Empresa já criou mais de 30 ferramentas internas para testar os produtos que saem dos seus laboratórios e está a investir milhões em segurança. Em 2016, cinco produtos não chegaram a ver a luz do dia por não terem passado nos testes. Polémica que envolve Portugal e a operadora Vodafone volta a colocar os holofotes nas práticas da Huawei. Tecnológica abriu-nos as portas do centro em Shenzhen, na China, que é a primeira barreira de defesa da empresa e onde são testados todos os produtos.
A realidade não corresponde à imaginação. Para quem esperava fortes medidas de segurança, uma sala gigante cheia de monitores espalhados pela parede e um ambiente tenso, digno uma sala em estado de guerra, encontrámos justamente o oposto. E aquelas 140 pessoas sabem que, mesmo de forma indireta, é sobre elas que estão os olhos do mundo.
Este é o tamanho da equipa de penetração de sistemas e cibersegurança que a Huawei tem na sua sede em Shenzhen, na China. E se há área que neste momento é crítica para a tecnológica chinesa e lhe tem valido uma grande pressão mediática é justamente esta.
O resumo faz-se de forma rápida: os EUA alegam que os equipamentos de infraestrutura 5G da Huawei têm problemas de segurança e que, por isso, podem representar um perigo para a segurança nacional dos países que optarem pelos produtos da tecnológica. Os norte-americanos também falam numa ligação entre a empresa e o governo chinês. Ambas as acusações têm sido constantemente desmentidas pela Huawei.
Leia também | EUA acusam Huawei de 23 crimes. Empresa chinesa nega alegações
Se a nível global o ‘pelotão’ de segurança da Huawei tem mais de 1.500 pessoas e o número promete continuar a subir, fruto dos dois mil milhões de dólares que a gigante chinesa prometeu investir neste sector – e que também vai englobar Portugal -, aquelas 140 pessoas são a primeira linha de defesa da empresa.
“Aqui fazemos auditoria ao código, testes de penetração (pentesting) e verificações de cibersegurança”, disse Wang Jin, o líder da equipa que está responsável por encontrar falhas nos produtos da Huawei.
Assim que um novo produto sai do laboratório, é revisto por aqueles equipa. A primeira etapa passa por fazer os chamados testes de pentesting, nos quais são os próprios engenheiros da Huawei quem tentam encontrar falhas, vulnerabilidades, buracos, bugs, o que seja, que estes produtos vindos de laboratório possam ter.
Desde 2013 a empresa já testou mais de 42 mil novos produtos e a equipa usa “63 ferramentas comercialmente disponíveis para fazer a avaliação dos produtos e serviços”, adianta Wang Jin. Mais: a Huawei foi ao ponto de ter criado 35 ferramentas internas para aumentar o espectro dos testes de segurança.
Os produtos passam depois por testes de conformidade – a Huawei diz que tem mais de 240 certificados de segurança, incluindo alguns atribuídos por entidades alemãs e, ironicamente, norte-americanas – e no final passam ainda por testes de entidades externas.
Os produtos recebem depois uma classificação em diferentes áreas de análise – pode ser bom em hardware, mas ser mau em privacidade -, elemento que vai ditar o futuro daquele equipamento ou solução.
Caso não estejam reunidas todas as condições, então a própria Huawei pode ‘vetar’ os produtos para que voltem a ser pensados, por forma a mitigar os riscos encontrados. Em 2016, segundo dados apresentados no centro de cibersegurança, houve 10 produtos vetados, dos quais cinco acabaram mesmo por nunca conhecer a luz do dia. Já em 2017 houve 14 projetos vetados e zero rejeitados e em 2018 apenas três projetos foram vetados internamente, mas depois todos acabaram por chegar ao mercado feitas as devidas correções.
“Aqui no centro de cibersegurança primeiro fazermos análises de ameaças e de sistema, depois priorização de risco, a partir daqui faz-se a classificação de conformidade e classificação de pentesting. Esta combinação resulta numa classificação de risco residual”, defendeu o líder do centro.
Resultado? No ano passado, só duas vulnerabilidades consideradas como sérias foram encontradas nos equipamentos da empresa.
Leia também | Huawei Portugal: “Estamos dispostos a tomar medidas de segurança para aliviar qualquer preocupação”
O que à partida parece uma estratégia complexa e de malha apertada, que dificilmente deixaria passar erros, sofre do mesmo problema que todos os outros produtos tecnológicos: são feitos por pessoas e por isso a probabilidade de terem erros continua a existir. A grande questão é se alguém um dia os vai encontrar e se sim, quanto tempo será necessário até que isso possa acontecer.
Basta recordar que duas das maiores vulnerabilidades da história da segurança informática, o Spectre e o Meltdown, demoraram quase 20 anos até terem sido detetadas.
E o mundo da segurança informática é um no qual muitas vezes a história volta para trás, como aconteceu esta semana com o caso Vodafone. O grupo de telecomunicações admitiu esta terça-feira ter encontrado falhas de segurança em equipamentos da Huawei, em 2012 e 2012, que eram usados pela Vodafone Itália, mas uma investigação da Bloomberg disse que também teriam sido usados em Portugal – algo que a subsidiária portuguesa da Vodafone desmentiu.
“Os equipamentos referidos no artigo da Bloomberg nunca foram utilizados em Portugal. Os equipamentos da Huawei utilizados em Portugal têm configurações específicas para o nosso mercado e são testados no nosso país de acordo com as melhores práticas da indústria e recomendações do grupo Vodafone. Nestes processos de certificação e no âmbito das rotinas diárias de segurança da Vodafone Portugal, nunca foram encontrados backdoors (acessos não autorizados)”, comentou a Vodafone Portugal em resposta.
Este foi apenas mais um caso, no meio de muitos ao longo dos últimos meses, que colocam em questão a segurança da Huawei. A maior pressão tem vindo dos EUA. Se ao início as movimentações americanas fizeram-se sobretudo junto dos parceiros de longa data – Reino Unido, Canadá, Austrália e Nova Zelândia, países conhecidos como Five Eyes -, rapidamente as ‘operações de charme’ escalaram para outras nações.
Ajit Pai, líder da Comissão Federal de Comunicações dos Estados Unidos (FCT na sigla em inglês), esteve inclusive em Portugal para pedir ao governo que não use equipamentos da Huawei na construção das redes 5G do país. Mais tarde, seria o próprio primeiro-ministro António Costa quem assumiu perante o Parlamento que “não há nenhuma razão para excluir a Huawei do mercado”.
Leia também | Huawei avisa Europa: “Desconfiança deve ser baseada em factos”
Questionado sobre as alegações que têm sido feitas e que, na prática, colocam em causa todo o trabalho feito pela equipa de pentesting da Huawei, o líder da divisão foi bastante claro na sua resposta.
“Se um produto é seguro ou não deve ser baseado em standards, não em especulação. Não sei se os EUA têm provas técnicas, penso que é só especulação. Temos um bom registo em segurança e não percebo as acusações dos EUA”, defendeu Wang Jin.
Numa entrevista recente à Insider, Mikko Hyppönen, um dos mais conhecidos e respeitados especialistas de segurança informática do mundo e líder de investigação na empresa F-Secure, disse não ter “indícios de backdoors que tenham sido colocados em dispositivos Huawei de propósito – o mesmo para a ZTE, Lenovo ou outras grandes empresas tecnológicas chinesas usadas no ocidente”.
Como elemento externo e independente à polémica, o perito acrescentou uma visão muito própria ao debate. “Se seria tecnicamente possível? Claro que seria. Se estas empresas têm ligações aos seus governos? Absolutamente. Mas – a Cisco tem ligações ao governo dos EUA? Sim, tem. A Ericsson tem ligações ao governo sueco? Sim, tem. Penso que o maior medo é sobre o facto de a China não ser uma democracia. Não é uma democracia e isso muda o jogo. Mas não temos provas de que qualquer uma destas empresas chinesas de tecnologia tenha espiado em nome do seu governo. O potencial está lá, mas não há indícios”.
O perito é ainda da opinião que “grande parte da pressão americana contra as empresas chinesas está relacionada com guerras comerciais, mais do que qualquer outra coisa”.
Mas a verdade é que, por outro lado, os avisos e alertas continuam a surgir. O mais recente foi feito pela diretora das relações internacionais da Confederação das Empresas Europeias, Luísa Santos. “Não podemos bloquear a China e não é do nosso interesse fazê-lo, mas mesmo permitindo estas trocas comerciais e este investimento com a China, temos de ser muito realistas e perceber que podemos estar a dar vantagens adicionais à China que não podemos controlar porque não é uma economia que funciona nos mesmos moldes que as economias europeias”, disse numa entrevista à agência Lusa.
Se por um lado a polémica da alegada falta de segurança tem deixado a Huawei sob fogo, por outro também tem feito com que o número de interessados na tecnologia 5G da empresa continue a aumentar: o número de contratos assinados aumentou de 26 para 40 nos últimos três meses.
* A Insider/Dinheiro Vivo viajou para Shenzhen a convite da Huawei
5G, o que vale a tecnologia mais apetecida que está por chegar