Cinese di operatori presumibilmente avvelenato la tecnica della catena di approvvigionamento di importanti aziende, tra cui Apple e Amazon con la piantumazione di un microchip sul loro server prodotte all’estero, secondo un report di Bloomberg oggi. La storia sostiene che un chip, che è stata assemblata per una compagnia chiamata Elementare da una società separata, denominata Super Micro Computer, consentirebbe agli aggressori di nascosto modificare questi server, aggirare il software controlli di sicurezza, e, in sostanza, di dare il governo Cinese completo backdoor in queste aziende network.
Le aziende colpite sono vigorosamente contestata la relazione, sostenendo di aver mai scoperto dannoso hardware o segnalato problemi simili all’FBI. Anche il Bloomberg relazione alla sua parola, non ci sono significative domande senza risposta su come ampiamente il chip è stato distribuito e come la porta di accesso è stato utilizzato.
Ma la sola idea di un dannoso chip impianto ha già inviato onde d’urto attraverso il mondo della sicurezza, che è tradizionalmente focalizzata sul software attacchi. Nicola Tessitore, un professore di Berkeley International Computer Science Institute descritto un preoccupante attacco. “La mia prima reazione è stata ” SANTA MERDA’ [sic],” Weaver ha detto Il Ciglio della strada. “Questa è un ‘dio’ in modalità sfruttare nel sistema di gestione del sottosistema.”
Apple, Amazon, e Supermicro delle controversie i reclami
Gli esperti di sicurezza hanno avvertito per anni che l’hardware della catena di fornitura è a rischio, soprattutto se si considera che la Cina ha un monopolio di parti e di produzione. Fino ad ora, però, non abbiamo visto un diffuso attacco sulle aziende americane, come Bloomberg sostiene di aver trovato. Non c’è vero modo per prevenire un hardware attacco come questo, fonti dicono a Punto, a meno che il settore high-tech si vuole ripensare drasticamente come si ottiene i suoi componenti e porta i prodotti sul mercato.
Katie Moussouris, fondatore e CEO di Luta di Sicurezza, dice un utente malintenzionato potrebbe utilizzare questo tipo di dannoso impianto di bypassare tutte le protezioni software, uno scenario apocalittico per i difensori. “Se si riesce a mettere qualcosa in hardware, e non solo è difficile da rilevare, è anche qualcosa che può ignorare anche i più sofisticati software di misure di sicurezza,” Moussouris detto Punto.
Il risultato richiede un tipo completamente nuovo di difesa, in sostituzione di codice di audit e bug-a caccia con i controlli fisici delle interferenze a livello hardware. Jake Williams, fondatore della Resa Infosec, dice che sarebbe un approccio completamente nuovo per i team di sicurezza. “Abbiamo un grande problema fondamentale”, dice Williams, “è che questa roba è malvagio difficile da rilevare e non abbiamo gli strumenti per farlo”.
Nessuno è pronto a rilevare l’hardware attacchi
In qualche modo, gli attacchi prendono a prestito le tecniche da jailbreaking, rompendo la catena di fiducia tra l’hardware e il software, invece di attaccare il software stesso. George Hotz, il leggendario jailbreaker trasformato in auto-guida-imprenditore, era scettico di Bloomberg storia, ma ha detto che un successo della catena di fornitura di attacco potrebbe ancora essere quasi impossibile per mitigare con i tradizionali strumenti di protezione. “Se non ti puoi fidare del tuo hardware, non è possibile fidarsi di tutto ciò che la verifica dell’hardware,” Hotz, dice. “Fondamentalmente, non c’è modo di controllare per questo software.”
È difficile dire come le aziende come Apple e Amazon potrebbe adattarsi a questi nuovi rischi. A livello hardware, strano comportamento sarebbe come cercare di rilevare un soffio al cuore. Ci potrebbero essere piccole anomalie che ogni tanto, ma nessuno avrebbe immediatamente causare allarme. E ricercatori in cerca di bug potrebbe non essere di grande aiuto. Anche se si potrebbe ottenere da queste parti da Supermicro, per esempio, hanno bisogno di abbastanza soldi e abbastanza offerta per l’esecuzione dei test. Una volta che si verifica un arresto anomalo o danni di un pezzo di hardware, è impossibile ricominciare, che rendono convenzionale bug bounty difficile da implementare.
Invece, Moussouris dice supply chain rischi sono una realtà che dobbiamo accettare. Le aziende hanno già fatto la loro compromesso; in cambio di mercato delle parti, prendono il rischio della catena di fornitura.
“Abbiamo fatto scelte di esternalizzare il produttore di un sacco di componenti, in modo da essere in grado di ottenere sul mercato e un valido prodotto,” dice. “Per farci capire che abbiamo fatto in questi compromessi è la parte che potrebbe essere prendere la gente di sorpresa.”