HP fürchtet Demonstration “ernsthafter” Lecks in seinen Netzwerkprodukten

NetzwerkeSicherheitSicherheitsmanagement

Eine Präsentation von Sicherheitslecks in Netzwerkausrüstung der chinesischen HP-Tochter H3C auf der Security-Konferenz “Torcoon 14” versucht der Konzern zu unterdrücken. Es geht dabei um Pufferüberlaufprobleme in Routern, Switches und Firewalls. Ob der Vortrag auch gegen den Willen von HP stattfinden kann, ist noch nicht klar.

Auf der Security-Konferenz “Torcoon 14” in San Diego will Sicherheitsforscher Kurt Grutzmacher schwere Sicherheitsprobleme in Netzwerksystemen von Huawei und H3C demonstrieren. Der Vortrag “A CouNtry’s Honorable n3twork deviCes” soll zeigen, wie mit Pufferüberlaufproblemen in Routern, Switches und Firewalls von H3C und Huawei “die Kontrolle über weite Teile des Internets in einem großen Land” übernommen werden könnte.

Hewlett-Packard hat allerdings per Telefon und E-Mail dringend darum gebeten, den Vortrag am Samstag abzublasen. In einem Blogbeitrag von Donnerstagabend ließ der Sicherheitsexperte dann Dampf ab: Er habe sich an HPs Sicherheitsregeln gehalten, Fehler nach Penetrationtests erst mehr als 45 Tagen nach deren Auffinden zu veröffentlichen. Doch auch danach habe man versucht, ihn zurückzuhalten – offenbar weil HP es nicht rechtzeitig geschafft hatte, die Lücken zu beseitigen.

Auch wenn die Message sich mit oder ohne Vortrag verbreitet: Dass Netzwerkprodukte aus China mit Vorsicht zu genießen sind, hat sich herumgesprochen. Schon im Mai hatten deutsche Behörden ihre Bedenken an Huawei-Geräten angemeldet. Nach eingehenden Untersuchungen der US-Behörden erklärten deren Sicherheitsexperten, sie hätten keine Beweise für Spionage durch Huawei gefunden, ein Kongressbericht kam jedoch zu einem anderen Ergebnis.

Grutzmachers Hinweis zeigt jedoch auch ohne technische Details zu nennen, dass die Netzwerk-Hardware auch US-amerikanischer Hersteller für Cyber-Sabotage und nicht nur für Spionage genutzt werden könnte – wenn sie denn von Chinesen produziert würde.

Die Ankündigung von Kurt Grutzmachers Vortrag auf der Website der Security-Konferenz Torcoon 14 (Screenshot: ITespresso).
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen