kan/moet worden. Voor die certificatie kan block chain technologie worden ingezet. We hebben nog lange weg te gaan, maar we kunnen nu beginnen of eerst wachten tot het nog erger wordt.
En inderdaad ik vertrouw meta, ElonMusk, google, microsoft en apple nauwelijks meer dan oppo, synology, goodwe en andere chinese merken.
Synology is Taiwanees. Daar heeft De Grote Leider uit mainland China helemaal niets aan. Maar dit terzijde.
Let wel op, want hoewel Xi Jinping het hier ongetwijfeld eens zal zijn dat Synology Chinees is, is het daar voorlopig nog steeds Taiwan.
Neem voor Synologie gerust een ander merk dat wel Chinees genoeg is. Totdat er onderzoek is gedaan is in beginsel ieder merk verdacht of het nu uit Silicon Valley komt of uit China of elders uit de boze wereld. Na onderzoek is een merk “fout” net als Huawei, of minder verdacht of betrouwbaar.
In alle gevallen is er behoefte aan een strategie om foute producten te weren, verdachte producten goed in de gaten houden en langzamerhand alles te vervangen door gecertificeerde betrouwbare producten
Hmmmmm… Blockchain…
A solution searching for a problem to solve…
Nee, ook hier als oplossing genoemd waar het niets oplost.
Bij dit soort discussies zie ik vaak nog steeds een filmpje in mijn hoofd.
Een stampvoetende Grapperhaus, die ook een achterdeur wil hebben.
Ieder land heeft ze en hij had het niet.
Volgens mij lost dat niets op. Het geeft hooguit garanties dat de code die er draait de code is die de (hardware)fabrikant bedoeld heeft. Het kan geen enkele garantie geven dat er geen backdoors of andere narigheid in zit.
Het probleem is er eentje van vertrouwen, je zit op laag 8 of 9 van het OSI model en dat los je niet met techniek op. Je zou natuurlijk ieder bedrijf wat evil dingen doet kunnen cancellen maar dan houden we heel lege computerwinkels over ben ik bang … 
Je moet eerst een oplossing hebben voor een probleem en vervolgens kan je blockchain technology gebruiken om voor altijd vast te leggen dat dat specifieke probleem toen is opgelost, waardoor je dat nu nog kan vertrouwen. Blockchain vervangt niet het onderzoek naar de werking van software, maar kan helpen met de vastlegging van de certificatie van het onderzoek resultaat. Het werkt in twee richtingen: als uit het onderzoek blijkt dat xyz “foute software” is dan kan de maker dat niet meer met een media campagne verhullen. Als blijkt dat het goede software is kan je voorkomen dat het certificaat van het onderzoek vervalst wordt of misbruikt wordt.
En ja, als op den duur iedereen alleen nog trusted software toestaat, verdwijnt het verschijnsel foute software vanzelf naar de marges.
Als de achterdeurtjes er toch al zijn ten behoeve van Xi Ying Pin, kan ik mij voorstellen dat Grapperhaus er ook gebruik van wil maken. En ik wil toch liever streven naar eerlijke systemen zonder achterdeurtjes.