Chinese arbeiders naar verluidt vergiftigd de technische keten van grote AMERIKAANSE bedrijven, waaronder Apple en Amazon door het planten van een microchip op hun servers geproduceerd in het buitenland, volgens een Bloomberg-rapport vandaag. Het verhaal beweert dat een chip, die werd samengesteld voor een bedrijf genaamd Elementaire door een apart bedrijf genaamd Super Micro Computer, zou aanvallers om heimelijk te wijzigen, dan worden deze servers, bypass software security checks, en, in wezen, geven de Chinese overheid een compleet backdoor in deze bedrijven en hun netwerken.
Getroffen bedrijven zijn krachtig aanvechten van het rapport, zegt ze dat ze nooit ontdekte een kwaadaardige hardware of gemeld soortgelijke kwesties aan de FBI. Zelfs het nemen van de Bloomberg-rapport op zijn woord, maar er zijn aanzienlijke onbeantwoorde vragen over hoe ver de chip werd verdeeld en hoe de achterdeur toegang werd gebruikt.
Maar het idee van een kwaadaardige chip implantaat heeft al schokgolven door de wereld van de beveiliging, die zich van oudsher richt op software-aanvallen. Nicolaas Wever, een professor aan Berkeley International Computer Science Institute beschreven een alarmerend aanval. “Mijn eerste reactie was ‘HOLY FUCKING SHIT” [sic]” de Wever vertelde De Berm. “Dit is een ‘god-modus’ exploit in het systeem management subsysteem.”
Apple, Amazon, en Supermicro betwisten de vorderingen
Security experts hebben gewaarschuwd voor de jaren dat de hardware supply chain is in gevaar, vooral gezien het feit dat China het monopolie heeft op onderdelen en productie. Tot nu toe, hoewel we nog niet gezien een wijdverbreide aanval op AMERIKAANSE bedrijven, zoals Bloomberg beweert te hebben gevonden. Er is geen echte manier om te voorkomen dat een hardware-aanval als dit, bronnen vertellen De Rand, tenzij de tech-industrie wil om drastisch te heroverwegen hoe het wordt haar onderdelen en brengt producten op de markt.
Katie Moussouris, oprichter en CEO van Luta Veiligheid, zegt een aanvaller zou kunnen gebruiken dit soort kwaadaardige implantaat te omzeilen alle software beveiligingen, een doemscenario voor de verdedigers. “Als het je lukt om iets in plaats van in de hardware, niet alleen is het moeilijk te detecteren, het is ook iets dat kan omzeilen zelfs de meest geavanceerde software security maatregelen,” Moussouris vertelde De Berm.
Het resultaat vereist een geheel nieuwe soort van verdediging, het vervangen van code audits en bug-jacht met de controles voor fysieke storing op het hardware niveau. Jake Williams, de oprichter van de Weergave Infosec, zegt het zou een geheel nieuwe aanpak voor security teams. “We hebben een groter fundamenteel probleem,” Williams zegt, “dat is dat dit spul is goddelozen moeilijk te detecteren en we hebben geen instrumenten om dat te doen.”
Niemand is klaar voor het detecteren van hardware aanvallen
In sommige opzichten, de aanvallen lenen technieken van jailbreaking, het doorbreken van de keten van vertrouwen tussen de hardware en de software in plaats van het aanvallen van de software zelf. George Hotz, de legendarische uitbreker-draaide-zelf-rijden-ondernemer, was sceptisch over de Bloomberg verhaal, maar zei een succesvolle supply chain-aanval zou nog steeds bijna onmogelijk om te matigen met conventionele beveiliging tools. “Als je er niet op kunt vertrouwen dat uw hardware, kun je niet vertrouwen op iets dat de hardware controleert,” Hotz zegt. “In feite is er geen manier om te controleren of deze in de software.”
Het is moeilijk om te zeggen hoe bedrijven als Apple en Amazon kon aanpassen aan deze nieuwe risico ‘ s. Op het hardware niveau, vreemd gedrag zou worden als het proberen te ontdekken van een hartruis. Er kunnen kleine afwijkingen elke zo vaak, maar niemand zou onmiddellijk de oorzaak van het alarm. En onderzoekers op zoek naar bugs misschien niet veel helpen. Zelfs als ze konden krijgen deze delen van Supermicro, bijvoorbeeld, zouden ze moeten genoeg geld en genoeg aanbod om uit te voeren tests. Wanneer je crasht of beschadiging van hardware, het is onmogelijk om opnieuw te beginnen, en die van conventionele bug gaven moeilijk te implementeren.
In plaats daarvan, Moussouris zegt supply chain risico ‘ s zijn een realiteit die we moeten accepteren. Bedrijven hebben reeds hun compromis; in ruil voor goedkope onderdelen, nemen ze de supply chain-risico.
“We hebben keuzes gemaakt om het uitbesteden van de fabrikant van veel van de componenten in om te kunnen om ze te krijgen op de markt en zijn ze een levensvatbaar product,” zegt ze. “Ervoor zorgen dat we begrijpen dat we deze afwegingen is het deel dat misschien nemen mensen verrassen.”