Chinesische Arbeiter angeblich vergiftet der technischen Lieferkette der großen US-Unternehmen, darunter Apple und Amazon durch das Einpflanzen eines Mikrochips auf Ihren Servern im Ausland hergestellt wurden, nach einem Bloomberg-Bericht heute. Die Geschichte behauptet, dass ein chip, der zusammengebaut wurde, für eine Firma namens Elemental von einem separaten Unternehmen namens Super Micro Computer, würde es Angreifern ermöglichen, um heimlich ändern Sie diese Server, bypass-software-Sicherheit-Prüfungen, und, im wesentlichen, die chinesische Regierung eine komplette backdoor in diesen Unternehmen, die Netze.
Die betroffenen Unternehmen sind energisch bestreiten den Bericht, und behauptet, Sie nie entdeckt, bösartige hardware gemeldet oder ähnliche Fragen an das FBI. Auch unter dem Bloomberg-Bericht beim Wort, gibt es erhebliche Fragen auf, wie weit die chip verteilt wurde und wie die backdoor-Zugriff verwendet wurde.
Aber die bloße Idee einer bösartigen chip Implantat-hat bereits schickte Stoßwellen durch die security-Welt, die traditionell konzentriert sich auf software-Angriffe. Nicholas Weaver, professor an der Berkeley, International Computer Science Institute beschrieben ein alarmierender Angriff. “Meine erste Reaktion war, ‘HEILIGE SCHEIßE’ [sic],” Weaver sagte kurz Davor. “Dies ist ein ‘Gott-Modus’ exploit im system-management-subsystem.”
Apple, Amazon und Supermicro Streit der Ansprüche
Security-Experten warnen seit Jahren vor, dass die hardware supply-chain-Risiken ist, vor allem wenn man bedenkt, dass China hat ein Monopol auf Teile und Fertigung. Bis jetzt, obwohl wir nicht gesehen haben, einen umfassenden Angriff auf US-Unternehmen, wie Bloomberg Ansprüche gefunden zu haben. Es gibt keinen wirklichen Weg, um zu verhindern, dass ein hardware-Angriff wie dieser, Quellen sagen, Die Schwelle, es sei denn, der tech-Industrie will drastisch zu überdenken, wie es seinen Komponenten und bringt Produkte auf den Markt.
Katie Moussouris, Gründer und CEO von Luta Sicherheit, sagt ein Angreifer könnte diese Art von bösartigen Implantat zu umgehen, alle software-Schutz, ein doomsday-Szenario für die Verteidiger. “Wenn Sie es schaffen, um etwas in in der hardware, es ist nicht nur schwer zu erkennen, es ist auch etwas umgehen können, sogar die meisten anspruchsvollen software-security-Maßnahmen,” sagte Moussouris Der Schwelle.
Das Ergebnis erfordert eine völlig neue Art der Verteidigung, ersetzen von code-audits und bug-hunting mit Prüfungen für körperliche Störungen auf der hardware-Ebene. Jake Williams, der Gründer der Wiedergabe Infosec, sagt, es würde einen völlig neuen Ansatz für security-teams. “Wir haben ein größeres, grundlegendes problem,” Williams, sagt, “die ist, dass dieses Zeug ist böse schwer zu erkennen, und wir haben nicht die Werkzeuge, das zu tun.”
Niemand ist bereit zur Erkennung von hardware-Angriffen
In gewisser Weise, die Angriffe leihen Techniken von jailbreaking, bricht die Kette des Vertrauens zwischen der hardware und der software statt des Angriffs auf die software selbst. George Hotz, der legendäre Oger-sich-selbst-fahren-Unternehmer, war skeptisch gegenüber der Bloomberg Geschichte, aber sagte, eine erfolgreiche supply-chain-Angriff wäre immer noch fast unmöglich zu mildern mit herkömmlichen Sicherheits-tools. “Wenn Sie nicht Vertrauen Ihre hardware, die Sie nicht Vertrauen können, alles, was die hardware überprüft werden”, sagt Hotz. “Grundsätzlich gibt es keine Möglichkeit, zu prüfen, ob diese in der software.”
Es ist schwer zu sagen, wie Unternehmen wie Apple und Amazon könnte eine Anpassung an diese neuen Risiken. Auf der hardware-Ebene, seltsam Verhalten würde wie der Versuch zu erkennen, ein herzgeräusch. Möglicherweise gibt es kleine Anomalien, die jeder so oft, aber keiner würde sofort alarm auslösen. Und Forscher suchen nach bugs vielleicht nicht viel helfen, entweder. Wenn Sie auch noch diese Teile von Supermicro, zum Beispiel, würden Sie brauchen, genug Geld und genug liefern, um tests durchführen zu können. Wenn Sie einmal Abstürzen oder der Beschädigung von hardware, es ist unmöglich immer wieder zu starten, die den konventionellen bug bounties schwer zu implementieren.
Stattdessen Moussouris, sagt supply-chain-Risiken sind eine Realität, die wir akzeptieren müssen. Unternehmen haben bereits Ihre Kompromiss; im Gegenzug für die günstigen Teile, nehmen Sie die supply-chain-Risiko.
“Wir haben Entscheidungen getroffen, für die Auslagerung der Hersteller eine Menge von Komponenten, um in der Lage sein, um Sie auf den Markt haben und Sie werden ein lebensfähiges Produkt”, sagt Sie. “Sicherstellen, dass wir verstehen, dass wir uns vorgenommen haben, diese Nachteile ist der Teil, der möglicherweise unter die Leute zu überraschen.”