Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Amerikaanse senatoren vragen opheldering aan Supermicro over hack

Twee Amerikaanse senatoren hebben opheldering gevraagd aan Supermicro vanwege de claims over de integratie van een chip door de Chinese overheid op moederborden van de fabrikant. Supermicro ontkent de claims, maar de senatoren willen toch antwoord op vragen.

De twee senatoren, een van de Democraten en de ander van de Republikeinen, willen volgens Business Insider van Supermicro weten wanneer ze op de hoogte waren van de claims en wat voor onderzoek ze hadden gedaan om hun ontkenning te staven. Business Insider heeft de brief integraal online gezet. De senatoren vinden de vragen belangrijk, omdat als de claims kloppen het verstrekkende gevolgen zou hebben.

Financieel persbureau Bloomberg publiceerde vorige week op basis van enige jaren speurwerk en claims van veel bronnen dat de Chinese overheid chips had laten plaatsen op servermoederborden van Supermicro. Vervolgens zouden die servers bij grote bedrijven als Amazon en Apple hebben gestaan. Onder meer Amerikaanse en Britse overheidsinstellingen zeggen niet te twijfelen aan de ontkenningen van Amazon, Apple en Supermicro. De Noorse beveiligingsautoriteit Nasjonal Sikkerhetsmyndighet zegt iets anders en claimt dat het in juni een probleem heeft geconstateerd met Supermicro-servers.

Het is onbekend of en wanneer Supermicro zal reageren op de vragen van de senatoren. Het is de eerste politieke reactie na het verschijnen van het verhaal vorige week donderdag.

Door Arnoud Wokke

Redacteur mobile

10-10-2018 • 19:01

48 Linkedin Google+

Reacties (48)

Wijzig sortering
De Noorse beveiligingsautoriteit Nasjonal Sikkerhetsmyndighet zegt iets anders en claimt dat het in juni een probleem heeft geconstateerd met Supermicro-servers.
Wow jullie zijn er wel diep in gaan graven zeg. 'een probleem'. Wow. Lekker veel details weer.

Kom op!
De Noorse beveiligingsautoriteit Nasjonal Sikkerhetsmyndighet [..] claimt
Dit is duidelijk het interessantste deel van heel het artikel. In tegenstelling tot die senatoren die gewoon publiciteit willen, niks van IT weten en voor de bühne wat onzin vragen gaan stellen, zou het zo maar kunnen dat de mensen bij deze beveiligingsautoriteit wél wat er vanaf weten. Dus ik ben heel benieuwd. Wát claimen ze nu precies? 'Een probleem' is te vaag. Wélk probleem?? Duik hier bovenop man!

Waarom is 'claimt' geen link naar een bron trouwens?

[Reactie gewijzigd door OddesE op 10 oktober 2018 21:03]

Imidlertid har Nasjonal sikkerhetsmyndighet bekreftet overfor VG at de har kjent til «problemstillinger» knyttet til Supermicro siden juni – måneder før påstandene ble offentlig kjent – uten at de har villet utdype nærmere hva slags informasjon de sitter på.
link
Oftewel, de Noorse dienst NSM heeft bevestigd, in een eerder artikel (link) dat ze al sinds juni op de hoogte waren van 'problemen'.
NSM;
The Norwegian National Security Authority (NSM) is a cross-sectoral professional and supervisory authority within the protective security services in Norway. link
Van Tweakers verwachten dat ze over de Noorse NSM nou EINDELIJK!!!! eens loskrijgen wat er aan de hand is, is tamelijk onnozel en/of kinderachtig/trolololol/etcetera.

[Reactie gewijzigd door Baserk op 10 oktober 2018 20:35]

"... maar wil niet zeggen wat" heldert het stuk al enorm op imo. Zoals het er nu staat weet je als lezer niks.
Nergens op het bord wat bloomberg naar voren haalt is ruimte voor de chip die ze laten zien,
Heel knap als je een 603 op een soic8 socket kan doen zonder te beunhazen.
Alle fotos van hetzelfde bord maar dan zonder de bloombergbug duidt erop dat dit puur een handelsoorlogje is om het chinese aandel naar beneden te halen.
Mijn borden zijn niet besmet.

Het gaat om dit bord

MicroBlade MBI-6128R-T2X

Ik heb er niets zitten maar op twitter gaat er heel wat fotos rond van mensen die ook niets vinden , er wordt echter wel gewezen op de SPI bus

https://mobile.twitter.com/qrs/status/1047910169261330432

https://mobile.twitter.co...tatus/1048221163607007233

[Reactie gewijzigd door itcouldbeanyone op 10 oktober 2018 21:48]

Bloomberg heeft zichzelf op korte tijd van alle credibiliteit ontdaan. Daarna heeft Bloomberg zelf moeten rapporteren dat Apple, Amazon, Super Micro en China melden dat dit niet waar is. Je kunt argumenteren dat de bedrijven en China dit melden om zichzelf te beschermen. Maar onder andere hier op Tweakers heeft men gereageerd dat het verhaal technisch gewoon niet mogelijk is.

Ik zie dit als een domme politieke poging om China als boeman af te schilderen in de huidige handelsoorlog. Men probeert China economisch te raken. Er zijn gerichten dat China Amerikaanse staatsobligaties verkoopt, dit wordt omgeschreven als de nucleaire optie die China kan uitspelen. Voor alsnog geruchten. De enige conclusie die ik kan maken is dat de handelsoorlog oplaait.

Daarnaast ... eens je jezelf verdiept hebt in de recente geschiedenis van de USA, dan geloof je geen woord meer van wat de land aan nieuws produceert. Letterlijk "produceert" en dus niet " rapporteert".
Waarom zou je extra chips op whatever moederbord willen plakken, welke zo klein moeten zijn dat ze niet opvallen....terwijl je veel gemakkelijker aangepaste versies maakt van bestaande chips en deze vervangt op de betreffende borden?

Dat laaste valt niet tot amper op (over de gehele periode waarin het betreffende bord actief word gebruikt!), is drastich veel goedkoper om te maken, veel makkelijker om te plaatsen vanwege materieel & gereedschap en dat kan door minder bedreven technische handen worden gedaan. Dat soort handen is vaak ook makkelijker te manipuleren.

Waarom zou je uberhaupt met een "rijstkorrel" aan het spioneren slaan?

Dat China spioneert, dat geloof ik meteen. De manier waarop, zoals gerapporteerd in artikelen van de laatste tijd, dat slaat als een tang op een varken.

En als we eerlijk zijn, de VS, het VK en EU, we spioneren allemaal als we de kans krijgen. Waren het niet dezelfde politici die door toekomstig geldelijk gewin zijn gelobbied in beslissingen die bijna alle electronica expertise (productie en ontwikkeling) naar landen heeft gebracht waar China veel, zo niet alles, in de pap te brokkelen heeft?

En dan verontwaardigt zijn als een grootmacht als China daar geen gebruik van maakt? Zeker nadat ze er in de laatste jaren er economisch veel sterker voor staan? Hoe dom en kortzichtig kun je zijn, vraag ik me dan af. Diezelfde politici worden daar helemaal niet op afgerekend. Ook de leiding van de lobbyende bedrijven niet, trouwens.
De reacties lezende hier vraag ik me drie dingen af:
1) Heeft iemand werkelijk het artikel gelezen (of die uitgebreide opvolging in de NYT etc)? Bloomberg komt met een aantal zeer goede vragen die nog niet beantwoord zijn.
2) Geen enkele partij heeft gezegd niet waar is (okay tweakers) maar allemaal komen ze niet verder dan dat ze het zelf niet niet gezien hebben.
3) Dit is een verhaal als kunstvervalsing. Er is werkelijk geen enkele partij die er baat bij heeft als het waar blijkt te zijn. Dan moet je ALTIJD afvragen of de ontkenningen (die er dus niet werkelijk zijn!) wel waarde hebben.

Dat tweakers hun mening klaar hebben is niets nieuws. dat ze zelden de bronnen lezen is ook niets niews. Maar de totale ontkenning dat er zelf maar twijfel moet zijn voor iets dergelijks belangrijk is gewoon dom.

Laten we het weekend afwachten, Bloomberg heeft gezegd met meer te komen. Ik ben het met iedereen eens dat het aan Bloomberg is om met meer details te komen. Maar 'mocht' het waar zijn zal de druk op Bloomberg om niets meer te zeggen enorm zijn. En dat zou tweakers toch op zijn minst aan het twijfelen moeten brengen.
Maar de totale ontkenning dat er zelf maar twijfel moet zijn voor iets dergelijks belangrijk is gewoon dom.
Ik heb niet alle bronnen gelezen, maar wel de comments. En die vragen expliciet waar de bewijzen zijn. Ze stellen helemaal niet dat het niet waar is.

Waarom is het tegenwoordig zo normaal geworden om eerst te beschuldigen en dan pas later of zelfs helemaal nooit met bewijzen te komen?
Omdat hashtags tegenwoordig meer aanzien hebben dan rechters.
> is werkelijk geen enkele partij die er baat bij heeft als het waar blijkt te zijn.

Bloomberg heeft er wel baat bij, want de afgelopen week heeft een groot deel van de wereld minimaal 1x per dag hun naam voorbij zien komen.
Mmm, die moeten dus hun eigen onschuld gaan bewijzen. Waarom niet Bloomberg sommeren met onderbouwd bewijs te komen in plaats van een stel losse flodders. Aangezien je hier bigtime mee kunt scoren als je een dergelijk verhaal hebt met foto's, een degelijk verhaal etcetera, had dat er echt wel geweest. En dat het er niet is zegt mij genoeg. Net als die fameuze achterdeurtjes in Huawei routers die nooit gevonden zijn. Hoe makkelijk moet het toch zijn om dit te bewijzen, benieuwd of er ooit nog iets boven water komt.
Misschien hebben ze bewijs en is dit overgedragen aan de overheid en mogen ze het niet bekend maken.
Alhoewel ik zelf de kans vrij klein vind dat het zo is.
Als er bewijs is lijkt het me zinvoller met de FBI of NSA om te tafel te zitten dan met Supermicro. Mocht Supermicro toch constateren dat er gemodificeerde moederborden in omloop zijn dat weet je eigenlijk verder nog niks. Supermicro heeft geen onderzoeksbevoegdheden of spionagemogelijkheden en ik vermoed zomaar dat leveranciers in China niet vrijwillig hun hand op steken dat ze verantwoordelijk zijn.
Als Amazon en Apple zèlf zeggen dat het niet waar is, wat zit iedereen er dan nog zo over door te zagen. Zij zijn bij uitstek de partijen die een dergelijk gerucht heel grondig op hun éigen servers zouden uitzoeken.
Ze zijn betrokken, uiterst bekwaam en hebben er alle belang bij.
Het is gewoon fake news.
Ik probéér niet eens te begrijpen hoe en waarom Bloomberg dit doet.
Ze zijn gewoon onbetrouwbaar gebleken, voor mij.
Ik heb toch sterk het onderbuik gevoel dat het hier gaat om een vorm van propaganda voor het beleid van Trump. Maar goed, we wachten af hoe dit ontwikkeld
Bloomberg zit niet in het kamp van Trump.

Overigens denk ik dat China wel degelijk spioneert om de doodeenvoudige reden dat IEDER land dat doet.
Maar dmv extra chipje op een (supermicro) moederbord? Ik denk het niet.
Kan een van deze partijen alsjeblieft met concreet bewijs komen dat China overal malafide chips heeft lopen plaatsen? Mocht het uberhaupt waar zijn, dan vraag ik me toch echt af hoe dat ding naar "huis" kan bellen. Ik neem aan dat een beetje degelijk netwerkbeheerder wel signaleert dat alle servers data aan het versturen zijn naar China, of uberhaupt een "vreemde" externe server.

Dat hele originele artikel van Bloomberg staat vol "enge" plaatjes van mini-chips en moederborden, maar geen concreet bewijs.

[Reactie gewijzigd door ItsNotRudy op 10 oktober 2018 19:09]

Het opbouwen van nieuwe verbindingen die snel opvallen is niet de enige methode om data te versturen. Je kunt ook meeliften op legitieme pakketjes die verstuurd worden.

Je kunt dat werkelijk op duizenden manieren vormgeven, zowel direct als indirect. In het simpelste geval doe je dat door de server zelf als "gewone" client te benaderen waarbij jij in je GET request een onbelangrijk bitje verkeerd omzet en de server hetzelfde doet in zijn antwoord.
Meeliften? Hoe zie je dit dan voor je? Dan komt er een malformed pakketje op een legitieme server aan, die deze vervolgens discard. Hoe je het ook went of keert, je kunt zien waar alles heengaat, als jouw netwerk het verstuurt. En waarom denk je dat je elke server zomaar een GET kunt sturen? Je gaat er nu vanuit dat elke server tevens een webserver is, die direct aan het internet hangt? Kun je met concrete PoCs komen? Wat je nu zegt is niet meer dan woordenbrij.

[Reactie gewijzigd door ItsNotRudy op 10 oktober 2018 21:58]

@ItsNotRudy, je bent ongelooflijk betweterig bezig, alsof jouw ervaring "de waarheid" is. Als buitenstaander van deze ruzietjes vind ik dat jij ook ongerelateerde zaken aanhaalt, net als de mensen die jij probeert af te zeiken en dus in de verdediging schieten. Probeer eens opbouwende kritiek te leveren, daar kom je vaak verder mee en daar kunnen anderen nog iets van leren. Doe met dit advies wat je wil.

Excuses voor dit offtopic bericht, maar ik vind het jammer dat de kwaliteit van Tweakers zo onderuit wordt gehaald.
Een @ doen hoeft niet als je een directe reactie plaatst. Ik krijg de notificatie sowieso al. Het is geen afzeiken, het is complete onwaarheden neerschieten, die hier vaak genoeg op Tweakers dikke duimpjes omhoog krijgen van mensen die hetzelfde denken.

"Ja dan doe je toch gewoon even een GET request naar een server en verander je wat bitjes" toont toch wel aan dat die persoon 0 kennis van zaken heeft. Ik vraag enkel onderbouwing voor zijn post, die vervolgens niet geleverd kan worden. Dat heeft niks met mijn ervaring te maken. Als iemand iets wil leren, dan moet deze persoon vragen stellen, niet onjuiste stellingen posten.

En als je verder nog een discussie wil voeren, of een appeltje te schillen hebt, dan zie ik je bericht graag in een DM. :-)

[Reactie gewijzigd door ItsNotRudy op 11 oktober 2018 12:17]

Ze kunnen toch gewoon een Azure/AWS/VPS in NL huren en daar om de paar weken een lijst naar toe laten sturen van een paar MB van welke programma's er aan het draaien zijn oid.
Dan... zie je toch verkeer naar een vreemde VPS gaan? Als al mijn servers constant naar een of andere klote-IPtje bij AWS lopen te verzenden, lijkt dat me opvolgen waardig.
Maar er wordt tegenwoordig van alles in "de cloud" gehost. Misschien stuurt ie wel 1x per maand iets naar msdn.wupdate.com of iets soortgelijks. Moet je een knappe siem hebben die daar iets van zegt. En dan zal je zelf ook wel denken van mja lijkt op Micro$oft dus het zal wel goed zijn.
Heeft er geen reet mee te maken, dit gaat om hardware-servers. In dit geval zou Microsoft dit opmerken, als het Azure hosts betreft. VM network != host network.
We hebben het hier over een server die bij jou on-premises staat en gemakkelijk naar Azure kan verbinden toch?
Het scenario is niet veranderd.
De "chinezen" maken een Azure vps aan. Waar jij dus niks mee te maken hebt.
Maar gezien er zoveel op Azure wordt gehost wordt het lastig om te zien of iets legit is of niet. Misschien was het wel Windows update/Telemetry etc. Of heeft iemand een apt-update gedaan en heb je een mirror op Azure.

De enige oplossing is alleen hardcoded je ip's whitelisten die je zelf gebruikt.
De enige oplossing is alleen hardcoded je ip's whitelisten die je zelf gebruikt
Uh... dit is wat elke zelf-respecterende netwerkbeheerder doet. Je zet alles dicht, behalve voor hele precieze adressen. Dus een random VPS, die niet op jouw Vnet zit in Azure, hoort nooit met je on-prem te kunnen praten.
Maar dat gaat met een proxy server al een stuk lastiger als je medewerkers ook nog willen browsen.
Waar heb je het over? Wat hebben browsende medewerkers te maken met firewall-regels voor een serverpark? Je medewerkers zitten (als het goed is) op een geheel eigen subnet, en hebben ook heel erg gelimiteerd toegang tot je servers.
Deze servers staan ook gewoon bij mensen op kantoor. Niet alleen maar op serverparken. Maar deze medewerkers gaan meestal via een http proxy naar buiten toe. Om te cachen/monitoren etc.
Ook in een kantoor werk je met vlans, en zitten je medewerkers/servers niet bij elkaar op het netwerk. Hoe die mensen het internet opgaan heeft weinig te maken met je servers. De medewerkers hebben een eigen vlan met wifi-punten, gateway, etc. Geen idee waarom je zo blijft hangen op proxies.

[Reactie gewijzigd door ItsNotRudy op 11 oktober 2018 01:48]

Het heeft wel degelijk te maken hoe die users het internet opgaan. Gezien je niet wilt dat je 100x nu.nl moet ophalen. Ook wil je het verkeer monitoren/analyseren/blokkeren. Dus heeft elk bedrijf wel een proxy server.
En je kan erg lastig in zo'n proxy server Azure/AWS blokkeren.

Edit: Voorbeeld

[Reactie gewijzigd door Loggedinasroot op 11 oktober 2018 02:16]

Ik snap nog steeds even niet wat een chip op een server, die eventueel stiekem naar China praat, heeft te maken met kantoorgebruikers. Die servers gebruiken helemaal niet dezelfde gateway/firewall. Je bent zover van de rails afgeraakt, en toont telkens aan dat je de materie niet goed begrijpt door er omheen te praten met ongerelateerde meuk. Verdiep je alsjeblieft wat meer in netwerken, en hoe een professioneel bedrijf de infra regelt.

[Reactie gewijzigd door ItsNotRudy op 11 oktober 2018 12:17]

Ja mijn eerste reply was/is in principe al genoeg. Daarna ging het redelijk offtopic maar wat ik je probeer uit te leggen is dat zoiets nooit naar een shady VPS gaat en ook niet constant.
Dan... zie je toch verkeer naar een vreemde VPS gaan? Als al mijn servers constant naar een of andere klote-IPtje bij AWS lopen te verzenden, lijkt dat me opvolgen waardig.
Dus het zal gaan naar iets wat bekend is. Zoals bij baways.com ;) laatst was.
Alles om het zo betrouwbaar mogelijk te maken.

Vervolgens staat in mijn eerste reply ook dat zoiets dus om de paar weken zal gaan. Dus je ziet geen "verkeer" er heen gaan. Ja 2 seconden een connectie naar msdn.winupdatelemetry.com of whatever. Tenzij je dus alles blocked. Maar gezien je reply is dat dus vaak niet het geval.
Geloof nu maar dat je er naast zit en dat ItsNotRudy weet waar die het over heeft. Elk bedrijf met een iets-wat netwerk engineer zorgt ervoor dat servers en de rest op aparte netwerken zitten en dat servers enkel bepaalde IP's en poorten kunnen aanspreken. Er is dan geen enkele mogelijkheid om van een server bijvoorbeeld naar een random AWS server te verbinden.

Als het een willekeurig iemand is met een servertje in z'n kelder dan kan dat natuurlijk allemaal wel als die er niets vanaf weet, maar Apple en dergelijke horen daar dus niet onder.
Dus het zal gaan naar iets wat bekend is. Zoals bij baways.com ;) laatst was.
Alles om het zo betrouwbaar mogelijk te maken.
Maar... in die link die jij post wordt er data naar "baways.com" gestuurd, wat geen website is van British Airways, dus in dit geval geen vertrouwde site. Zie ook: https://www.scmagazineuk....stigation/article/1492560

Overigens is het bij deze aanval zo dat de server niets verstuurd, maar de client. Wat de snippet in dat artikel doet, is content uit de velden in de browser doorsturen na die malafide site, niet direct vanaf of via de server. In dit geval gaat het dus eigenlijk om mismanagement van de website. De server host een bestand die er niet thuishoort, die vervolgens de browser van de klant acties laat uitvoeren. Er is dus geen sprake van verkeer tussen server <-> server, want dat zou opvallen, (stel ze laten elk account vanaf de server doorsturen, dan zie je dagelijks duizenden connecties tussen server->baways.com) of niet doorkomen. Daarom gebruiken ze de browser van de klant.

[Reactie gewijzigd door ItsNotRudy op 11 oktober 2018 11:33]

Net als dat de hele attack niet over Azure gaat, gaat het ook niet over de technische kant van deze aanval. Waar het om gaat is de geloofwaardigheid. Ze gebruiken hiervoor infrastructuur als Azure omdat het bekend is. Net als dat baways.com "bekend is". Het zat zelfs in de code van hun app.

Denk je dat dat ook er door was gekomen als het domein mkelamelka.cn was?
Denk je dat dat ook er door was gekomen als het domein mkelamelka.cn was?
Dat denk ik eigenlijk wel, want binnen een degelijk systeem om je website te beheren, zoals git (welke niet zonder VPN vanaf het internet toegankelijk is), worden wijzigingen gemaakt, goedgekeurd, en gepusht naar je webserver(s). Op het moment dat je bestanden op de server inconsistent zijn met je repository, zouden er alarmbellen moeten afgaan. Dit kun je elke minuut/uur/dag/week laten checken met git status:

Wanneer mijn site op de server up-to-date is:
$ git fetch && git status
On branch master
Your branch is up to date with 'origin/master'.
Wanneer ik een bestand aanpas op de git server:
$ git fetch && git status
On branch master
Your branch is behind 'origin/master' by 1 commit, and can be fast-forwarded.
(use "git pull" to update your local branch)
Daar doelde ik dus ook op met mismanagement, er wordt klaarblijkelijk geen controle gedaan of de bron van de devs en de site gelijk zijn. Heel likely is dat de aanvaller zelf een bestandje heeft weten te uploaden in de webroot, waar die extra code in staat. Het is ook heel erg vreemd dat login data wordt doorgestuurd naar een externe server, in plaats van naar de huidige server. Er zou feitelijk moeten staan:
url: /gateway/app/dataprocessing/api
Als het legitiem zou zijn. Het is ook heel onlogisch dat login data niet naar de server wordt gestuurd waar je op probeert in te loggen, maar naar een externe site. Zie ook:
https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS

Je stelling zou kunnen kloppen als er mensen 24/7 door de tienduizenden regels code lopen te speuren of er iets niet klopt, dan zou het inderdaad opvallen, maar ik verwacht niet dat iemand dat aan het doen is. Eigenlijk zou het posten van data dan al op moeten vallen, bij een getrainde menselijke auditor.

[Reactie gewijzigd door ItsNotRudy op 11 oktober 2018 16:50]

Zijn dat diezelfde senatoren die ook Zuckerberg verhoorden? Die kunnen inderdaad wel wel “opheldering” gebruiken als het om IT gerelateerde zaken gaat :z
Ja dat is echt onzin. Deze mensen proberen wat aandacht voor zichzelf te krijgen en aan hun achterban te laten zien hoe goed ze er bovenop zitten. Ik vond Mark overigens een toonbeeld van geduld. Ik zou er echt moeite mee hebben een paar van die digibeten die je de les gaan zitten lezen.
Over vermeende hack* (of spionagetools) Tot nu toe is het niets meer dan een vaag verhaal zonder bronnen en hele rare opmerkingen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True