Ook VS twijfelt niet aan ontkenningen Apple en Amazon over Supermicro-hack

Het Amerikaanse ministerie van Binnenlandse Veiligheid heeft geen reden om te twijfelen aan de verklaringen van Apple en Amazon. Daarin stellen de bedrijven dat de berichtgeving over een hack via een kleine chip op servers van Supermicro niet klopt.

Het ministerie heeft een statement gepubliceerd waarin het zegt dat het net als het Verenigd Koninkrijk op dit moment geen aanleiding ziet tot twijfel over de ontkenningen van de bedrijven. Vrijdag liet het Britse National Cyber Security Center, dat onderdeel is van de Britse inlichtingendienst GCHQ, al weten geen reden te zien om de verklaringen van Apple en Amazon Web Services in twijfel te trekken.

Apple heeft ook het Amerikaanse Congres een brief gestuurd, waarin het nog eens benadrukt geen sporen of bewijs van een hack gevonden te hebben. De brief, die in handen is van Reuters, is gestuurd door George Stathakopoulos, vice president Information Security bij Apple.

In de brief staat dat Apple herhaaldelijk de aantijgingen heeft onderzocht en geen bewijs heeft gevonden voor de hack die volgens Bloomberg heeft plaatsgevonden. Volgens Stathakopoulos gebruikt Apple propriëtaire software die uitgaand verkeer scant, om zo malware en kwaadaardige activiteiten op te sporen. "Er is nooit iets gevonden", aldus de brief. De beveiligingstopman van Apple zegt beschikbaar te zijn om verder in te gaan op de zaak tegenover het Congres.

Financieel persbureau Bloomberg bracht vorige week een uitgebreid verhaal naar buiten waarin het claimt dat grote bedrijven, waaronder Apple en Amazon, slachtoffer zijn geworden van een hack via serverleverancier Super Micro. Moederborden van de servers zouden in China voorzien zijn van een extra chip, waarmee toegang tot de servers mogelijk was. De hardwarematige backdoor zou volgens Bloomberg ontdekt zijn door de bedrijven in 2015 en de FBI zou een onderzoek ingesteld hebben. Het verhaal is volgens de publicatie gebaseerd op zeventien bronnen, zowel bij de bedrijven als bij overheidsinstanties. Apple geeft in zijn brief aan dat sommige aantijgingen gebaseerd zijn op minder bronnen en in enkele gevallen op één bron afgaan.

Reacties (90)

Keypunchie

Apple

8 oktober 2018 07:45

Zo'n raar verhaal dit. Apple en Amazon zijn vaak genoeg *wel* gehackt om niet per se zenuwachtig te hoeven worden van toegeven als het wel gebeurd is. Zeker als het een zaak uit 2015 betreft.

Met name voor Apple is dan de normale modus operandi om te zeggen "Er was een incident. Dit is gedetecteerd en we hebben ernaar gehandeld" en verder oorverdovend te zwijgen.

Bloomberg aan de andere kant, is ook geen amateuristische partij. Die doen doorgaans gedegen journalistiek. En dat Apple de banden met Supermicro verbrak over veiligheidsincidenten is al langer een verhaal. Maar dat ging over firmware-versies. Dat het een hardware-compromise zou zijn, is nieuw (en enigzins onwaarschijnlijk).

Zouden de bronnen van Bloomberg dan liegen? Hebben daar een aantal een verhaal verzonnen, misschien om de verhoudingen met China te verslechteren, nu dat de spanningen VS en China op handel goed oplopen?

[Reactie gewijzigd door Keypunchie op 23 juli 2024 17:39]

Barryke @Keypunchie • 8 oktober 2018 08:12

Of dit artikel was maar de halve waarheid. Ten eerste is er geen reden dat dit een los chipje moest zijn; dat hadden ze vanzelfsprekend in menig bestaand component kunnen verwerken zonder dat het herkenbaar is voor gebruikers/klanten.
Daarnaast zegt het niets gedetecteerd hebben ook niet veel, het zou immers ook niet slim zijn van zo'n onderdeel om zich zo te manifesteren.

heuveltje @Barryke • 8 oktober 2018 13:29

Dat artikel is tot nu toe gewoon onzin.

Je kunt best een artikel schrijven over hoe het theroretisch mogelijk zou zijn voor de chinese overheid om fabrikanten verplicht te stellen backdoors in te bouwen. Maar dit zou dan puur speculatief zijn.

Echter dat was niet dit artikel !
Dit artikel beweert :
Dat dit heeft plaatsgevonden.
Dat meerdere bedrijven hiervan op de hoogte zijn.
Dat de FBI hier al een onderzoek op in heeft ingesteld.
Dat dit een fysieke chip zou zijn die erbij geplaatst zou zijn op een mobo
Dat die chip bijna magisch is. maar 1 mm2. 6 pinnen. en toch voorzien van eigen geheugen , processorkracht en externe connecties om een complete (blijkbaar elk soort ?)OS zodanig aan te passen dat er ingelogd kan worden, en een netwerk connectie leggen (wederoom door meerdere hardware lagen heen) om dit te melden.
Hier al 3 jaar onderzoek naar word gedaan.

Bovenstaand artikel zou gestaaft moeten worden door bergen bewijs, zeker omdat het om een fysieke chip gaat. En daarnaast zou trump&co er om staan te springen om china zwart te kunnen maken hiermee.

Dus is het zeer onlogisch dat er vervolgens alleen maar ontkenningen komen vanuit alle kanten. en geen bewijs behalve "anonieme bronnen".

Puffino @heuveltje • 8 oktober 2018 14:57

Een foto van dat chipje had het een wellicht iets krachtiger verhaal gemaakt.

"Zo herken je de versie van het moederbord ZONDER, en zo herken je het moederbord MET he rijstkorrel chipje."

Ik moet die foto's ook nog tegenkomen.

Ik snap jou scepsis wel ;-) En dat het uit China een rijstkorrel-groot chipje betreft vind ik ook wel een beeeeetje een flauwe grap van 1 april niveau.

heuveltje @Puffino • 8 oktober 2018 15:08

Die foto is er sort of.
Maar daar word je niet heel veel wijzer van.

https://assets.bwbx.io/im...2IgDb_zs/v0/-999x-999.gif

EraYaN @heuveltje • 8 oktober 2018 16:06

Dat lijkt meer op een render.

mhkool @Puffino • 8 oktober 2018 16:05

Er is een foto maar die is te vaag.
Er zijn geen moederborden met de spy-chip beschikbaar om een onafhankelijke specialist te laten verifieren.
Er ontbreken veel feiten in het verhaal en er zijn alleen anonieme bronnen... dat is verdacht.
De Amerikaanse overheid is de laatste tijd extreem anti-China dus een beetje fake news is logisch.

Cerberus_tm

@heuveltje • 8 oktober 2018 15:47

Aan de andere kant zijn Trump en zijn partij op de hand van de multinationals, dus zullen ze er alles aan doen hun dier winsten te beschermen. En als blijkt dat Amerikaanse hardware een veiligheidsrisico is, kan dat de winsten danig aantasten.

scsirob @heuveltje • 8 oktober 2018 16:03

Er is niet heel veel nodig om een backdoor in te bouwen. De meeste CPU's hebben diagnostics modes die met een paar datalijntjes ingesteld worden. Denk aan I2C techniek. Door een klein chipje in te bouwen die dat datalijntje activeert kan je de CPU dingen laten doen die anders niet mogelijk zijn.

Abom @Keypunchie • 8 oktober 2018 08:16

Apple en Amazon hebben echter ook een reden om dit niet op te blazen. Wanneer ze de servers niet meer in gebruik hebben of het lek hebben gedicht, is het probleem voor hun ook opgelost. Het is voor beide bedrijven niet interessant om olie op het vuur van de trade-war te gooien.

Misschien is de backdoor niet zo erg als het lijkt, bijvoorbeeld door die 'proprietary security software', ik verwacht toch dat er zal toch wel iets hebben gespeeld.

Keypunchie

Apple

@Abom • 8 oktober 2018 09:26

Maar ze hebben nog minder reden om te liegen.

Geen commentaar is net zo makkelijk, indien ze wel gehackt waren. Nu zijn ze aktief aan het tegenspreken.

bamboe @Keypunchie • 8 oktober 2018 09:38

Ze hebben verklaard dat ze geen bewijs gevonden hebben op dit moment voor die hack.
Dat wil niet zeggen dat die hack niet heeft plaatsgevonden.
Het zou kunnen dat het niet heeft plaats gevonden, het zou ook nog kunnen dat ze later wel bewijs vinden dat die hack er geweest is.

Ze kunnen nog alle kanten op met hun verhaal.

Verwijderd @bamboe • 8 oktober 2018 09:55

Dat is niet helemaal waar, want Bloomberg citeert Senior Apple mensen. Dit ontkennen komt vanaf executive niveau. Zou een beetje vreemd zijn als er meldingen zijn gedaan naar de FBI, maar Tim Cook en de clan weet daar niks van af.

monojack @Abom • 8 oktober 2018 08:44

Maar het zit wel op een niveau waar ze niet kunnen liegen. Hier zal sowieso een onderzoek naar volgen dus als ze liegen of het downplayen kunnen ze mee beschuldigd worden van spionage.

bbob

Amazon

@monojack • 8 oktober 2018 10:31

Als een minister zegt niet te twijfelen zal er wel een waarheid achter zitten.

Sterker nog als het wel zo zou zijn reken er maar op dat diezelfde minister het openbaar zal maken om china in een kwaad daglicht te zetten.

BlackOwl @bbob • 8 oktober 2018 18:49

Een minister die is aangesteld door Trump.
Dus wat die zegt, dat zegt niet veel.

bbob

Amazon

@BlackOwl • 9 oktober 2018 10:32

Eens kijken Trump is redelijk antio china in zijn uitlatingen, snacties enz.
Lijkt me als dit waar zou zijn Tru8mp de eerste zal zijn die dit zal gebruiken om zijn gelijk te krijgen kijk wat ze hebben gedaan.

Als een minister zegt het is niet waar denk ik dat je er vanuit mag gaan dat het niet waar dis.
Mocht het toch waar zijn, 3x sorry je hoeft niet te raden wat er dan met die minister gebeurt.

monojack @Keypunchie • 8 oktober 2018 08:15

Weet je wat het probleem is in 2018? Het nieuws is zo onbetrouwbaar geworden. Er zijn zelfs Russische trollenfabrieken ingezet om The Last Jedi aan te vallen. Dus ja dit zou ook wel eens een vorm van fake news kunnen zijn. Misschien Poetin die Trump een handje helpt en ons allemaal in de richting van China wil doen kijken als het over hacken gaat?

Cergorach

Amazon
Networking en security

@monojack • 8 oktober 2018 11:26

Misschien Poetin die Trump een handje helpt

Ik zie dit eerder als een interne VS 'job', het strijkt imho heel erg met de richting die de VS al veel langer op wil, productie terug naar eigen land. Dergelijke verhalen zorgen voor veel discussie en verwarring. En vervolgens met een big smile zeggen "Niets aan de hand! Move along now..." zorgt er voor dat er bij veel mensen de haren rechtovereind gaan staan en juist achterdochtig gaan worden.

The Last Jedi had helemaal geen Russische trollen nodig om een slechte beoordeling te krijgen van de oudere SW films...

HDoc @monojack • 8 oktober 2018 11:33

Het positieve is dat de onbetrouwbaarheid van het nieuws nu zo veel duidelijker is geworden omdat we er online allemaal over kunnen meepraten. Dat het nieuws eerder ook niet zo heel betrouwbaar was, komt daarbij niet aan de orde.

"vroeger" was niet alles "beter", hooguit minder transparant.

locke960 @Keypunchie • 8 oktober 2018 09:36

Dit is toch anders. Stel dit is echt gebeurt, en dat is een grote aanname want je zet niet zomaar even een chipje met complexe functionaliteit bij op een moederbord, wat betekent dat dan?

Het betekent dat SuperMicro hier op alle nivo's aan heeft moeten meewerken, anders was dit nooit gelukt.
Dat betekent dat SuperMicro per definitie niet betrouwbaar is.
Dat betekent dat je hun producten niet meer zou moeten gebruiken.
En er is geen enkele reden om aan te nemen dat het met andere Chinese bedrijven anders gesteld is.

Dus door dit te erkennen schep je een situatie waarbij alle Chinese producten als niet te vertrouwen worden aangemerkt. En als dit verhaal waar is zou dat ook een terechte conclusie zijn.
Maar wat ga je dan doen? Geen Chinese producten meer gebruiken? En je bedrijf ten onder laten gaan?
Wat gaan westerse regeringen dan doen? Gebruik van Chinese high-tech producten verbieden?
Dat zouden logische gevolgen zijn, maar dat veroorzaakt gegarandeerd een ongekende globale economische en politieke crisis.

Voor alle betrokkene dus redenen genoeg om het te ontkennen, zelfs als het waar is.
En de Chinesen kennen de gevolgen ook, die zitten ook niet op een dergelijk crisis te wachten, dus die zullen ook wel uitkijken met dergelijke acties. Dat maakt het nog onwaarschijnlijker dat het waar is.

Dit alles is natuurlijk een perfect voorbeeld van een samenzweringstheorie. Het kan echt gebeuren en iedereen heeft een motief om het onder de pet te houden, dus het is nauwelijks te ontkrachten.

amigob2 @locke960 • 8 oktober 2018 10:31

En uiteindelijk blijkt de chip van de NSA af te komen, en waren de moederbord fabrikanten verplicht dit er op te zetten :-) .

silverstar255 @amigob2 • 8 oktober 2018 11:01

We kunnen dus beter richting Trump dus VS kijken als het over hacken gaat.

Sandor_Clegane @locke960 • 8 oktober 2018 10:57

Vergeet niet dat je reputatie als cloud provider ook een redelijke deuk oploopt als je loopt te schermen dat je beveiliging top notch is. Zowel voor Apple als Amazon.

Tozz @Keypunchie • 8 oktober 2018 10:53

Ik had vroeger altijd wel een hoge pet op van journalistiek, maar sinds ik een Tesla (ja, off-topic) rijdt en het nieuws omtrent Tesla volg is mijn mening wel echt 180 graden gedraaid wat dat betreft.

Er komt echt zoveel onzin en verdraaide waarheden uit de pers mbt. Tesla dat ik ben gaan twijfelen aan elk artikel dat de media nu naar buiten brengen. Ik vond Trump met zijn 'fake news' altijd dom gezwets, maar er zit wel degelijk een waarheid in zijn poging om elk negatief bericht van hem af te doen als fake news.

In het geval van Tesla merk je duidelijk dat bepaalde nieuwsberichten "gestuurd" zijn door Tesla short sellers. Ook niet verwonderlijk, want er gaat miljarden om in die short selling wereld. Elk negatief nieuwsbericht is goed voor miljoenen aan winst.

Het is evengoed mogelijk dat dat hier ook het geval is, de koers van Supermicro is enorm gedaald sinds dit bericht.

En dan kan de waarheid zoiets simpels zijn als 'Oh we keken naar een verouderd PCB schema, sorry'.

Het verhaal dat hier wordt geschetst is ook haast onmogelijk. Een chipje zo groot als de punt van een balpen kan eigenlijk niet zoveel doen. Daar is het a) niet krachtig genoeg voor b) het moet wel op de juiste bus(sen) zitten om iets te kunnen lezen en c) het moet nog iets naar buiten kunnen sturen.

Deze combi van 3 factoren zijn zo onwaarschijnlijk dat ik hier niet twijfel aan het verhaal van Apple en Amazon. Neem daarbij mee dat zo'n chipje alleen kan werken als op de PCB al printbanen aanwezig zijn om de chip aan te sluiten (wat impliceert dat Supermicro er vanaf wist). m.i. kan dit verhaal alleen maar grote lariekoek zijn

Atlantis1995 @Tozz • 8 oktober 2018 14:36

Deze combi van 3 factoren zijn zo onwaarschijnlijk dat ik hier niet twijfel aan het verhaal van Apple en Amazon. Neem daarbij mee dat zo'n chipje alleen kan werken als op de PCB al printbanen aanwezig zijn om de chip aan te sluiten (wat impliceert dat Supermicro er vanaf wist). m.i. kan dit verhaal alleen maar grote lariekoek zijn

Men heeft het over een aangepast ontwerp waarbij subcontractor managers of geld is geboden of gedreigd is met extra controles. Bij enkele producten was de chip in de plaat zelf verwerkt en pas te ontdekken nadat de plaat is doorgelicht. Dat kan plausibel zijn.

Het artikel op Bloomberg geeft er meer uitleg over:
The big hack how china used a tiny chip to infiltrate america's top companies?

Een chipje zo groot als de punt van een balpen kan eigenlijk niet zoveel doen. Daar is het a) niet krachtig genoeg voor b) het moet wel op de juiste bus(sen) zitten om iets te kunnen lezen en c) het moet nog iets naar buiten kunnen sturen.

Klopt, tenzij het bedoeld (het doel) is een 'tijdelijke' storing te creëren, te vertragen of fouten te introduceren.

Verwijderd @Keypunchie • 8 oktober 2018 15:51

In de stekkker van een iPad zit ook een chip, die kan een kwaadwillige voorzien van van alles en nog wat bijvoorbeeld een virus of dit soort meekijk software.
Zo’n extra oplaadkabeltje is duur bij Apple en goedkoop bij Aliexpress.

Baserk @Keypunchie • 8 oktober 2018 13:41

Het is wel iets meer dan een verhaal.
Apple heeft, volgens Bloomberg, aan Bloomberg bevestigd dat ze geïnfecteerde Supermicro firmware hebben aangetroffen op hun eigen systeem.
https://www.bloomberg.com...ina-s-supply-chain-attack
Wat tot een jaartje geleden overigens nog glashard werd ontkent.
Dus ik ben wel benieuwd wat over een jaartje bij Apple naar buiten komt...

Keypunchie

Apple

@Baserk • 8 oktober 2018 14:20

Wat tot een jaartje geleden overigens nog glashard werd ontkent.

Volgens mij niet. Apple heeft vorig jaar februari al dit (problemen met firmware) als reden opgegeven, voor het stoppen met Supermicro. Wat ze destijds ontkenden is dat de malware het tot produktie heeft gehaald en tot verlies van klantendata heeft geleid.

(Altijd goed opletten met Apple wat ze ontkennen... hun PR is glibberig)

Apple's eigen PR maakt er nu dit van:.

Our best guess is that they are confusing their story with a previously-reported 2016 incident in which we discovered an infected driver on a single Super Micro server in one of our labs.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 17:39]

Baserk @Keypunchie • 8 oktober 2018 19:33

De officiële reactie in februari was in eerste instantie:

"Apple is deeply committed to protecting the privacy and security of our customers and the data we store. We are constantly monitoring for any attacks on our systems, working closely with vendors and regularly checking equipment for malware. We’re not aware of any data being transmitted to an unauthorized party nor was any infected firmware found on the servers purchased from this vendor."
[...]
A source familiar with the case at Apple told Ars that the compromised firmware affected servers in Apple's design lab, and not active Siri servers.

'The Information' stelde dat ook actieve Siriservers getroffen zouden zijn.
Ars Technica link

[Reactie gewijzigd door Baserk op 23 juli 2024 17:39]

cavey 8 oktober 2018 08:34

Wat ik niet zo snap, is hoe een kleine chip, die op een server moederbord is geplaatst, voor een hardware hack kan zorgen.

a) Zo een chip moet een x aantal datalijnen aan kunnen spreken op het moederbord, oftewel het moederbord ontwerp moet hierop aangepast worden. Tenzij er ergens een unpopulated spot is die toevallig alle juiste datalijnen ter beschikking heeft. Tot zover heb ik daar over in de berichtgeving helemaal niks over gelezen

b) Naast dat de chip dus de juiste datalijnen moet hebben, moet het ook nog eens de logica hebben om shit over de schutting te gooien. Like, how? Ik weet wel dat ze microprocessors tegenwoordig heel erg klein kunnen maken (allerlei arm chips op een oppervlak van enkele mm, maar niet zo klein als een potlood punt met de nodige connectors voor op een pcb om bij de datalijnen te kunnen komen die nodig zijn).

Serieus, een PC/Server mobo ontwerpen is geen kattepis, met alle strakke timings en voltages die nodig zijn om alles beetje in goede banen te leiden, en dan moet er even een kleine chip op gedumpt worden die daar tussen in gaat zitten, ongemerkt, als een teek?

vlaaing peerd @cavey • 8 oktober 2018 10:40

Ik vermoed dat het hier gaat om de BMC remote managment chip die remote CLI/KVM over IP mogelijk maakt. Deze heeft out of band toegang tot de netwerkkabel, BIOS, kan de server aan- en uitzetten en je kan in de OS sessie inloggen. Dit is een zeer kleine chip die al dan niet geintegreerd op het moederbord zit.

Ik herinner me dat in 2014/2015 een probleem bij ons (ander merk) werd gerapporteerd dat je via SSH login de default password kon resetten. Dit trof niet alleen SuperMicro maar eigenlijk alle merken die een BMC chip meeleverde met de servers. Tegelijkertijd valt dit ook een beetje onder beheer die dit zonder al te veel poespas dit ook wel zou kunnen afdichten. Na melding hiervan hebben we een firmware fix hiervoor uitgebracht, ik vermoed dat de andere merken dit ook zullen gedaan hebben.

Het artikel verteld weinig specifieks, maar het lijkt wel veel op deze issue.

mmjjb @vlaaing peerd • 8 oktober 2018 12:38

De chip zou contact kunnen leggen met servers via internet om instructies te ontvangen en zou bovendien in staat zijn geweest om de software te modificeren. De bedoeling was om op die manier een backdoor te hebben in de netwerken waar de servers zich in bevonden. De chips ter grootte van een rijstkorrel zouden eigen cpu-kernen, eigen netwerkmogelijkheden en eigen geheugen hebben gehad.

Een BMC chip met eigen CPU-kernen, geheugen en ook nog eens eigen netwerkmogelijkheden. Dat ter grote een rijstkorrel...

Wellicht heeft Bloomberg, Rian van Rijbroek geïnterviewd?

@vlaaing peerd
Ik weet niet hoe het precies zit bij de servers in kwestie, maar normaal heeft de remote management een een eigen gescheiden aparte netwerk poort.

Bloomberg foto van de chip

In one case, the malicious chips were thin enough that they’d been embedded between the layers of fiberglass onto which the other components were attached, according to one person who saw pictures of the chips. That generation of chips was smaller than a sharpened pencil tip, the person says.

Ze gaan zelfs een stapje verder.. een chip smaller den een sharpened pencil tip

[Reactie gewijzigd door mmjjb op 23 juli 2024 17:39]

vlaaing peerd @mmjjb • 8 oktober 2018 13:36

Ik weet niet hoe het precies zit bij de servers in kwestie, maar normaal heeft de remote management een een eigen gescheiden aparte netwerk poort.

Dat hangt ervan af. Je kan zowel dedicated als shared LAN gebruiken. In hi-density omgevingen waar elk extra kabeltje de airflow belemmerd of elk beetje ruimte telt word het nog vaak gedeeld. Ook heb je mini-servers (2 of 3 stuks per 1U) waar er sowieso maar 1 LAN poort erop zit.

Edit:
Ik zie nu pas die foto van de 'chip' op Bloomberg. Meer dan 3 resistors op een stukje plastic kan ik er niet van maken en is zeker geen BMC chip. Dit ruikt wel heel errug naar sensatie.

[Reactie gewijzigd door vlaaing peerd op 23 juli 2024 17:39]

Cerberus_tm

@mmjjb • 8 oktober 2018 15:52

Ik heb geen idee, maar zou je niet een chipje kunnen maken dat als enige functie heeft het BIOS overschrijven, een chipje dat verder niets kan? Op het moment dat je het BIOS hebt overgeschreven, kun je alles doen met de computer wat je wil en heb je het chipje niet meer nodig...

mmjjb @Cerberus_tm • 8 oktober 2018 18:30

Ook al zal je het BIOS kunnen overschrijven, dan gaan natuurlijk direct te alarm bellen af. Je zal dus slechts delen van het BIOS moeten overschrijven of gebruik maken van een bug om dus de huidige firmware te manipuleren, dat het systeem niet doorheeft dat er veranderingen zijn plaats gevonden.

Verder als ze de BMC 'hacken' dan is er alsnog weinig zekerheid dat je toegang hebt tot de buitenwereld, en de kans op detectie is erg groot. Volgens mij heeft bloomberg een beetje te veel uit de duim gezogen

Cerberus_tm

@mmjjb • 8 oktober 2018 19:06

Waarom zouden er alarmbellen af moeten gaan? En waarom zou je niet een deel van het BIOS kunnen overschrijven? De computer staat immers "uit" of je doet het tijdens het boot-proces, dus tijdens het overschrijven merkt de gebruiker er niets van.

vlaaing peerd @Cerberus_tm • 9 oktober 2018 10:47

Events loggen. Het gaat hier om Amazon en Apple, dus dit zijn allemaal uniforme servers in een datacenter die altijd aan staan. Als een unit tijdens POST de BIOS aan het flashen is of uberhaupt al reboot, dan zal dit door de beheerders (zouden) moeten worden opgemerkt en worden nagekeken.

Tijdens de OS sessie zou je ook de BIOS kunnen flashen, maar dit vereist dan wel software installatie. Met goed applicatiebeheer zou je dat ook onder controle moeten hebben.

4bit @cavey • 8 oktober 2018 10:05

Op dat vlak zit het verhaal sowieso vol met gaten. Helpt natuurlijk niet dat het verhaal op veel plaatsen aan details ontbreekt.
Alle bronnen anoniem zijn, dus er kan niets geverifieerd worden, en het lijkt dat geen enkele andere publicatie het verhaal tot nu toe kan bevestigen.
Het nog steeds niet duidelijk is wie die andere 28 bedrijven zijn die ook gehackt zouden zijn. En waarom laten die niets van hun weten? Zijn zij niet verwittigd geweest?
Alle betrokken partijen ten stelligste ontkennen van iets te weten.
Zijn er ondertussen al foto's van deze beruchte chips? Want voor zover ik begrepen heb zijn de foto's en de PCB animatie niet over de chip in kwestie maar "artistieke vrijheid" over wat het zou kunnen zijn.

Wat is deze magische chip die kan wat een microcontroller doet maar dan in de grootte van een smd transistor.

Verwijderd @cavey • 8 oktober 2018 10:38

*alle* server moederborden of het nu pcmicro, intel, hp, Dell zijn bevatten "remoteserver" chips
"iLO Integrated Remote Console ..."
je kunt ze vanop afstand aan/uitzetten tot de lichtjes bedienen op het moederbord of het scherm overnemen... je kan in een "datacenter" met 1000den servers niet overal een dedicated scherm/toetsenbord/muis voorzien.

eventueel hebben ze geen dedicated managment netwerkpoort meer nodig... kun je ze op een "vlan" via de gewone data poort benaderen... is er een "master" paswoord gekend die de huidige eigenaar niet kan instellen/uitzetten waarlangs "hackers" binnenkunnen?
en werkt het via standaard poort HTTP(s) zodat je via de firewall niet kunt zien of het gewoon verkeer is of niet...

citegrene @cavey • 8 oktober 2018 11:43

Misschien is het wel geen backdoor maar alleen een timer die de datalijn blokkeert waardoor de hele server niet meer werkt.

Of kunnen ze een bepaald sigaal sturen, wat nog nooit gebeurd is waardoor de datalijn blokkeert .
Op die manier weet je wellicht niet wat er op de server gebeurd. maar je kan wel heel veel lam leggen

parryfiend 8 oktober 2018 08:11

Ik vertrouw Bloomberg niet meer zo. Het lijkt erop dat ze nu in het rijtje van Fox news zitten. Een geprivatiseerd propaganda kanaal voor de Amerikaanse overheid. Perfect voor het publiceren van Alternative facts om beleid aan te sturen. Timing is ook toevallig midden in de internationale tarieven oorlog met China. Ze zijn overweldigend pro GOP (surprise!) als je afgaat op business week en opinie artikelen.

De republikeinen met Trump zijn inmiddels zo corrupt dat ik ze dit soort tactieken makkelijk uit de mouwen zie schudden. Nooit gedacht dat ik Apple en Amazon (en China) eerder zou geloven dan de Amerikaanse overheid. Twee jaar terug zou het andersom geweest zijn.

Verwijderd @parryfiend • 8 oktober 2018 09:07

Ik vertrouw Bloomberg niet meer zo. Het lijkt erop dat ze nu in het rijtje van Fox news zitten

Dan moet je toch eens wat meer over Bloomberg lezen want ze zijn werkelijk aan de hele andere kant van het spectrum.

.oisyn Moderator Devschuur® @Verwijderd • 8 oktober 2018 09:18

Het is maar net wat je bedoelt met "het rijtje van Fox". Kan bijvoorbeeld ook populistische media zonder goede waarheidsvinding zijn.

[Reactie gewijzigd door .oisyn op 23 juli 2024 17:39]

Verwijderd @parryfiend • 8 oktober 2018 09:20

Hoewel ik de link met Trump niet zo 1-2-3 zie, kan ik de bias mbt tot China bij Bloomberg onderschrijven. Uiteraard heb ik dit niet wetenschappelijk onderzocht, maar het is mij in de loop der jaren herhaaldelijk opgevallen dat wanneer er berichten over China in de pers verschijnen die uiteindelijk niet kloppen (of significant afweken van de feitelijke waarheid) de bron te herleiden is tot of Bloomberg of de SCMP.

einreb73 @Verwijderd • 8 oktober 2018 10:28

Grappige reactie, je hebt het niet wetenschappelijk onderzocht maar het is je opgevallen dat iets significant afwijkt van de waarheid.

WoutervOorschot

@parryfiend • 8 oktober 2018 11:28

Niet gek dat ze pro-republikeins zijn in business artikelen. Bloomberg schrijft voornamelijk over middelgroot tot grote bedrijven en daar zijn de republikeinen de perfecte partij voor.

Daarnaast is het eens zijn met je eigen overheid niet per definitie propaganda he, pas als het is aangestuurd door diezelfde overheid (waar je dan weer jezelf op tegenspreekt gezien het private bedrijven zijn).

batjes

Networking en security

@parryfiend • 8 oktober 2018 12:21

Paar jaar geleden was CNN het propaganda kanaal voor de Amerikaanse overheid.

FOX is geen overheids nieuws zender. FOX is een republikeinse nieuwszender. CNN is de democratische nieuwszender.

Zodra er weer een democraat in het witte huis zit, zal FOX weer zijn vuur openen tegen de zittende overheid.

Abom @parryfiend • 8 oktober 2018 08:20

Voor zover ik weet is Michael Bloomberg (oprichter/CEO) alles behalve een fan van Trump. Ik denk dat je een beetje te veel consperacy verhaaltjes geloofd.

Xerpan 8 oktober 2018 09:12

En wat nu als Bloomberg wel gelijk heeft, maar de betrokken bedrijven en de US overheid hebben besloten deze backdoor voor eigen doeleinden te gebruiken? Dan is het logisch dat ze ontkennen dat die backdoorchip bestaat.

Heerlijk hoor. Meer van dit soort suspence verhalen.

thagom @Xerpan • 8 oktober 2018 10:48

Apple en de overheid van de US die een backdoor nodig hebben in hun eigen systemen? Dat slaat op niets.

dehardstyler @thagom • 8 oktober 2018 11:12

Want ze verkopen alleen hardware aan zichzelf? Als je zelf weet hoe je het uitschakelt, dan kan je het gewoon in elke server meeleveren en schakel je het zelf uit in je eigen omgeving. Het is en blijft een raar verhaal en ik weet nu echt niet welke kant ik moet geloven.

De VS luistert gewoon bondgenoten af, dus echt raar zal het niet zijn.

Xerpan @thagom • 25 oktober 2018 10:41

Wat ik bedoel is dat ze het hebben ontdekt en het nu in hun voordeel gebruiken.

Olaf van der Spek 8 oktober 2018 09:10

Volgens Stathakopoulos gebruikt Apple propriëtaire software die uitgaand verkeer scant, om zo malware en kwaadaardige activiteiten op te sporen. "Er is nooit iets gevonden", aldus de brief.

nieuws: Australische tiener bekent inbraak bij systemen van Apple

Absence of evidence is geen evidence of absence.

kdekker 8 oktober 2018 09:22

Welke hardware wordt nu niet in het verre oosten gemaakt en w.s. is het zeer ingewikkeld, zo niet onmogelijk om een server door te lichten op malafide chipsets. Een nieuwe server zal doorgaans wel schoon voorzien worden van een OS installatie. Als er al dingen malafide in elkaar steken, dan moet dat via (UEFI) BIOS oid, maar dan nog heb je een verbinding nodig. Ik neem aan dat op netwerk niveau toch e.e.a. dichtgetimmerd is, en interne systemen niet zomaar naar buiten kunnen. Al is ook dat heel lastig te controleren als het systeem wel (gedeeltelijk) een verbinding naar de buitenwereld/internet kan maken.

tweaknico @kdekker • 8 oktober 2018 13:45

Us Overheid heeft export cisco switches bewerkt voordat die de grens over gingen.
Dus data het gebeurd kan zijn is wel duidelijk, de vraag is alleen door wie, voor wie etc.
(Zat ergens in de data van Snowden).

Verwijderd 8 oktober 2018 09:26

/speculatie

VS en UK laten normaal gesproken geen gelegenheid onbenut om China/Rusland te beschuldigen van spionage en andere het westen onwelgevallige daden.

Nu met de supermicro hack niets van dat alles.

Zit er misschien toch een kern van waarheid in het supermicro verhaal maar is niet China de dader maar NSA/CHCQ ?

[Reactie gewijzigd door Verwijderd op 23 juli 2024 17:39]

Scrummie 8 oktober 2018 07:46

Bloomberg mag door het stof. Als ze al niet aangeklaagd gaan worden.

Verwijderd @Scrummie • 8 oktober 2018 09:03

Dus omdat Apple en Amazon het zeggen dat het niet waar is, is het niet waar en moet Bloomberg door het stof?

Ik weet eerlijk gezegd niet wie er gelijk heeft, maar voor mij gaat de balans meer naar Bloomberg.

Waarom zouden ze ander het bewuste component aanduiden. Daar maakt het toch relatief eenvoudig controleerbaar?

Daarnaast, de Chinezen zijn niet bepaald schoon als het gaat om economische spionage. Vraag maar even na bij ASML.

Scrummie @Verwijderd • 8 oktober 2018 12:25

Als het alleen Apple en Amazon zouden zijn die het hele verhaal tegenspreken had je een goed punt. Echter, de enige partij die het vol blijft houden is Bloomberg, elke andere bron, ook onafhankelijk spreken Bloomberg tegen.

Gevalletje fake news met verstrekkende gevolgen voor Bloomberg.

PhantomPotato @Verwijderd • 8 oktober 2018 09:15

Wat Bloomberg beschrijft is fysiek vrijwel onmogelijk. Een bestaand moederbord hacken door een chip ter grootte van een rijstkorrel er aan vast te solderen?
Dat moederbord moet dus dataverkeer hebben wat onder die chip loopt met significant veel rechten.
Als ze nu een andere BIOS chip er op hadden gezet, wordt het wel moeilijk, maar had ik er nog wel iets in kunnen zien.
Daarnaast moet je je afvragen hoe ze vervolgens die data doorsturen. Via de netwerkchip? Heeft die dus nog meer I/O nodig, en moet die in de router een poort open zetten en de pakketjes moeten zo vermomd zijn dat ze het niet in 2 minuten vinden.
Good luck.

Frank-L @PhantomPotato • 8 oktober 2018 09:44

Zo redeneerde ik eerst ook. Maar zinvolle functionaliteit van zo’n chip zou het injecteren van code kunnen zijn.

Atlantis1995 @PhantomPotato • 8 oktober 2018 14:45

Bloomberg heeft het over modificaties aan het bord bij producten afkomstig van een drietal subcontract bedrijven. Zie url. Het verhaal lijkt goed in elkaar te zitten. Een punt dat blijft is dat je niet veel kunt met een chip niet groter dan een korrel.

https://www.bloomberg.com...panies?srnd=technology-vp

PhantomPotato @Atlantis1995 • 8 oktober 2018 22:58

Zelfs in het artikel zeggen bijna alle bronnen of "het is vrijwel onmogelijk" of ze zouden volgens Bloomberg eerst de hack hebben gevonden en zeggen nu van niet. Verder zijn er ook weinig inhoudelijke details die het geloofwaardiger zouden maken.
Ik vind het verhaal juist niet zo goed in elkaar zitten.

PhantomPotato @Verwijderd • 8 oktober 2018 11:30

In de zin van "niks is onmogelijk" ja. Als ze een geheim chip proces hebben weten te ontwikkelen dat beter is dan waar ASML nu mee werkt en ze een nieuwe techniek hebben om data uit te wisselen met bestaande hardware die daar geen expliciete ondersteuning voor heeft, en/of een mannetje on the inside.
Ik houd niet van absoluten, maar ik ben er vrij zeker van dat het zo goed als onmogelijk is naar de huidige kennis. Als China contact heeft met een stel 6 dimensionale aliens of iets dergelijks, zal ik mijn ongelijk meteen toegeven, maar ik denk dat ze dan wel een betere optie hadden die moeilijker te detecteren valt.

PPie @Verwijderd • 8 oktober 2018 12:06

Waarom zouden ze ander het bewuste component aanduiden.

Echter, dat hebben ze niet gedaan...
Er zijn bijvoorbeeld geen foto's van die chip. Dat zou je toch verwachten dat Bloomberg die bij het artikel kan laten zien?

Nitramuse 8 oktober 2018 09:54

Volgens mij hebben ze bij Bloomberg iets teveel spionnen films gekeken ofzo. Het lijkt wel alsof zij denken dat je even een chip met een pincet bovenop een ander component zet, en zo bouw je een hardware matige backdoor. Gewoon erop plakken. De chip hoeft niet in de lanes te zitten, gaat allemaal met de magnetische straling die van het component af komt. Net zoals brainwaves.

Wat een onbehoorlijk verhaal zeg… ik heb het niet zo op de grote coorperaties, maar in dit geval geloof ik Apple.

vlaaing peerd @Nitramuse • 8 oktober 2018 10:44

die hardwarematige 'backdoor' bestaat al jaren. Zie hier bijvoorbeeld.

Het is alleen geen echte backdoor, want serverbeheerders willen namelijk juist die toegang. Het is dus meer een kwestie van de backdoor achter je dichtdoen.

samuvisser 8 oktober 2018 11:48

Misschien een domme vraag, maar vroeg me altijd af, hoe kan je überhaupt 'sporen' van een hack vinden? Gaat het dan puur om log files? Een beetje slimmer hacker kan die ook bewerken toch?

tweazer @samuvisser • 8 oktober 2018 22:21

Je kunt zonder verkeersstromen te impacten al het verkeer afluisteren, Dit kan op kabel niveau (elektrisch/optisch), op netwerk switch niveau, of aktief component (router, firewall, loadbalancer etc). Een IDS zal dit verkeer analyseren en in zijn geheel of rule based partly of enkel logs opslaan.
Tenzij de hacker toegang heeft tot de rest van het netwerk (waarin de IDS bereikaar is) zal een hacker het nakijken hebben.
Grote bedrijven hebben IDS'en staan, redenen als juridisch, praktisch en stabiliteitsmonitoring. Ze mogen niet werknemers traceren, wel niet-werknemers

samuvisser @tweazer • 9 oktober 2018 08:46

Ah thanks super interessant. Verklaart een hoop

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (90)

Sorteer op:

Weergave: