Kinesisk operatives angivelig forgiftet tekniske verdikjeden av de store AMERIKANSKE selskaper, inkludert Apple og Amazon ved å plante microchip på deres servere produsert i utlandet, ifølge en Bloomberg-rapporten i dag. Historien hevder at en chip, som ble satt sammen til et selskap kalt Elemental av et eget selskap kalt Super Micro Datamaskin, ville gjøre det mulig for angripere å i det skjulte endre disse serverne, bypass programvare for sikkerhet kontrollerer, og, i hovedsak, gi den Kinesiske regjeringen en komplett bakdør inn i disse selskapenes nettverk.
Berørte selskapene er kraftig ordskifte rapporten, hevder de aldri påvist noen skadelige maskinvare eller rapportert lignende saker til FBI. Selv tar Bloomberg rapporten på sitt ord, det er store ubesvarte spørsmål om hvor mye brikken ble fordelt og hvordan bakdør tilgang ble brukt.
Men bare tanken på en ondsinnet chip implantatet har allerede sendt sjokkbølger gjennom sikkerhetskontrollen verden, som tradisjonelt har fokusert på programvare angrep. Nicholas Weaver, en professor ved Berkeley International Computer Science Institute beskrevet en alarmerende angrep. “Min første reaksjon var” det HELLIGE FUCKING SHIT ” [sic],” Weaver fortalte Randen. “Dette er en” gud-modus ” utnytte i system management delsystem.”
Apple, Amazon, og Supermicro bestride krav
Sikkerhetseksperter har advart i flere år etter at maskinvaren verdikjeden er i fare, spesielt med tanke på at Kina har et monopol på deler og industri. Opp til nå, selv om vi ikke har sett et omfattende angrep på AMERIKANSKE selskaper, som Bloomberg hevder å ha funnet. Det er ingen reell måte å hindre en hardware angrep som dette, kilder forteller Randen, med mindre tech industrien ønsker å drastisk revurdere hvordan det blir dets komponenter og bringer produkter til markedet.
Katie Moussouris, grunnlegger og CEO av Luta Sikkerhet, sier en angriper kan bruke denne typen ondsinnet implantatet for å omgå all programvare beskyttelse, en dommedag scenario for forsvarere. “Hvis du klarer å sette noe på plass i maskinvaren, og ikke bare er det vanskelig å oppdage, det er også noe som kan omgå selv de mest avanserte software security-tiltak,” Moussouris fortalte Randen.
Resultatet krever en helt ny type forsvar, skifte kode revisjoner og feil-jakt med sjekker for fysiske forstyrrelser på hardware nivå. Jake Williams, grunnleggeren av Gjengivelse Infosec, sier at det ville være en helt ny tilnærming til sikkerhets-team. “Vi har en større grunnleggende problem,” Williams sier, “det er det at denne ting er ugudelige vanskelig å oppdage, og vi ikke har verktøy til å gjøre det.”
Ingen er klar til å oppdage maskinvaren angrep
På noen måter, angrep låne teknikker fra jailbreaking, bryte kjeden av tillit mellom maskinvaren og programvaren i stedet for å angripe selve programvaren. George Hotz, den legendariske jailbreaker-slått-self-driving-entreprenør, var skeptisk til Bloomberg historie, men sa en vellykket supply-chain angrep ville fortsatt være nesten umulig å redusere med konvensjonelle sikkerhet verktøy. “Hvis du ikke kan stole på din maskinvare, kan du ikke stole på noe som maskinvare sjekker,” Hotz sier. “Fundamentalt, det er ingen måte å kontrollere for dette i programvare.”
Det er vanskelig å si hvordan selskaper som Apple og Amazon kunne tilpasse seg disse nye risikoer. På hardware nivå, merkelig oppførsel ville være som å prøve å oppdage en bilyder. Det kan være små avvik hver så ofte, men ingen vil umiddelbart føre til alarm. Og forskerne leter etter feil kan ikke være mye til hjelp, enten. Selv om de kunne få disse delene fra Supermicro, for eksempel, ville de må nok penger og nok strøm til å kjøre tester. Når du krasjer eller skade et stykke maskinvare, er det umulig å starte på nytt igjen, noe som gjør vanlige feil skuddpremier vanskelig å gjennomføre.
I stedet, Moussouris sier supply chain risiko er en realitet vi må akseptere. Bedrifter har allerede gjort sine kompromiss, i bytte for billige deler, de tar supply chain risiko.
“Vi har gjort valg å outsource produsenten av mange komponenter for å være i stand til å få dem til å markedsføre og få dem til å være et levedyktig produkt,” sier hun. “Å sørge for at vi forstår at vi har gjort disse ulempene er den delen som kan være tatt folk av overraskelse.”