Sikkerhedsekspert kilde i Supermicro chip hack rapport sår tvivl om historien

0
123

Nul

En sikkerhedsekspert, der er citeret i en nylig Bloomberg rapport om den påståede kompromis af Supermicro hardware henblik på cyberespionage har sået tvivl om gyldigheden af historien.

Sidste torsdag, rapporterede Bloomberg, at Supermicro server-hardware, der anvendes i forsyningskæder i hele verden, var blevet kompromitteret gennem hardware implantater designet til at skabe bagdøre ind i virksomhedens systemer.

Offentliggørelsen sagde, at 30 selskaber i alt kan have været påvirket, herunder Amazon, Apple, og en større bank.

Nyheder sendt Supermicro aktier brat og blev hurtigt fulgt med afslag fra navngivne virksomheder.

AWS helt tilbagevist rapport og Steve Schmidt, Chief Information Security Officer tilføjede, at “der er så mange unøjagtigheder i denne artikel, da det relaterer sig til Amazon, at de er svære at tælle.”

Apple sagde, at selskabet har “aldrig fundet skadelig chips, hardware manipulationer eller sårbarheder bevidst plantet i enhver server.”

Supermicro også afvist påstandene om undersøgelsen, siger, “vi er ikke bekendt med nogen undersøgelse vedrørende dette emne, eller er vi blevet kontaktet af et offentligt organ i denne henseende.”

Se også: Apple, Amazon benægte krav Kinesiske spioner implanteret bagdør chips i virksomheden hardware: rapport

Virksomheden spillere blev derefter fulgt af den AMERIKANSKE Department of Homeland Security (DHS) og den BRITISKE National Cyber Security Center (NCSC) fra Government Communications Headquarters (GCHQ) i at fornægte resultaterne af undersøgelsen.

Nu, en navngiven kilde har også tvivl om gyldigheden af den betænkning, som også indeholder 17 af anonyme kilder.

Joe FitzPatrick, grundlæggeren af Hardware Sikkerhed Ressourcer, LLC, er et af de få navngivne kilder i historien og blev bedt om at bidrage med på grund af sin ekspertise inden for hardware.

Men i en podcast med Risikabel Forretning, hardware, sikkerhed ekspert sagde hardware bagdør, der er beskrevet i artiklen beskrevne “ikke giver mening.”

Når du bliver spurgt om, hvordan sådanne hardware-implantater arbejde, FitzPatrick er citeret for at sige, “hardware åbnes, uanset hvilken dør, vi ønsker.”

I form af hans egen tilskrives citat, forskeren sagde, at det var “faktuelt rigtige, i nogle sammenhænge,” og tilføjer:

“Hardware er et springbræt. Du sætte hardwaren i en enhed til at hjælpe dig fortsætte den software, malware.

Du behøver ikke sætte hardwaren i en enhed til at gøre det hele angreb, skal du sætte hardwaren på enheden for at låse tasterne op til at løfte de privilegier på skallen, for at åbne net port, og derefter kan du tage en software eller netværk/ekstern tilgang til at gøre resten af arbejdet.”

At tale til offentliggørelse, FitzPatrick sagde, at han har været i kontakt med Bloomberg siden sidste år, men han blev ikke givet nogen konkrete oplysninger om den historie indtil sidste måned.

CNET: Google ikke kan sagsøges i løbet af masse iPhone indsamling af data, ret regler

“Hvad der virkelig slog mig, er, at ligesom alle de detaljer, der var bare tilnærmelsesvis tekniske, virkede som om de var blevet løftet fra de samtaler, jeg havde om teoretisk, hvordan hardware-implantater arbejde, og hvordan de enheder, var jeg gøre for at vise på Black Hat for to år siden arbejdede,” forskeren sagde.

FitzPatrick sagde, at han følte sig “urolig” at læse rapporten, i en kommentar:

“Jeg er bare Joe. Jeg gør disse ting, solo, jeg er ved at bygge hardware implantater for sjovt at vise på konferencer, jeg er ikke en professionel til at opbygge hardware implantater. […]

Jeg føler, at jeg har en god forståelse af, hvad der er muligt, hvad der er tilgængeligt, og hvordan man gør det, bare fra min praksis-men det var overraskende for mig, at i et scenarie, hvor jeg vil beskrive disse ting, og han [den internationale valutafond] ville gå og bekræfte disse ting, 100 procent af, hvad jeg beskrevet blev bekræftet af hans kilder.

Enten har jeg gode fremsyn eller noget andet, der foregår.”

TechRepublic: 5 tips til at sikre din forsyningskæde fra cyberangreb

Der er nemmere måder at udføre sådanne angreb på en supply chain, herunder forskellige hardware, software og firmware tilgange.

Som et eksempel, som beskrevet af FitzPatrick i en mail udveksling med en Bloomberg-journalist, der er målrettet baseboard management controller BMCs) med forældet firmware kunne være “lige så snigende og kan være langt billigere at designe og implementere.”

Den teoretiske tilgang drøftet med Bloomberg er ikke “skalerbar eller logisk,” i henhold til hardware-ekspert. Når FitzPatrick, der forespørges om muligheden for og nøjagtighed af et angreb af en sådan størrelse, i en e-mailet svar, journalist bekræftede, at det lød “crazy”, men påpegede, at “masser af kilder”, havde bekræftet resultaterne.

“Jeg kunne ikke bortforklare i mit hoved, at det er den tilgang, at nogen kunne tage,” den forsker, der er tilføjet.

FitzPatrick er fortsat skeptisk. Alt i alt, FitzPatrick siger, at offentliggørelsen tekniske detaljer, er “rodet” — “ikke decideret forkert, men de er teoretiske.”

“Jeg har mine tvivl om denne ene,” den forsker, der er tilføjet.

På tidspunktet for skrivning, Supermicro aktiekurs ser ud til at være stabiliserende og er steget 19 procent til $14.75, da gårsdagens marked tæt på.

Tidligere og relaterede dækning

DHS og GCHQ deltage Amazon og Apple i at benægte Bloomberg chip hack historie “Hacky hack hack’: Teen anholdt for at bryde ind i Apple ‘ s netværk Vodafone: Du har brugt 1234 som din adgangskode og blev hacket? Du dække omkostningerne

Relaterede Emner:

Sikkerhed-TV

Data Management

CXO

Datacentre

0