Om eerlijk te zijn verbaas ik mij er vooral over dat dit nog nooit éérder is gebeurd of verdacht.
Mij ook aangezien dit een klassiek scenario is in menig spionage/actiefilm/serie en nota bene de Nederlandse politie iemand heeft aangehouden die
fysieke keyloggers gebruikte voor identiteitsfraude. Voor de aanhouding van de verdachte in de zaak van Amanda Todd heeft de politie
zelf een keylogger gebruikt. Een opsporingsmethode die wettelijk is
toegestaan. En zo zijn er nog wel meer voorbeelden waarbij er geknoeid is met de hardware of dingen zijn omgewisseld. Het is nogal klassieke "IJzeren Gordijn"-spionage.
De verbazing was er ook bij de CEO van Sepio, Yossi Appleboum, en bleek uiteindelijk voor hem de reden om er via Bloomberg mee naar buiten te treden. De website ServeTheHome (STH) heeft hierover ook bericht en verwijst daarbij ook naar de issues met BMC en DRAC (er is momenteel iets als
iDRACula). Als follow up hebben ze Yossi Appleboum
geïnterviewd.
Er zijn 2 opvallende dingen die Appleboum daar noemt:
- Sepio heeft het bij diverse merken aangetroffen
- en ze hebben het in diverse onderdelen aangetroffen
Het is dus geen Supermicro probleem maar een veel breder issue. Volgens Appleboum is de supply chain het grote probleem en is er niemand die dit door heeft. Dat laatste is de hoofdreden waarom hij er mee naar buiten komt en dat verwoord hij als volgt:
I want to be quoted. I am angry and I am nervous and I hate what happened to the story. Everyone misses the main issue.
Als je kijkt naar de kritiek op het Bloomberg artikel en een aantal reacties op dit artikel snap je wellicht al snel waarom. De houding is bij voorbaat al "dit is niet mogelijk, dit is onzin", een houding die we recentelijk nog eens hebben gezien bij de berichtgeving omtrent
AMD Ryzen/EPIC vulnerabilities die later door andere security experts en AMD zelf werden
bevestigd maar die we vooral kennen van de Titanic ("dit schip is onzinkbaar"...uiteindelijk is het 1 van de grootste scheepsrampen tot dusver). Geen slimme houding dus. Al helemaal niet met een land als China dat op brede wijze economische spionage inzet (denk aan de ASML hack).
Let wel: dit is iets wat vooral wordt toegepast voor heel gerichte spionage. Ze zullen het dan ook alleen toepassen op onderdelen (een complete server moet je ook als zodanig beschouwen) bestemd voor een specifiek bedrijf/persoon. Daarom is die supply chain ook zo belangrijk. Voor dat soort zaken komt namelijk niet de productie in beeld maar juist alles wat daarna gebeurd. Supermicro zal een PCB controleren, een postbode niet. Het heeft dan ook meer zin om een pakket af te vangen dan om in de fabriek zelf de boel aan te gaan passen. Dat is een scenario waarbij de fabrikant dan ook daadwerkelijk niets ziet en van niets weet en waardoor de NSA ook zo'n hack kan ontkennen.
Ergo: dit hele gedoe vereist heel wat meer uitdiepwerk en het is jammer dat dit door velen niet wordt gedaan. Misschien dat tweakers.net weer eens een achtergrondartikel kan maken zoals men voor de Spectre en Meltdown kwetsbaarheden heeft gedaan en daarmee, net als STH, ook eens de diepte induikt.
[Reactie gewijzigd door ppl op 25 juli 2024 17:32]