Kinesiske agenter angiveligt forgiftet tekniske supply chain af store AMERIKANSKE virksomheder, herunder Apple og Amazon ved at plante en mikrochip på deres servere, der er fremstillet i udlandet, ifølge en Bloomberg-rapport i dag. Historien hævder, at en chip, der var samlet til et firma kaldet Elementært som et selvstændigt selskab kaldet Super Mikro-Computer, ville gøre det muligt for angribere at skjulte ændre disse servere, omgå software security-kontrollen, og i bund og grund, giver den Kinesiske regering en komplet bagdør i disse virksomheders netværk.
De berørte virksomheder er kraftigt anfægte den rapport, der hævder at de aldrig har fundet nogen skadelig hardware eller rapporteret om lignende spørgsmål til FBI. Selv under hensyntagen til den Bloomberg rapport ved sit ord, der er store ubesvarede spørgsmål om, hvor meget chip blev distribueret, og hvordan bagdør adgang blev brugt.
Men den blotte ide om en ondsindet chip implantat har, som allerede har sendt chokbølger gennem security verden, som har traditionelt fokuseret på software-angreb. Nicholas Weaver, en professor ved Berkeley ‘ s Internationale Computer Science Institute, der er beskrevet et alarmerende angreb. “Min første reaktion var “HOLY FUCKING SHIT’ [sic],” Weaver fortalte Randen. “Det er en ‘god tilstand’ udnytte i systemet trafikstyring.”
Apple, Amazon, og Supermicro tvist, krav
Sikkerheds-eksperter har advaret om i årevis, at den hardware, supply chain er i fare, især i betragtning af, at Kina har monopol på dele og produktion. Indtil nu, men vi har ikke set et udbredt angreb på AMERIKANSKE virksomheder, som Bloomberg hævder at have fundet. Der er ingen reelle måde for at forhindre, at en hardware-angreb som dette, kilder fortæller The Verge, medmindre tech industrien ønsker til drastisk at genoverveje, hvordan det bliver dens komponenter og bringer produkterne til markedet.
Katie Moussouris, grundlægger og CEO af Luta Sikkerhed, siger en hacker kan udnytte denne form for ondsindet implantat til at omgå alle software beskyttelse, et dommedags scenario for forsvarere. “Hvis du formår at sætte noget på plads i hardware, der ikke alene er det vanskeligt at opdage, det er også noget, der kan omgå selv de mest avancerede software sikkerhedsforanstaltninger,” Moussouris fortalte Randen.
Resultatet kræver en helt ny form for forsvar, der erstatter kode revisioner og bug-jagt med kontrol for fysiske forstyrrelser på hardware niveau. Jake Williams, grundlæggeren af Overførsler Infosec, siger, at det ville være en helt ny tilgang til sikkerhed hold. “Vi har en større grundlæggende problem,” siger Williams”, som er, at det her er ond svært at opdage, og vi ikke har redskaber til at gøre det.”
Ingen er klar til at detektere hardware angreb
På nogle måder, angreb låne teknikker fra jailbreaking, at bryde den kæde af tillid mellem hardware og software i stedet for at angribe selve softwaren. George Hotz, den legendariske jailbreaker-turned-selvkørende-iværksætter, var skeptiske over for Bloomberg historie, men sagde, at en succesfuld supply-chain angreb vil stadig være næsten umuligt at afbøde med konventionelle sikkerhed værktøjer. “Hvis du ikke stoler på din hardware, kan du ikke stole på noget, at hardware-kontrol,” Hotz siger. “Fundamentalt, der er ingen måde at kontrollere for dette i software.”
Det er svært at sige, hvor virksomheder som Apple og Amazon kunne tilpasse sig disse nye risici. På hardware-niveau, mærkelig adfærd ville være som at forsøge at finde en mislyd. Der kan være små uregelmæssigheder alle så ofte, men ingen ville umiddelbart give anledning til alarm. Og forskerne på udkig efter fejl, kan ikke være til meget hjælp, enten. Selv hvis de kunne få disse dele fra Supermicro, for eksempel, de havde brug for penge nok og tilstrækkeligt udbud til at køre tests. Når du kører galt eller skade et stykke hardware, er det umuligt at starte forfra igen, som gør konventionelle fejl dusører svært at gennemføre.
I stedet, Moussouris siger supply chain risici, der er en virkelighed, vi er nødt til at acceptere. Virksomheder, der allerede har gjort deres kompromis, i bytte for billige dele, de tager forsyningskæden risiko.
“Vi har foretaget valg at outsource producenten af en masse af komponenter for at være i stand til at få dem til at markedsføre og få dem til at være et levedygtigt produkt,” siger hun. “At sikre, at vi forstår, at vi har foretaget disse kompromiser er den del, der kan tage mennesker som en overraskelse.”