Kinesiska agenter som påstås ha förgiftat tekniska leveranskedjan av stora AMERIKANSKA företag, däribland Apple och Amazon genom att plantera ett mikrochip på sina servrar som tillverkas utomlands, enligt en Bloomberg rapport i dag. Historien påstår att ett chip, som var församlad för ett företag som heter Elementär av ett separat bolag som heter Super Micro Dator, skulle göra det möjligt för angripare att i hemlighet ändra dessa servrar, bypass-programvaran för säkerhet som kontrollerar, och, i huvudsak, att ge den Kinesiska regeringen en komplett bakdörr in i dessa företags nätverk.
Berörda företag är kraftigt ifrågasätter den rapport som hävdade att de aldrig upptäckt några skadliga hårdvara eller rapporterat liknande frågor till FBI. Även om man tar den Direkt rapporten vid sitt ord, det finns stora obesvarade frågor om hur ofta den flisa var fördelade och hur bakdörr tillgång användes.
Men blotta tanken på att en skadlig chip implantat har redan sänt chockvågor genom den säkerhet i världen, som har traditionellt fokuserat på programvara attacker. Nicholas Weaver, en professor vid Berkeley International Computer Science Institute beskrivs en alarmerande attack. “Min första reaktion var” HOLY FUCKING SHIT ” [sic],” Weaver sa Gränsen. “Det här är en” gud “- läge’ säkerhetshål i systemet för delsystemet.”
Apple, Amazon, och Supermicro bestrida fordringar
Säkerhet experter har varnat för år att hårdvaran supply chain är en risk, speciellt med tanke på att Kina har ett monopol på delar och tillverkning. Fram tills nu, men vi har inte sett en omfattande attack på AMERIKANSKA företag, som Direkt påstår sig ha funnit. Det finns ingen riktig väg att förhindra en hård attack som denna, källor talar om Gränsen, om inte den tekniska industrin vill att drastiskt omvärdera hur det blir dess komponenter och tar produkter till marknaden.
Katie Moussouris, grundare och VD för Luta Säkerhet, säger en angripare skulle kunna utnyttja denna typ av skadlig implantat för att kringgå all programvara skydd, ett domedagsscenario för en försvarare. “Om du klarar av att sätta något i stället i hårdvara, inte bara är det svårt att upptäcka, det är också något som kan kringgå även den mest sofistikerade programvara säkerhetsåtgärder,” Moussouris berättade Gränsen.
Resultatet kräver en helt ny typ av försvar, som ersätter kod revisioner och bugg-jakt med kontroller för fysiska störningar på hårdvaran nivå. Jake Williams, grundare av Överlämnandet Infosec, säger att det skulle vara en helt ny metod för säkerhetsgrupper. “Vi har en större grundläggande problemet,” Williams säger, “där är att det här är ogudaktiga svårt att upptäcka och att vi inte har verktygen att göra det.”
Ingen är redo att upptäcka hårdvara attacker
På sätt och attacker lånar tekniker från jailbreaking, att bryta kedjan av förtroende mellan hårdvara och programvara i stället för att angripa själva mjukvaran. George Hotz, den legendariska jailbreaker-som-blev-jag-kör-entreprenör, var skeptisk till Bloomberg historia, men sade att ett framgångsrikt supply-chain-attack skulle fortfarande vara nästan omöjligt att minska med konventionella verktyg säkerhet. “Om du inte kan lita på din maskinvara, du kan inte lita på något som hårdvara kontroller,” Hotz säger. “Grunden, det finns inget sätt att kontrollera detta i programmet.”
Det är svårt att säga hur företag som Apple och Amazon kunde anpassa sig till dessa nya risker. På hårdvaran nivå, konstigt beteende skulle vara som att försöka upptäcka ett blåsljud på hjärtat. Det kan finnas små avvikelser varje så ofta, men ingen skulle omedelbart orsaka larm. Och forskarna letar efter buggar kanske inte mycket hjälp heller. Även om de kunde få dessa delar från Supermicro, till exempel, att de skulle behöva tillräckligt med pengar och tillräckligt utbud för att köra tester. När du kraschar eller skada en bit av hårdvara, är det omöjligt att börja om igen, vilket gör att konventionella bugg skottpengar svårt att genomföra.
Istället Moussouris säger risker i leveranskedjan är en verklighet som vi måste acceptera. Företag har redan gjort en kompromiss, i utbyte för billiga delar, de tar supply chain risk.
“Vi har gjort val att outsourca tillverkaren av en hel del komponenter för att kunna få dem till marknaden och få dem att bli en säljbar produkt”, säger hon. “Att se till att vi förstår att vi har gjort dessa avvägningar är den del som kan ta människor med överraskning.”