VK: geen reden voor twijfel aan ontkenning Apple en Amazon van Supermicro-hack

Het Britse National Cyber Security Center heeft laten weten dat het geen reden ziet aan de verklaring van Apple en Amazon te twijfelen dat een recent bericht over een kwaadaardige Chinese chip op Supermicro-servermoederborden niet klopt.

In zijn reactie tegenover het persbureau zegt het Britse NCSC dat het op de hoogte is van berichten in de media en dat het 'geen reden ziet om de gedetailleerde inschattingen van Apple en Amazon Web Services in twijfel te trekken'. Het zegt verder: "Het NCSC gaat vertrouwelijk om met beveiligingsonderzoekers en vraagt iedereen die beschikt over geloofwaardig bewijs over deze berichten dringend om contact op te nemen." Het NCSC is een onderdeel van het GCHQ, een Britse inlichtingendienst.

Naar aanleiding van de publicatie van Bloomberg op donderdag hebben Apple en Amazon allebei reacties gepubliceerd. Daarin schrijft Apple bijvoorbeeld dat het in de loop van het afgelopen jaar meerdere malen door Bloomberg is benaderd met 'claims die soms vaag en soms uitgebreid waren'. Elke keer zou het bedrijf een 'rigoureus onderzoek' hebben ingesteld, maar claimt daarbij niet op bewijs te zijn gestoten dat die claims ondersteunt. "Apple heeft nooit kwaadaardige chips, hardwareaanpassingen of opzettelijk aangebrachte kwetsbaarheden in welke server dan ook gevonden."

De ontkenning die door Amazon op zijn Web Services-blog is geplaatst, heeft een soortgelijke strekking. Ook dit bedrijf claimt nooit aangepaste hardware of kwaadaardige chips in zijn servers te hebben ontdekt. Net als Apple ontkent het bedrijf met de overheid aan een onderzoek te hebben meegewerkt.

De Bloomberg-publicatie haalde verschillende bronnen aan en claimde dat de Chinese overheid door middel van een kwaadaardige chip op Supermicro-servermoederborden toegang heeft verkregen tot Amerikaanse bedrijven, waaronder het financiële persbureau zelf. De chip zou contact kunnen leggen met servers via internet om instructies te ontvangen en zou bovendien in staat zijn geweest om de software te modificeren.

Reacties (66)

Verwijderd 5 oktober 2018 17:20

Toeval wil dat er geprobeerd wordt canada te bewegen om Huawei te boycotten zoals Australie en de VS al doen.

Scott Jones baas van Canadese nationale cybersecurity wil er niet aan.

Super Micro verhaal komt als geroepen om de argumenten van de VS kracht bij te zetten. Vaag verhaal lekken naar bevriende journalisten en Scott Jones komt onder druk te staan van parlementariërs enz.

https://www.theregister.c..._no_reason_to_ban_huawei/

Blijft natuurlijk een kleine kans dat het wel waar is, in het verleden zijn er trucs uitgehaald met IBM typemachines voor amerikaanse ambassade te Moskou en NSA heeft meen ik geprepareerde Xerox kopieer apparaten ingezet.

http://www.cryptomuseum.com/covert/bugs/selectric/

http://electricalstrategi...ies-in-the-xerox-machine/

[Reactie gewijzigd door Verwijderd op 22 juli 2024 19:54]

curumir @Verwijderd • 5 oktober 2018 21:28

Als het al vanuit het Witte Huis komt dan verwacht ik ook een link met de beschuldigingen van Trump en Pence richtig China de afgelopen week. Ze zijn druk bezig om de Chinezen te beschuldigingen van het manipuleren van de verkiezingen in het voordeel van de Democraten.
Of andersom, men hoort dat dit artikel eraan komt en besluit er een leuke draai aan te geven.

https://www.wsj.com/artic...ouncil-session-1537963988

Trump Accuses China of Trying to Interfere in U.S. Elections
U.S. leader says he is being targeted ‘because I am the first president ever to challenge China on trade’

https://www.theguardian.c...ina-us-elections-meddling

Mike Pence accuses China of meddling in US elections despite lack of evidence
Vice-president’s allegation echoes similar claim made by Trump last week but has been contradicted by cybersecurity experts

[Reactie gewijzigd door curumir op 22 juli 2024 19:54]

mkools24 5 oktober 2018 14:59

Lijkt mij ook een beetje onzinnig en als het waar zou zijn economische zelfmoord van China want dan zou niemand hun chips meer kopen of daar laten maken.

Als je het zo leest klnkt het ook meer als iets uit een SF film ofzo. Een chip die contact legt met internet om instructies te ontvangen en software modificaties door te voeren, zoiets zou toch direct ondekt worden? Een beetje bedrijf met een IDS zou dit toch direct merken dus Apple en Amazon zeker.

Hoe dan ook ik heb ook een Supermicro server in een DC draaien en ik ga hem toch niet vervangen

bzuidgeest @mkools24 • 5 oktober 2018 15:03

Klinkt eigenlijk gewoon alsof bloomberg in de war is met de Intel Management Engine. Mogelijk probeerden chinezen lekken daarin te misbruiken? Kan me echter niet voorstellen dat amazon of apple de Intel Management Engine aan het internet blootstellen...

TheRealProcyon @bzuidgeest • 5 oktober 2018 18:00

Het zou theoretisch en praktisch wel mogelijk zijn dat er Chinese modifications op de boards zijn. Een hardware hacker/board producer heeft een gedetailleerde uitleg geplaatst over hoe het mogelijk zou zijn. https://securinghardware.com/articles/hardware-implants/ https://twitter.com/marcan42/status/1047938864579469312
https://twitter.com/securelyfitz

Z80 @TheRealProcyon • 5 oktober 2018 19:52

Het aanbrengen van een hardware modificatie is 1.
Om deze modificatie vervolgens ongemerkt met de buitenwereld te laten communiceren is een heel ander verhaal.
De BMC interface sluit je NOOIT op een netwerk met internet connectie aan. Dat is namelijk het zelfde als de deur van de serverruimte openzetten.
Dit nog buiten het monitoren van de firewalls waar een apparaat die een onbekende verbinding probeert op te zetten meteen groot alarm laat afgaan.

analog_ @Z80 • 5 oktober 2018 21:43

cloud providers sluiten die niet aan want dat een is een netwerk poort op je switch die geen productie doet -> zinloos in hun model waarin een single node irrelevant is.

Ook zal elke cloud provider in begin stadia niet vendor trouw zijn en elk merk voorhanden kopen vanwege onberekenbare groei.

[Reactie gewijzigd door analog_ op 22 juli 2024 19:54]

svennd @analog_ • 6 oktober 2018 10:01

Waarom zou je ipmi niet aansluiten ? Dat is remote power control. Lijkt me net wel voor een cloud provider handig. Overigens springt ipmi zonder dedicated label over op een bestaande kabel op de os interfaces.

[Reactie gewijzigd door svennd op 22 juli 2024 19:54]

mkools24 @bzuidgeest • 5 oktober 2018 15:06

Dat zou ook nog kunnen inderdaad maar ik lees de laatste tijd iets teveel van de Russen en de Chinezen die heel de wereld proberen te hacken. Het begint een beetje ongeloofwaardig te worden, of het is gewoon iemand de zwarte piet proberen toe te schuiven (of een roetveegpiet tegenwoordig).

sumac @mkools24 • 5 oktober 2018 16:50

Ik denk dat het eerder omgekeerd is. De Russen zijn continu bezig met hacken, en wij zien slechts een klein deel. De Amerikanen doen het ook, de Chinezen idem. Iran, Noord-Korea, Syrië, UK, Frankrijk - noem maar op. En Nederland, dat is wel aangetoond inmiddels. Wij doen ook mee.

dindr @sumac • 5 oktober 2018 19:43

Ik neem de berichtgeving tegen niet Westerde landen de laatste tijd met een korreltje zout. Een mooi voorbeeld was onze lieve Zijlstra versus de Poetin leugens.

Dat ze allemaal hacken, prima. Maar kom dan ook met berichtgeving over de efforts van de westerlingen. Zonder Snowden en Assange zouden we vrij weinig weten over de schaal van voornamelijk Amerika. Daarna is het op een paar kleine berichtgevingen ma, vrij rustig geweest.

Atomsk @dindr • 5 oktober 2018 21:08

Klinkt meer alsof je met een trucje probeert de complexe werkelijkheid hanteerbaar en verklaarbaar te maken: als de overheid partij X ergens van beschuldigt, dan zijn ze zelf nog veel erger, maar daar lees je niks over, maar daarom is het eerlijk dat ze teruggepakt worden en dus is er niks aan de hand! De rechtvaardige wereld is hersteld!

Klinkt leuk, maar zo werkt het helaas niet. Niet alles gebeurt om een duidelijke verklaarbare reden, zodat het terecht is. Omdat Zijlstra loog betekend niet dat Putin de waarheid spreekt. Serieus, waar slaat dat op? Ook Wikileaks is maar een deel van het verhaal.

Of die Chinese serverchips kwaadaardig zijn, geen idee. Onmogelijk is het echter niet. Bloomberg zou ook een verborgen agenda kunnen hebben, maar dan heb je wel meer bewijs nodig. Met "ik zie veel berichten in de media, dus dan weet ik het wel" kom je er niet. Dat zijn gemakzuchtige generalisaties.

sumac @dindr • 5 oktober 2018 21:19

Er is toch berichtgeving? De MIVD die laatst Russische camera's hackt om een verband met MH17 aan te tonen. En je noemt het zelf: Snowden, Wikileaks - genoeg gelekt. Ik vermoed dat de Russen ook wel wat hackpogingen van het westen ontdekken of af weten te weren, maar blijkbaar zit er voor hen geen voordeel in om het bekend te maken. Of misschien laten ze die hackpogingen wel doorlopen en monitoren en manipuleren ze wat er gebeurt.

Jij mag je mening hebben, maar ik zie het vooral als voorbeeld de Russen die succesvol zijn het beeld te manipuleren.

Storm-Fox @mkools24 • 5 oktober 2018 15:14

To be a good guy, you need some bad guys.

batjes

Security

@mkools24 • 5 oktober 2018 17:35

Ah mooi, dat betekend dat de propaganda werkt.

Zolang je het vaak genoeg herhaalt, gaan mensen het zelf geloven.

De Russen en Chinezen doen echt geen zak anders dan wij Westerlingen.

Primuszoon @mkools24 • 5 oktober 2018 15:24

Goh, ik denk wel dat de Russen en de Chinezen overal wat proberen te hacken, maar dat het eerder een verhaal is van een pot en een ketel. VK, USA en anderen zullen er ook wel op los hacken. Het feit dat het allemaal moeilijk te bewijzen is wie wat net waar doet, maakt het een perfect system om elkaar wat te destabiliseren en propaganda te voeren om het op "de andere" te steken.

schonkeren @bzuidgeest • 6 oktober 2018 11:48

Khad ooit een mini-pc die steeds te heet werd volgens intel management engine. Ik heb hard mijn best gedaan, maar ik kon het niet omzeilen. Niet dat ik een hacker of coder ben, maar ik ben een "expert" met standaard windows dingen

Ik heb er echt veel tijd ingestopt toen - IME is niet te slopen, toch?

Olaf van der Spek @mkools24 • 5 oktober 2018 15:08

Als je het zo leest klnkt het ook meer als iets uit een SF film ofzo.

Hoezo, de NSA doet dit soort dingen toch ook gewoon?

latka @mkools24 • 5 oktober 2018 15:24

Je een na laatste punt (ze hebben IDS, dat hebben ze zo door) is vorig jaar al om zeep geholpen toen bleek dat een 16 jarige meer dan een jaar op de server van apple kon kloten voordat ze het doorhadden.
Genoeg verhalen recent gezien van IDS'en die uitgezet zijn wegens de hoeveelheid false positives (ING Bank), of gewoon niet geupdate waren en de certificaten waren verlopen (Equifax).

Zodra een perswoordvoerder het woord neemt en zaken ontkent is meestal het omgekeerde waar blijkt meestal in dit soort zaken.

Overigens denk ik dat Bloomberg idd. de supermicro IPMI of Intel ME bedoelt (alhoewel men spreekt over een extra chipje). Dat zou dan nog steeds kunnen en het chipje zit er alleen via SPI aan om de firmware te veranderen. Niet onmogelijk en, gezien de klanten die Supermicro bedient, niet zo vreemd.

En dat China het niet zou doen want het is slecht voor de handel: gisteren nog Russen dei wifi zitten te sniffen opgepakt. Is ook niet goed voor de relatie. En Supermicro is een Amerikaans bedrijf die bij Soyo in Taiwan spullen laat maken. Als de shiit de fan hit is het de schuld van Taiwan. De kans dat we vervolgens niets meer in china laten maken is ook nul: want te goedkoop.

jpsch @mkools24 • 5 oktober 2018 15:29

Cisco maakt toch ook nog steeds routers?

https://www.tomshardware....ounts-software,37480.html

GamingZeUs @mkools24 • 5 oktober 2018 16:35

Whoosh

een SF film ofzo? Dat je chip exploited is? Ja stel je voor! Een computerchip met onzichtbare processing! No way!

(protip: je IDS heeft ook exploits zodat magic packets untracked en unblinked doorlopen)

Ryada @mkools24 • 5 oktober 2018 16:54

Het is toch mogelijk ook al lijkt het op een SF verhaaltje.
Mocht het echt waar zijn (aangezien apple, amazon etc zeggen er niks van te weten) zou het het meest waarschijnlijk zijn dat de chip een Man in the middle attack tussen de SPI ROM en de BMC uitvoert, en patched het de BMC software tijdens het lezen ervan om de backdoor toe te voegen.
Als er messages door de bus komen wacht het op specifieke instructies en voegt het zijn eigen instructies er aan toe in dead space.
Op reddit staan er zelfs nog een paar interessantere reacties over dit onderwerp.
(excuus voor mijn nederlands, ben er geen held in

)

Nha @mkools24 • 8 oktober 2018 07:41

Lijkt mij ook een beetje onzinnig en als het waar zou zijn economische zelfmoord van China want dan zou niemand hun chips meer kopen of daar laten maken.

Bedrijven zitten echt niet te wachten om hun producten in het dure Westen te maken hoor. Zolang China lage prijzen biedt kan het de bedrijven hier niks schelen. Ook hebben ze weinig keuze, alles zit al in China of Taiwan.

Verwijderd 5 oktober 2018 15:00

Fake news van Bloomberg om Chinese hardwarefabrikanten in een kwaad daglicht te stellen? Vind het erg bijzonder dat Bloomberg zelf met dit soort conclusies komt.

himlims_ @Verwijderd • 5 oktober 2018 15:07

“Our job is to report the news, not fabricate it. That’s the government’s job.”

fantafriday @himlims_ • 5 oktober 2018 15:28

Vandaar ook de anonieme bronnen van de Amerikaanse overheid

Cilph @himlims_ • 5 oktober 2018 15:54

'We're reporting there's raping and looting, and yes, even acts of cannibalism."
"My god, you've actually seen people looting, raping, and eating each other?"
"No, no, we haven't actually seen it Tom, we're just reporting it."

Anonymoussaurus

Security

@Verwijderd • 5 oktober 2018 15:14

Iets met 'don't shoot the messenger': https://www.nu.nl/interne...-bij-apple-en-amazon.html

Bloomberg blijft vooralsnog achter zijn berichtgeving staan. "Zeventien bronnen, onder wie ambtenaren van de Amerikaanse overheid en bronnen van de bedrijven, hebben de manipulatie en andere onderdelen van de aanval onafhankelijk van elkaar bevestigd", stelde Bloomberg donderdag in een verklaring.

Nu zeg ik niet dat het waar is, maar Bloomberg bericht er ook alleen maar over.

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 19:54]

Diablo_GT @Anonymoussaurus • 5 oktober 2018 15:26

Waren het niet allemaal anonieme bronnen?

xenn99 @Diablo_GT • 5 oktober 2018 16:15

Anoniem voor ons, maar natuurlijk niet voor Bloomberg.. Die weten precies wie deze bronnen zijn.

Aangezien dit artikel uit Amerika komt en je daar vrijwel direct wordt aangeklaagd als je ongeverifieerd nieuws over grote bedrijven als Apple en Amazon naar buiten brengt,
lijkt het me zeer onwaarschijnlijk dat bloomberg dit niet goed heeft gecheckt.

Waar rook is is vuur dus er zal toch wel degelijk iets zijn voorgevallen.
Nou lijkt het verhaal van Bloomberg op technisch gebied wel wat wankel dus hoe het precies in elkaar steekt blijft gissen.

GamingZeUs @xenn99 • 5 oktober 2018 16:33

Anoniem voor ons, onachterhaalbaar voor Bloomberg.

Bronbescherming is synoniem met een originele claim van Bloomberg. Bloomberg gaat hiermee dus keihard op z'n plaat.

Bloomberg heeft vele reporters, dus een enkele misleide is kansrijk. Dat terwijl een navraag bij de bedrijven door een agentschap in het buitenland die ook door reguliere media opgepikt wordt wel een follow-up-trail heeft, en dus betrouwbaarder geacht mag worden.

Uiteindelijk zijn alle computers totaal lek voor de agentschappen, door zo verschrikkelijk veel fouten, waarvan zovelen georganiseerd/geplaatst kunnen zijn, dat dit soort media bij mij altijd in het "underplay the issue in public"-keelgat valt.

Wel prachtig dat je Bloomberg betrouwbaarder acht =) toont maar precies hoeveel zekerheid reputatiemechanismes overdragen.

HMC @xenn99 • 5 oktober 2018 16:38

Errrm, het waren juist Apple en Amazon die deze berichten ontkrachtten door te zeggen dat zij zelf hier niets van hebben gemerkt.

Bovendien is het weer Bloomberg die zegt dat Bloomberg het misschien niet fout had, "want bronnen die we uiteraard niet kunnen prsijsgeven".
Nu snap ik dat ze de bronnen niet zullen/kunnen/willen prijsgeven, maar alles graag wel even in perspectief plaatsen.

Bovendien beschouw ik (men) Bloomberg al sinds een paar jaar als iets om met kilo'tjes zout te nemen.
Maar dat is subjectief.

Diablo_GT @xenn99 • 5 oktober 2018 16:39

De chip zou contact kunnen leggen met servers via internet om instructies te ontvangen en zou bovendien in staat zijn geweest om de software te modificeren. De bedoeling was om op die manier een backdoor te hebben in de netwerken waar de servers zich in bevonden. De chips ter grootte van een rijstkorrel zouden eigen cpu-kernen, eigen netwerkmogelijkheden en eigen geheugen hebben gehad.

Dit allemaal in een rijstkorrel? Ik twijfel toch aan die anonieme bronnen. Ja, ook aan Bloomberg.

Marty007 @Diablo_GT • 6 oktober 2018 19:18

Ik geloof weinig van dat hele Bloomberg.. naar mijn mening is het gewoon een propaganda machine. Net als zoveel van dat soort bedrijven in de politieke en economische werelden..

Maar dat alles staat los van het formaat van de chip. Ja dat kan best een rijstkorrel groot zijn. Wat is daar nou weer zo vreemd aan..
Je hebt het niet over een volledige gpu ofzo.. en cores kunnen erg klein zijn. Hoeft niet perse een ryzen core te zijn hoor... of zelfs maar in de buurt van die snelheden/rekenkracht..
Het is een achterdeur..

TheRealProcyon @xenn99 • 5 oktober 2018 18:03

Zie mijn links die ik heb geplaatst elders. Die recente tweets/die site leggen uit hoe het wel mogelijk zou zijn.

mahsalti @Anonymoussaurus • 5 oktober 2018 16:34

Kan het persoonlijk van een aantal kanten bekijken (pure zelf speculatie en niets hiervan is waar, onwaar en/of bevestigd)

"
1. Apple en Amazon ontkennen om hun publieke belangen te beschermen.

2. Overheid heeft dit zelf gepland om China in het verkeerde licht te plaatsen. (vaker gebeurd zie bijvoorbeeld Amerika - Rusland en publieke relaties)

3. Publicatiteitsstunt voor het Chinees Bedrijf? China zal alsnog hun belangen beschermen met Chinese bedrijven. Slecht niets over een onbekend bedrijf is soms beter dan geen nieuws en dus een publiciteitsstunt?

"

[Reactie gewijzigd door mahsalti op 22 juli 2024 19:54]

Anonymoussaurus

Security

@mahsalti • 5 oktober 2018 16:46

Maar als het zou zijn om publieke belangen te beschermen, zou je ook niet zulke uitgebreide reacties verwachten.

fommes @mahsalti • 5 oktober 2018 18:05

Of wel gevonden maar bleek eigenlijk chip van de NSA, dus ontkennen dan maar

mahsalti @fommes • 5 oktober 2018 18:31

Als dat gebeurd dan gaan zij het niet ontkennen. NSA heeft al eerder dit soort praktijken gehad. Met o.a. Netwerk randapparatuur echter hebben zij toen de firmware aangepast. Heel slim allemaal.

Verwijderd @Verwijderd • 5 oktober 2018 16:45

Bloomberg heeft daar een handje van. Het is mij al meermalen opgevallen dat ze Chinese berichtgeving zodanig verkeerd uitleggen dat je haast opzet gaat vermoeden om paniek te zaaien.

Nu gaat het hier weliswaarom andere bronnen (niet Chinese berichtgeving), maar het zou me niks verbazen als het achteraf flink aangedikt blijkt.

Octium 5 oktober 2018 15:52

Ik sluit niet uit dat het kan, verre van triviaal. Maar de grote vraag is wel, waarom zou het china zijn die erachter zit? Omdat het bij een producent in china erin is gekomen wilt niet zeggen dat het china is. Waarom zou het de NSA niet zijn?? Of rusland?? Die hebben ook vast baat bij een dergelijk hw hack.

GamingZeUs @Octium • 5 oktober 2018 16:39

Dit is de juiste opmerking.

Chinees bedrijf is ook vatbaar voor infiltratie van buitenaf, en de oorsprong van de hack is onduidelijk. Chinese overheid is ook niet van 1 gedachte, en het idee "samen tegen het volk" is niet eens zo gek.

Kenzi 5 oktober 2018 15:57

Ondertussen is de stock van Lenovo en ZTE 15% gedaald na dit nieuws.
Apart want beide maken geen gebruik van Supermicro.

Dit lijkt meer op een uitbreiding van de tradewar tussen US en China dmv van stock manipulatie.
Zie bijv ook de arrestatie van dw JD oprichter in de US waar na de JD stock enorme daalde.

[Reactie gewijzigd door Kenzi op 22 juli 2024 19:54]

GamingZeUs @Kenzi • 5 oktober 2018 16:43

Handelaren anticiperen wellicht een daling van de verkopen vanuit China, of een nieuws-vervolg waaruit ook blijkt dat ZTE (eerder zodanig besproken) of Lenovo (eerder pre-installed spyware die ook lekt aan overheden geleverd) dergelijke addertjes onder het gras hebben zitten.

Tradewar nieuws is logisch gezien de origine Bloomberg is. Dat de Britten het dan ontkrachten is vreemd, behalve als je beseft dat het wel heel obvious zou zijn als de Amerikanen alles zelf deden, en de Britten lekker nauw samenwerken, dus wel zo makkelijk. Effect zit toch wel snor. Men is bang, maar niks is duidelijk, ben je niet blij met dat we je veilig houden?

Tozz 5 oktober 2018 16:04

Wat ik vooral vreemd vind aan dit verhaal is hoe die chip zou moeten werken. Een chip ter grote van een balpenpunt kan niet erg krachtig zijn. Plaatjes van de chip laten 6 SMD plaatjes zien. Op welke bus was die chip dan aangesloten? Hoe verstuurd die chip z'n verzamelende data dan naar buiten?

Je kunt ook niet een chip die data moet kunnen inzien zomaar ergens op je mobo plakken. Er moet dan in het PCB ontwerp al rekening gehouden worden met de aanwezigheid van die chip

Op de animatie van bloomberg (geen idee hoe accuraat dat is) lijkt het chipje op een verder ongebruikte plaats (niet op of onder een bestaand component geplakt). Dan moeten er dus traces (verbindingen) zijn naar die chip.

Als je dit bericht technisch bekijkt dan zie ik nog wel wat uitdagingen waardoor ik denk dat dit wel eens een HOAX kan zijn.

DigitalExorcist @Tozz • 5 oktober 2018 16:37

Dat technische deel is vooral het probleem. Zo’n chipje met pakweg 128Kb aan RAM en wat processing kracht zou nog kunnen. Maar dan: je moederbord moet er inderdaad op voorbereid zijn. Ni kan dat vanuit de fabrikant nog. Maar dan het versturen van de data. Firewalls pakken ook dataverlies op tegenwoordig. NFC misschien? Dan is nabijheid van een lezer nodig. En ga zo maar door.

De infosec-community op Twitter gaat er ook op los en neemt het ook met een flinke korrel zout..

GamingZeUs @Tozz • 5 oktober 2018 16:41

Volgens de Snowden leaks waren de NSA's apparaten veelal niet meer dan een enkel FET dat tussen de signaallijnen zat, om zodanig middels een draagbare radar uitlezen op afstand mogelijk te maken. Meestal waren deze verwerkt in de poort zelf (in een connector die verder identiek was).

Een chip hoeft meestal maar een enkele specifieke bit te flippen en je bent al naai.

Tozz @GamingZeUs • 8 oktober 2018 10:57

Als dit chipje geen antenne heeft (en dat heeft het niet, zo wel dan moet dat al een voorbedachte PCB trace zijn) dan is het bereik marginaal. In ons datacenter komt ons WiFi signaal al niet eens naar buiten omdat de muren van metalen/alu (geen idee) gevelplaten zijn. In de grotere Amerikaanse steden zitten DCs ook gewoon in wolkenkrabbers. Hoe wil je dat signaal dan ooit oppakken? Met een drone voor het raam gaan vliegen?

Een bitje flippen zorgt nog niet voor het uitlekken van data. Dat zorgt hoogstens voor corruptie van data.

GamingZeUs @Tozz • 12 oktober 2018 11:30

Nee, je leest niet. De FET produceert een klein magnetisch veld dat middels een handzame RADAR te detecteren is.

De normale modus operandi was het gebouw tegenover de gordijnen dicht en je radar op tafel leggen, richten, en het op juiste frequentie gemoduleerde signaal vinden.

Je zou zegmaar, niet uit je nek kunnen lullen en de NSA als partij serieus kunnen nemen. Ik weet af en toe echt niet waarom mensen dat omdat zei het niet weten het niet kan. Alsof je zegt dat je professor het niet kan weten want je weet zelf niets erover.

latka @Tozz • 5 oktober 2018 17:30

Zonder meer informatie is het gokken. Maar op een Supermicro bord zit 9 van de 10 keer een IPMI lan aansluiting voor beheer. Deze heeft een eigen (geheime) OS dat je gebruikt om remote de machine te bedienen zonder OS geinstalleerd te hebben. Lights-out management wordt het ook wel genoemd. Ik vind het vreemd dat ze een losse chip zouden gebruiken, de firmware van die IPMI vervangen levert geen sporen op. Dit is vergelijkbaar met Intel ME waar het ook kon/kan. Een 6 polig chipje klinkt als een SPI aangelosten serieel uitleesbaare chipje. Vrij gebruikelijk voor ROM/early startup.

Data versturen is triviaal vanaf een ME/IPMI omgeving: dat is waar ze voor bedoelt zijn, dus de beheerder sluit er gewoon een lan-kabel op aan. Vaak in het managemetn lan die niet voor klaten bedoelt is (dus is IDS al minder waarschijnlijk).

Mocht het wel een chip zijn die in het ontwerp mee moet komen: supermicro doet alles in China behalve de koerstnotering. Dus dat is niet zo'n probleem. Ik snap alleen niet dat met niet de firmware route gebruikt: dat valt veel minder op.

Squee

Security

@Tozz • 5 oktober 2018 17:40

Deze Security researcher heeft een goeie samenvatting geschreven van hoe het zou kunnen werken, het komt neer op het beheersen van de BMC chip via een serieele bus, eigenlijk zoals ik gisteren al ergens in een comment op het originele artikel schreef;

https://www.lightbluetouc...micro-motherboard-attack/

Jonathan-458 5 oktober 2018 15:38

We hebben echt veel meer informatie nodig over dit verhaal.

Het is zeker plausible, NSA deed/doet het door de zendingen te onderscheppen dus het zou goed mogelijk dat de inlichtingen van het land waar de producten gemaakt worden de fabrikant forceert een "Spy Chip" in te bouwen, maar het is momenteel erg vaag allemaal.

[Reactie gewijzigd door Jonathan-458 op 22 juli 2024 19:54]

Chris_147 5 oktober 2018 15:47

Op security sites is men toch ook sceptisch over dit nieuwsbericht.
Ik lees een bericht van een werknemer bij een bedrijf dat een Elemental server van Super Micro heeft die de hele dag door netwerk logs is gegaan en niets heeft kunnen vinden. Kan zijn dat die dingen chips enkel bij bepaalde klanten geïnstalleerd werden of actief zijn.
Maar ieder bedrijf dat goed met netwerk security bezig is (en dan lijken Apple en Amazon me toch), gaat dit toch direct detecteren in hun netwerk logs.
Ik vind het een heel raar bericht. Bloomberg had toch gemakkelijk de IoC's van de C2 servers kunnen publiceren, of een pcap.

[Reactie gewijzigd door Chris_147 op 22 juli 2024 19:54]

GamingZeUs @Chris_147 • 5 oktober 2018 16:37

Welke computer heeft geen chips, en geeft je toch een network log?

Heb jij een computer met onafhankelijk gevalideerde hard en software? Dan zou je de enige zijn.

Hoeveel van je hardware komt danwel uit de silicon valley en omstreken, danwel uit Guanzhou en omstreken?

Hoeveel netwerkhardware wordt niet gemaakt door een amerikaanse danwel chinees supercorp dat zo groot is dat het altijd geinfiltreert kan worden?

Chris_147 @GamingZeUs • 5 oktober 2018 19:17

Je hebt gelijk dat als ook de netwerkapparatuur gehackt zou zijn, men het netwerkverkeer niet zou zien.
Maar daar rept het Bloomberg artikel helemaal niet over.
En daarom vind ik dit artikel zo raar.
Technisch is alles wat beschreven staat zeker mogelijk. Maar enkel anonieme bronnen, geen enkel bewijs, geen enkele waarschuwing van DHS/US-CERT,...
zeer vreemd...

gitaarwerk 5 oktober 2018 15:52

Ik ben wel erg benieuwd of er waarheid in zit. Heb jarenlang ook supermicro servers gebruikt. Vond het toch wel fijne apparaten.

Aardbol_23564 5 oktober 2018 16:43

Dit lijkt mij dus sterk op FAKE news van Bloomberg, waar niets wordt onderbouwd door harde bewijzen maar ze toch wel sterk benadrukken hoe China misbruik maakt. Maar dit lijkt ook niet gedetecteerd geweest te zijn door al die "hoogtechnologische" sensoren van Facebook en dergelijke en zo bestempeld te worden. Zolang het negatief nieuws van USA is over China en Rusland, zal het zeker nooit fake news zijn?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (66)

Sorteer op:

Weergave: