Bloomberg vs. Apple i Amazon – kto tutaj kłamie? [uaktulniony 9/10/2018 o 11:20]

Wojtek Pietrusiewicz

4

Dodane: 6 lat temu

Prawdopodobnie widzieliście artykuł Bloomberga z zeszłego tygodnia, w którym Jordan Robertson i Michael Riley tłumaczą, jak doszło do umieszczenia na płytach firmy Super Micro małego chipa, który według nich umożliwiał przejęcie hackerom kontrolę nad tymi serwerami. Burza nadal trwa i prawda nadal nie jest znana… i prawdopodobnie nigdy nie będzie. Tak wygląda przebieg zdarzeń, w dużym skrócie, na obecną chwilę…

4/10/2018, 11:00 CET
★ The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies →

Wszystko zaczęło się od artykułu na łamach Bloomberg Businessweek, w którym dziennikarze twierdzą, powołując się na wiele źródeł i nie przedstawiając konkretnych dowodów, że na płytach Super Micro zostały umieszczona maleńkie chipy, które umożliwiały wrogim osobom przejęcie kontroli nad serwerami w nie wyposażone. Chipy zostały „dodane” do specyfikacji płyty głównej na etapie produkcji w chińskich fabrykach i wykryto je w 2015 roku przez Amazona. Firma rozważała kupno Elemental Technologies, aby wspomóc ich technologią swoją usługę Amazon Prime Video. Te „zainfekowane” płyty główne rzekomo trafiły do blisko 30 firm.

4/10/2018, 11:00 CET
★ The Big Hack: Statements From Amazon, Apple, Supermicro, and the Chinese Government →

W chwili publikacji powyższego artykułu, Bloomberg Businessweek również opublikował oświadczenia Apple’a, Amazona i Super Micro. Wszyscy opublikowali dosyć szczegółowe i zdecydowane sprzeciwy, podważające słowa Jordana Robertsona i Michaela Riley’a. Co ciekawe, ich oświadczenia są wyjątkowe szczegółowe, odnoszące się do i dementujące konkretne zarzuty pod ich adresem.

4/10/2018, 11:00 CET
★ The Big Hack: The Software Side of China’s Supply Chain Attack →

Pojawił się też kolejny artykuł na Bloombergu, opisujący jak rozprowadzany był malware dla serwerów Super Micro, w tym paru, które trafiły do Facebooka.

4/10/2018, 17:00 CET
★ What Businessweek got wrong about Apple →

Apple opublikowało, zaledwie kilka godzin później, jeszcze bardziej szczegółowe oświadczenie na swojej własnej stronie internetowej, podpisane osobiście przez ich szefa bezpieczeństwa.

4/10/2018
★ Setting the Record Straight on Bloomberg BusinessWeek’s Erroneous Article →

Amazon również opublikował rozszerzone oświadczenie na swojej stronie, podważając słowa reporterów Bloomberga.

4/10/2018, 21:10 CET
★ Jak Chiny miały wprowadzić sprzętowego backdoora do 30 amerykańskich firm, w tym Apple, Amazona i Facebooka →

Jeszcze tego samego dnia pojawiło się tłumaczenie i analiza sytuacji przez redakcję Niebezpiecznika:

Komu wierzyć? Dziennikarzom i ich anonimowym źródłom z rządu i ww. firm? Czy firmom, które kłamiąc narażałyby się na olbrzymie straty wizerunkowe (a w sumie przyznanie się do skorzystania z zainfekowanych serwerów nie byłoby dla nich takie straszne). Dlaczego Bloomberg widząc taką “ścianę” ze strony firm nie ujawnił bardziej rzeczywistych dowodów? Albo dlaczego nie wstrzymał publikacji, która stoi niemalże w 100% w opozycji do oświadczeń firm Apple i Amazon?

Niektórzy sugerują, że taki materiał dziennikarski mógł być opublikowany w takiej formie tylko dlatego, że ktoś bardzo go chciał w takiej formie opublikować. Komu służy, tak otwarta walka z chińskimi służbami i generowanie strachu w kontekście sprzętowych backdoorów? Czyżby za dziennikarzami Bloomberga stały służby, które chcą przepchnąć “bana” na elektronikę z Chin albo przyzwolenie na “swoje backdoory”, bo “inni już to robią”?

To pytania, na które nie znamy odpowiedzi. Ale liczymy na to, że burza, która rozpętała się po dzisiejszej publikacji Bloomberga niebawem rzuci piorunami w odpowiednie osoby, a potem niebo stanie się jaśniejsze. Artykuł jest “na okładce”. Bloomberg ma historię rzetelnego źródła informacji i nad sprawą pracował od roku. Coś nam podpowiada, że to tylko pierwsza część z cyklu artykułów. Nikt przy zdrowych zmysłach nie puściłby takiego “newsa” bez dysponowania jakimiś dowodami. Obyśmy je zobaczyli w najbliższych dniach…

4/10/2018, 23:01 CET
★ Decoding the Chinese Super Micro super spy-chip super-scandal: What do we know – and who is telling the truth? →

Na łamach The Register pojawił się trzy-stronicowy artykuł, który bardziej szczegółowo wchodzi w techniczne aspekty tematu, tłumacząc jak mogło do tego dojść (autor Kieren McCarthy zwraca też uwagę, że Bloomberg podaje bardzo mało szczegółów technicznych), ale również stara się o dokładną analizę odpowiedzi Apple’a i Amazona, szukając w nich dziur. Polecam przeczytać całość, bo warto, ale podsumowanie jest istotne:

Of course the bigger question is not really about tiny secret spy chips but overall security. There is no reason why a similar ability to hack into motherboards couldn’t be included in chips expected to be on the circuit boards – and so be physically undetectable. And, of course, the majority of the world’s chips are manufactured, you guessed it, in China and Taiwan. You know: the country that makes everyone’s iPhones.

Kieren w nim mówi o tym, że ważniejszym pytaniem jest ogólne bezpieczeństwo (nasze, naszych danych, itp.) i przypomina, że większość chipów na świecie produkowanych jest na Tajwanie i w Chinach oraz że to są kraje, gdzie „wszyskich iPhone’y” powstają.

5/10/2018, 13:23 CET
★ UK cyber security agency backs Apple, Amazon China hack denials →

Brytyjska agencja zajmująca się cyberbezpieczeństwem – National Cyber Security Centre – poinformowała Reutersa, że popiera zaprzeczenia Amazona i Apple’a. W tym samym artykule dowiadujemy się, że Bruce Sewell, emerytowany główny doradca Apple, rok temu skontaktował się z Jamesem Bakerem, głównym doradcą FBI, i został poinformowany, że FBI nic nie wie o żadnym dochodzeniu w sprawie Super Micro.

6/10/2018
★ Statement from DHS Press Secretary on Recent Media Reports of Potential Supply Chain Compromise →

Departament Bezpieczeństwa Wewnętrznego USA opublikował oświadczenie prasowe, że nie ma podstaw do podważania zaprzeczeń firm (m.in. Amazona i Apple’a) w temacie Super Micro.

7/10/2018, 21:37 CET
★ Apple tells Congress it found no signs of hacking attack →

Reuters opublikował informację, że Apple poinformowało Kongres, że po swoim dochodzeniu, nie znaleziono żadnych dowodów na atak udokumentowany przez Bloomberga.

8/10/2018, 03:00 CET
★ Why I don’t believe Bloomberg’s Chinese spy chip report →

Ciekawe artykuł Roger’a A. Grimes’a, w którym twierdzi, że nie wierzy w artykuł Bloomberga z prostego powodu: Chiny wykradły lub mogą wykraść, takie dane, jakie chcą, za pomocą innych metod, bez podważania swojej wiarygodności w produkowaniu procesorów, układów scalonych i podobnych podzespołów. Podsumowuje takie działanie jako finansowe i gospodarcze samobójstwo. Jako ciekawostkę przytacza też trochę historii, w której to USA wprowadzało backdoory do elektroniki dostarczanej krajom w Ameryce Południowej czy na Bliskim Wschodzie, w tym do sprzętu Cisco, o czym firma rzekomo nie była świadoma.

9/10/2018
★ Risky Business Feature: Named source in “The Big Hack” has doubts about the story →

Specjalista od bezpieczeństwa Joe Fitzpatrick, który był jednym z nieanonimowych źródeł Bloombega, w podcaście ujawnia dlaczego czuł się źle, gdy artykuły zostały opublikowane, jak sugerował autorom, aby ich publikacja została wstrzymana i tłumacz dlaczego ich artykuł nie ma sensu.

Oczywiście znajdziecie szereg innych artykułów na ten temat, ale moim celem było zebranie jedynie najważniejszych, abyście sami mogli przeczytać o problemie i wyrobić sobie własne zdanie. Jeśli uważacie, że coś wyjątkowo ciekawego przegapiłem, to dajcie mi znać – postaram się go dodać do listy chronologicznie.

Osobiście czekam na więcej informacji, bo nie watpię, że jeszcze wielu rzeczy nie wiemy i dlatego wstrzymuję się z ostateczną opinią. Mam jedynie nadzieję, że więcej danych ujrzy światło dzienne, bo wystarczy obejrzeć pierwszego Jamesa Bonda z brzegu, aby zauważyć, że szary człowiek przeważnie nie dowiaduje się o tych najważniejszych wydarzeniach.

Uaktualnienie 9/10/2018

Wobec najnowszej reakcji Joe’a Fitzpatricka zaczynam się coraz bardziej chylić ku temu, że to Amazon i Apple mówią prawdę, a nie Bloomberg. W międzyczasie czekam na dalsze rewelacje w temacie.

Wojtek Pietrusiewicz

Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki, mechaniczne klawiatury i zwinne samochody.