Noll
En säkerhetsforskare som nämns i en nyligen Bloomberg rapport om den påstådda kompromiss av Supermicro hårdvara för tillämpningen av cyberespionage har tvivel om giltigheten av historien.
Förra torsdagen, rapporterade Bloomberg att Supermicro server hårdvara, som används i försörjningskedjor i hela världen, hade äventyrats genom hårdvara implantaten är utformade för att skapa bakdörrar in i företagets system.
Offentliggörandet sa att 30 företag totalt kan ha drabbats, bland annat Amazon, Apple, och en större bank.
Nyheterna skickas Supermicro aktier rasar och följdes snabbt med avslag från nämnda bolag.
AWS helt vederlagt rapporten och Steve Schmidt, Chief Information Security Officer, tillade att “det finns så många felaktigheter i denna artikel, eftersom den hänför sig till Amazon för att de är svåra att räkna.”
Apple säger att företaget har “aldrig hittade skadliga chips, hårdvara manipulationer eller sårbarheter medvetet planterade i någon server.”
Supermicro förnekade påståenden i undersökningen, sade: “vi känner inte till någon undersökning om detta ämne och inte heller har vi blivit kontaktade av någon myndighet i detta avseende.”
Se även: Apple, Amazon förnekar påståenden Kinesiska spioner inopererad bakdörr marker i företaget hårdvara: rapport
Företaget spelare var sedan följt av US Department of Homeland Security (DHS) och den BRITTISKA National Cyber Security Centre (NCSC) från Government Communications Headquarters (GCHQ) att förneka resultaten av undersökningen.
Nu, en namngiven källa har även tvivel om giltigheten av den rapport, som också innehåller 17 anonyma källor.
Joe FitzPatrick, grundare av Hårdvara Resurser Säkerhet LLC, är en av de få namngivna källor i historien och blev ombedd att bidra på grund av sin kompetens inom hårdvara.
Dock, i en podcast med Riskfylld Verksamhet, hardware security expert sa hårdvara bakdörr som beskrivs i artikeln beskrivs inte vettigt.”
När vi frågade om hur sådan maskinvara implantat arbete, FitzPatrick är sagt, “den maskinvara öppnas oavsett vilken dörr man vill.”
När det gäller hans egna citat som tillskrivs, forskaren sa att det var “faktamässigt korrekt i vissa sammanhang”, och tillade:
“Hårdvara är en språngbräda. Du sätter hårdvaran i en enhet för att hjälpa dig att fortsätta den programvara malware.
Du behöver inte sätta hårdvara i en enhet för att göra det hela attack, du sätter hårdvara i enheten för att kunna låsa upp knapparna för att höja privilegier på skalet, för att öppna network port och sedan ta en programvara eller nätverk/remote strategi för att göra resten av arbetet.”
Sett till publicering, FitzPatrick säger att han har varit i kontakt med Bloomberg sedan förra året, men han hade inte gett några konkreta detaljer om historien och fram till förra månaden.
CNET: Google kan inte bli stämd om massa iPhone datainsamling, eg-regler
“Vad som verkligen slog mig som gillar alla detaljer som var ens tillnärmelsevis tekniska, verkade som att de hade lyfts från de samtal jag haft om teoretiskt hur maskinvara implantat fungerar och hur de anordningar som jag gjorde för att visa upp på Black Hat-för två år sedan arbetade,” forskare.
FitzPatrick sa att han kände sig “illa till mods” läsa rapporten, kommenterar:
“Jag är bara Joe. Detta gör jag saker solo, jag håller på att bygga hårdvara implantat för kul att visa upp på mässor, jag är inget proffs på att bygga hårdvara implantat. […]
Jag känner att jag har ett bra grepp om vad som är möjligt, vad som finns, och hur man gör det, bara från min praktik — men det var överraskande för mig att i ett scenario där jag skulle beskriva dessa saker, och sedan han [Direkt] skulle gå och bekräfta dessa saker, 100 procent av vad jag beskrev var bekräftas av hans källor.
Antingen har jag utmärkt framsynthet eller något annat är på gång.”
TechRepublic: 5 tips för att säkra din leveranskedja från it-angrepp
Det finns enklare sätt att genomföra sådana angrepp på en supply chain, bland annat olika maskinvara, programvara och inbyggd programvara metoder.
Som ett exempel, som beskrivs av FitzPatrick i en mailkonversation med en Bloomberg journalist med inriktning baseboard management controllers (BMCs) med inaktuell inbyggd programvara kan vara “precis som smygande och kan vara mycket mindre kostsamt att utforma och genomföra.”
Den teoretiska ansats diskuteras med Bloomberg är inte “skalbar eller logiska”, enligt hårdvara expert. När FitzPatrick efterfrågade möjligheten och noggrannhet av en attack av en sådan skala, i ett mailade svar, journalisten bekräftat att det lät “galen”, men påpekade att “massor av källor” hade bekräftat resultaten.
“Jag kunde inte rationalisera i mitt huvud att detta är den metod som vem som helst kan ta,” forskaren lagt till.
FitzPatrick är fortfarande skeptisk. Generellt, FitzPatrick säger att publiceringen tekniska detaljer är “rörig” — “inte direkt fel, men de är teoretiska.”
“Jag har mina tvivel om detta,” forskare lagt till.
I skrivande stund, Supermicro aktien verkar vara stabiliserande och har klättrat 19 procent till $14.75 sedan gårdagens marknad i närheten.
Tidigare och relaterade täckning
DHS och GCHQ gå med Amazon och Apple i att förneka Bloomberg chip hacka story “Hacky hack hack’: Tonåring gripen för att bryta sig in i Apples nätverk Vodafone: Du 1234 används som ditt lösenord och blev hackad? Du täcka kostnaden
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0