威脅可能是理論上的，但是，被危害的電信設(shè)備可能會(huì)迅速使一個(gè)國家的民用和軍事基礎(chǔ)設(shè)施陷入癱瘓。美國國會(huì)周一發(fā)布報(bào)告，警告中國電信公司***和中興通信“對(duì)美國的國家安全利益構(gòu)成了威脅”，它們可能向企業(yè)出售安裝了秘密部件的設(shè)備，讓***得以控制美國的通信網(wǎng)絡(luò)。

由眾議院情報(bào)委員會(huì)發(fā)布的這份報(bào)告并沒有引用直接的證據(jù)顯示***或中興有危害任何客戶安全的行為。但是，專家們稱這種可能性是真實(shí)存在的，即監(jiān)視技術(shù)可以被裝載進(jìn)路由器和交換器這些互聯(lián)網(wǎng)和無線通信系統(tǒng)的基礎(chǔ)設(shè)施中，而這可能難以被察覺。

***和中興最主要的業(yè)務(wù)是銷售高端的計(jì)算機(jī)網(wǎng)絡(luò)交換器和其他被手機(jī)運(yùn)營商、互聯(lián)網(wǎng)服務(wù)提供商等公司用來運(yùn)行通信網(wǎng)絡(luò)的設(shè)備。

康奈爾大學(xué)研究網(wǎng)絡(luò)安全和政策的弗雷德?斯耐德(Fred Schneider)教授說：“一臺(tái)交換器看到所有通過它的數(shù)據(jù)流?！边@些電子數(shù)據(jù)可以是來自從手機(jī)通話到互聯(lián)網(wǎng)活動(dòng)的任何內(nèi)容?！叭绻憧刂浦粨Q器，你可以對(duì)它進(jìn)行設(shè)置,讓它可以在處理任何數(shù)據(jù)時(shí)做備份并把它們傳送到其他地方，或者你可以中途修改數(shù)據(jù)，把‘是’變成‘非’?！?/p>

斯耐德說，裝置在網(wǎng)絡(luò)硬件中的秘密部件可能很難被察覺。“如果你吸納了大批數(shù)據(jù)，那么某個(gè)監(jiān)測者會(huì)察覺到”，但是，“如果是小規(guī)模的數(shù)據(jù)，就很難被發(fā)現(xiàn)了”。這是因?yàn)榛ヂ?lián)網(wǎng)的一部分是設(shè)計(jì)成容錯(cuò)的，允許偶爾有些數(shù)據(jù)失蹤?！昂茈y在刪除、重試的動(dòng)作和某些惡意行為之間做出區(qū)分?！?/p>

斯耐德說，一個(gè)啟動(dòng)裝置可以被裝進(jìn)交換器和網(wǎng)絡(luò)硬件帶有的軟件中，或者就裝在硬件中，后者更難被發(fā)現(xiàn)。他說，最簡單的也是很難被察覺的一種攻擊是加裝一個(gè)芯片，它會(huì)等待某個(gè)特定的信號(hào)，然后在某個(gè)關(guān)鍵時(shí)刻讓某次通信失敗或者改變路線。他說，“如果你準(zhǔn)備發(fā)動(dòng)某種其他形式的攻擊，想要讓你的對(duì)手難以和其部隊(duì)通信”，那么這種方法可能會(huì)很有用。

斯耐德說，許多購買***設(shè)備的企業(yè)缺少資源來詳盡地檢查一臺(tái)設(shè)備的設(shè)計(jì)或者軟件的各個(gè)環(huán)節(jié)是否帶有秘密裝置。使用強(qiáng)勁的端到端加密有助防止竊聽，但是，非技術(shù)的防范手段也可能至關(guān)重要，比如從可信任的供應(yīng)商或者多個(gè)賣家那里采購設(shè)備以減小不良后果——如果其中一臺(tái)設(shè)備被發(fā)現(xiàn)靠不住的話。

已經(jīng)不是第一次有政府指出***有為***做***的可能。2011年，美國商務(wù)部禁止***競標(biāo)建設(shè)一個(gè)針對(duì)緊急救護(hù)人員的新無線網(wǎng)絡(luò)。2012年3月，澳大利亞政府禁止***競標(biāo)合同來建造該國新的全國寬帶網(wǎng)的其中一部分。

網(wǎng)絡(luò)安全公司Crowdstrike的聯(lián)合創(chuàng)始人、首席技術(shù)官德米特里?阿爾帕羅維奇(Dmitri Alperovitch)說：“電信公司對(duì)此非常擔(dān)心?！边@家創(chuàng)業(yè)公司想辦法幫助企業(yè)防范網(wǎng)絡(luò)攻擊和查找攻擊者。然而，***的價(jià)格如此之低，任何想要保持競爭力的企業(yè)都沒法對(duì)其產(chǎn)品視而不見?！皬恼w功能的角度來看，***和西方制造商基本不相上下，但它便宜太多了?！卑柵亮_維奇說。本周的報(bào)告再次提到了企業(yè)的這種權(quán)衡折衷，但沒有對(duì)和***做生意的公司制定硬性規(guī)定。阿爾帕羅維奇說，***喜歡對(duì)其他國家的政府和企業(yè)發(fā)動(dòng)網(wǎng)絡(luò)***戰(zhàn)，它也是通過電子郵箱和網(wǎng)絡(luò)傳播的***軟件的主要支持者，這一點(diǎn)已經(jīng)為人熟知?！霸诰W(wǎng)絡(luò)***方面，中國人是最為無處不在的演員?！彼f。

阿爾帕羅維奇說，有這樣的記錄，加上***拒絕解釋它與***的關(guān)系，以及一個(gè)***委員會(huì)在該公司內(nèi)部的角色，意味著對(duì)***產(chǎn)品安全性的質(zhì)疑的做法是公平的?！皢栴}在于，如果***找到***，對(duì)它說，‘你可以把這個(gè)編碼放進(jìn)你的路由器里嗎?’***會(huì)這么干嗎?”

***在昨天發(fā)布的一份聲明中表示，情報(bào)委員會(huì)的這份報(bào)告“未能提供明確的信息或證據(jù)來證實(shí)該委員會(huì)的擔(dān)憂的合理性”。它還說，該委員會(huì)的成員已經(jīng)被給予了權(quán)限來調(diào)查其研究和制造設(shè)備以及大量的文案記錄。公司高管們過去曾在提交該委員會(huì)的證詞中表示，***每年320億美元的收入中約70%是從中國以外的地區(qū)獲得，暗示公司若惹惱外國政府沒有什么好處。

斯耐德和阿爾帕羅維奇都指出，雖然本周的報(bào)告點(diǎn)名***，但其實(shí)供應(yīng)鏈的全球化所引發(fā)的對(duì)于許多技術(shù)公司產(chǎn)品的安全憂慮更為廣泛。舉例來說，即使某個(gè)設(shè)備是在美國境內(nèi)制造，它幾乎必定包含了由其他國家的其他企業(yè)制造的部件和芯片。

“對(duì)于供應(yīng)鏈有一種廣泛的擔(dān)憂，”阿爾帕羅維奇說?！罢l知道在工廠里有什么東西被放到了你的產(chǎn)品里?”