Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

NSA-topman ontkent bestaan Supermicro-hack

Een topman van de Amerikaanse geheime dienst NSA heeft ontkend kennis te hebben van het implanteren van spionagechips op servermoederborden van Supermicro. Volgens hem heeft nog geen enkel bedrijf iets gevonden.

NSA-topman Rob Joyce zei in een interview op de Securing Cyberspace-conferentie van de Amerikaanse kamer van koophandel dat hij niets had gezien van de kwaadaardige chips, twittert een Politico-verslaggever. "Er zijn nu allerlei bedrijven in paniek over deze zorg, maar niemand heeft iets gevonden. Het is er gewoon niet."

De interviewer, Carl Cannon, drong aan of er iets zit in het verhaal van Bloomberg over de spionagechips. "Heb ik er vertrouwen in dat er iets zit in dit verhaal? Nee, dat heb ik niet. Ik maak me zorgen over de afleiding die dit veroorzaakt."

Financieel persbureau Bloomberg publiceerde vorige week op basis van enige jaren speurwerk en claims van veel bronnen dat de Chinese overheid chips had laten plaatsen op servermoederborden van Supermicro. Vervolgens zouden die servers bij grote bedrijven als Amazon en Apple hebben gestaan. Onder meer Amerikaanse en Britse overheidsinstellingen zeggen niet te twijfelen aan de ontkenningen van de betrokken bedrijven: Amazon, Apple en Supermicro. De Noorse beveiligingsautoriteit Nasjonal Sikkerhetsmyndighet zegt iets anders en claimt dat het in juni een probleem heeft geconstateerd met Supermicro-servers.

Door Arnoud Wokke

Redacteur mobile

11-10-2018 • 14:16

91 Linkedin Google+

Reacties (91)

Wijzig sortering
De Noorse beveiligingsautoriteit Nasjonal Sikkerhetsmyndighet zegt iets anders en claimt dat het in juni een probleem heeft geconstateerd met Supermicro-servers.
Dit lijkt me het belangrijkste gedeelte van het hele artikel. Wat is volgens de Noren precies het “probleem”?
The National Security Authority (NSM) tells VG that they have known the problem for several months.
Link naar VG nieuws artikel

Volgens de VG krant:
NSM = Nasjonal Sikkerhetsmyndighet
However, the Norwegian National Security Authority has confirmed to VG that they have been familiar with the "problem" associated with the manufacturer since June this year. Norway's largest distributor of Supermicro states that they have sold around 10,000 servers to 1,000 different customers in Norway.

One of Supermicro's Norwegian customers is the Ministry of Defense , which in June 2017 paid 533,188 kroner for two components.
- The Defense Department has purchased products from Super Micro Inc for testing purposes. The products have not been connected to our ICT systems nor will they be used in the future, communications advisor Lars Gjemble writes in an e-mail.
[...]
The National Security Authority (NSM) is familiar with the issue of Supermicro.

- We know this, but can not confirm or confirm that this is correct. We register that this is denied by the companies, "says Mona StrÝm ArnÝy, Communications Director at NSM to VG.

However, NSM has been aware that Supermicro may have been compromised long before Bloomberg's article.

"We have known this since June," says StrÝm ArnÝy, who does not want to elaborate on where they have the information from.

She says that NSM has been in dialogue with its partners and that they follow the situation on an ongoing basis.

[Reactie gewijzigd door mmjjb op 11 oktober 2018 14:38]

"However, NSM has been aware that Supermicro may have been compromised long before Bloomberg's article."

Dus zo'n beetje vertaald :
NSM weet dat Supermicro MOGELIJK een probleem had

Ik weet ook zeker dat ik morgen misschien biefstuk ga eten ...
Vervolgens komt er een artikel, waarschijnlijk gebaseerd op dit soort verhalen, en uiteindelijk komt de rode 'reactie' lap omhoog - China, DUS !!!!
Net zoals Kaspersky altijd verdacht zal blijven, en Telegram toch een klein 'hoekje' bij de SFB heeft
Moet wel bij gezegd worden dan VG qua journalistieke waardigheid vergelijkbaar is met de Telegraaf. Geen slechte krant, maar het zou niet de eerste keer zijn dat zaken worden verdraaid ten gunste van de clicks.
Geen slechte krant
Karl Ove Knausgard dacht daar anders over, meen ik.
> Geen slechte krant

Niet vergelijkbaar met de telegraaf dus :D

> zaken worden verdraaid ten gunste van de clicks

In mijn definitie ben je dan een slechte krant. Ik weet het, op het moment blijven er dan weinig goeie kranten over.
Tot zo ver hoor ik alleen maar verhalen maar waar zijn de foto's.
als iets gemanipuleerd is, is dat zichtbaar en je neemt een foto met en zonder manipulatie en zie daar bewijs.

USA-China zijn nu niet echt vrienden en Trump zou iedere mogelijkheid pakken om China met dit om de oren te slaan als het waar zou zijn. China zou Trump dan echt een stok geven om te slaan.

Enige reden die ik zou kunnen bedenken dat men dit zou ontkennen is dat het lang aan de gang is en er gevoelige informatie gestolen zou zijn waardoor men een gigantisch gezichtsverlies zou hebben. Dat gezegd hebben, Turmp zal het geen zak uitmaken en de stok gebruiken om China te slaan.

Kleine kans dus dat het waart is, maar ja die foto's met manipulatie waar blijven die. Het lijkt er op dat men zo maar kan roepen maar bewijs niet meer hoeft te leveren. Bewijs dat in dit geval vrij eenvoudig te leveren moet zijn.
Tot zo ver hoor ik alleen maar verhalen maar waar zijn de foto's.
Wellicht onder embargo want responsible disclosure. Er is een keer een partij geweest die wat over AMD chips had gevonden, AMD daarover inlichtte en 24 uur later de pers inlichtte. Die partij werd door AMD en vele security experts en professionals verguist omdat ze zo snel naar buiten zijn getreden. Dat was geen responsible disclosure. Google doet er een behoorlijk stukje langer over en zelfs daar lopen diverse partijen te klagen dat ook dit niet responsible disclosure is. Het kan zelfs de nodige rechtszaken (en dus kosten) opleveren. Daarnaast moet men ook rekening houden met wetgeving omtrent bronbescherming en klokkenluiden.

Hopelijk volgen de echte bewijzen over een tijdje.
Enige reden die ik zou kunnen bedenken dat men dit zou ontkennen is dat het lang aan de gang is en er gevoelige informatie gestolen zou zijn waardoor men een gigantisch gezichtsverlies zou hebben.
Of ze weten het domweg echt niet. Stel dat de chip er niet tijdens de productie in wordt gezet maar dat een belanghebbende partij een reeks moederborden koopt en die zelf van de chip voorziet. Ze onderscheppen daarna de levering aan een specifieke partij die ze willen afluisteren en verwisselen daar de hardware (of ze onderscheppen de hardware en solderen daar die chip er meteen in). Er is geen fabrikant die daar wat van zal opmerken. In dat scenario hebben alle partijen (Supermicro, NSA en Bloomberg) dus gelijk.

Er wordt hier door zowel gebruikers als de pers weinig kritisch naar gekeken en bijgevolg worden de juiste vragen niet gesteld. Wie kijkt nou waar naar en weten ze dan wel waar ze precies naar moeten kijken? Heeft men de blueprints van de Supermicro PCB's en worden die 1 voor 1 vergeleken met de PCB's die in de servers zitten? Je kunt wel zoeken maar als je niet weet wat en/of waar dan wordt vinden heel erg lastig.
Je kunt ook zeggen dat men alle betrokkenen alert wil hebben ongeacht of het waar is. Theoretisch bestaat de mogelijkheid. En inderdaad lijkt het ook erop dat dit in scene is gezet om China in een slecht daglicht te plaatsen en zo de eigen markt aan te sporen zoveel mogelijk zelf componenten te produceren.
Tot zo ver hoor ik alleen maar verhalen maar waar zijn de foto's.
als iets gemanipuleerd is, is dat zichtbaar en je neemt een foto met en zonder manipulatie en zie daar bewijs.
Ik zie alleen de claim dat er iets gemanipuleerd is; ik kan niet vinden wat er gemanipuleerd is. Als er een malafide firmware in de netwerkkaart geflashed is, dan zie ik niet hoe je daar fotografisch bewijs van kunt maken.
USA-China zijn nu niet echt vrienden en Trump zou iedere mogelijkheid pakken om China met dit om de oren te slaan als het waar zou zijn. China zou Trump dan echt een stok geven om te slaan.
Leuke theorie, maar vergeet niet dat die gast bij talloze banken geld geleend heeft. Als de een of andere Chinese bank net bezig is om een grote nieuwe lening te beoordelen, of als er een bouwvergunning is aangevraagd (maar nog niet goedgekeurd) voor een "Trump Tower Beijing" of iets dergelijks, dan wordt dat opeens een heel ander verhaal. Google voor de gein maar eens naar "trump zte" voor een voorbeeld van een situatie die (hoewel er niets bewezen is) aan alle kanten stinkt naar precies dit soort belangenverstrengeling.
Gezien de nadruk waarmee NSA, MI5 en grote bedrijven dit ontkennen begin ik te vermoeden dat het eerder een NSA actie is, die gemanipuleerde ethernetconnectors.
Om eerlijk te zijn verbaas ik mij er vooral over dat dit nog nooit ťťrder is gebeurd of verdacht. Het is namelijk nogal een inkopper voor geheime diensten. En je kan zo'n chip best zo ontwerpen dat hij op random intervallen tijdens bijvoorbeeld Windows Update downloaden zo nu en dan wat data doorstuurt, geen hond die dat zou merken. Niet dat ik mensen op ideeŽn wil brengen maar het is nogal voor de hand liggend... waar ik me meer over verbaas is dat er schijnbaar geen equivalent 'programma' bestaat voor US-based chip fabrikanten die tig jaar geleden al door de NSA zijn verzocht om dit in te bouwen...
Dat is een kortzichtige gedachte. Netwerkverkeer wordt niet door mensen gecontroleerd, maar door machines. En al zit er maar 1 afwijkend berichtje tussen de volledige Windows Update geschiedenis sinds Windows XP, wordt die met de juiste instellingen al tegengehouden en gemeld aan de systeembeheerder.
Dat is een kortzichtige gedachte. Netwerkverkeer wordt niet door mensen gecontroleerd, maar door machines. En al zit er maar 1 afwijkend berichtje tussen de volledige Windows Update geschiedenis sinds Windows XP, wordt die met de juiste instellingen al tegengehouden en gemeld aan de systeembeheerder.
Ik moet het eerste systeem nog tegenkomen dat zo goed werkt. Misschien dat ze het bij de NSA hebben, maar zelfs dat betwijfel ik. Er is zo ontzettend veel netwerkverkeer dat geen mens het ooit allemaal kan overzien. Als je alles logt wat afwijkt dan heb je legers aan beheerders nodig om het allemaal uit te pluizen, zeker op netwerken die voor meerdere doelen gebruikt.

Daarbij is het ook nog eens heel moeilijk om vast te stellen wat afwijkt, zeker nu de halve wereld in de cloud draait. Als er een pakketje naar een of ander systeem naar de Azure-cloud gaat dan zullen de meeste mensen nooit weten of het bij MS Update hoort, bij een ander onderdeel van Windows, of bij een hacker die een Azure-VM heeft gehuurd.

Er zijn wel situaties dat je systemen zo dicht kan timmeren dat je iedere verbinding van of naar zo'n systeem kan voorspellen, maar dat zijn er niet veel.
Hear hear.

Dit is precies het probleem. Ook chinezen kunnen prima een azure/aws server huren.

En wat ook veel mensen vergeten: de datacenters van de cloud systemen zelf zijn heel kwetsbaar. Die kunnen niks filteren want dat vinden de klanten niet leuk. De isolatie tussen verschillende VMs op een cloud server is toch al een beetje dubieus, gezien meltdown/spectre en nog een hele andere rits cache/sidechannel attacks. Met een beetje extra hulp van wat verstopte firmware uit de hypervisor breken is vast niet zo heel moeilijk.

Ik vind het hele gedoe met die rijstkorrelgrote chip en utp poorten een beetje een wazig verhaal, maar de dreiging an sich is reŽel. En of het nou de chinezen of de amerikanen zijn kan me niet zoveel schelen, maar ik kan me haast niet voorstellen dat er niet hier en daar al wat backdoortjes in diverse firmwares zijn ingebouwd. De meeste ethernetkaarten hebben ook al firmware voor wake-on-lan en IME enzo tenslotte.
Het klinkt eerlijk gezegd... alsof je er geen verstand van hebt. Als de isolatie tussen VMs "dubieus" was zoals je zelf zegt waren er al veel incidenten geweest - guess what, die zijn er niet. Woorden als "vast niet zo heel moeilijk" geeft ook weer aan dat je er geen verstand van hebt. De beste stuurlui, enzo.

Nee d'r zijn honderdduizenden zo niet miljoenen bedrijven en consumenten actief op 'de cloud', en duizenden security researchers vanuit alle kampen (de cloud providers zelf, onafhankelijke white hat bedrijven, regeringen) die maar graag een zwakte in bijv. hypervisors en VMs vinden om bij die van anderen te komen en die hebben ze niet gevonden.

De dreiging van "geheime" hardware is wel reŽel; HTC heeft daar bijv. al schade aan ondervonden en hebben een fikse boete betaald om weer in de VS te mogen handelen. Ook Intel's IME is zwaar onder vuur, alhoewel het me niet zou verbazen als ze voor datacenters een versie kunnen krijgen waar dat hardwarematig uitgeschakeld is - of waar ze er wel gebruik van maken, want ze hebben er miljoenen van.
Google laat zijn eigen servers helemaal custom made bouwen om volledige controle te hebben over het BIOS en te voorkomen dat Intel zijn management laag geactiveerd wordt. Maar goed ook daar zou wellicht door een fabrikant iets naar binnen gesmokkeld kunnen worden.
Een Google-datacenter bestaat uit duizenden servers die verbonden zijn met een lokaal netwerk. Zowel de serverborden als de netwerkapparatuur zijn op maat gemaakt door Google. We trekken leveranciers van onderdelen waarmee we samenwerken altijd na en kiezen de onderdelen die we gebruiken zorgvuldig uit. Daarnaast werken we samen met leveranciers om beveiligingseigenschappen van de onderdelen te controleren en verifiŽren. We ontwerpen ook aangepaste chips, waaronder een hardwarebeveiligingschip die momenteel wordt geÔmplementeerd in zowel servers als randapparatuur. Met deze chips kunnen we legitieme Google-apparaten veilig identificeren en verifiŽren op hardwareniveau.
https://cloud.google.com/security/security-design
Je trapt in een mooi marketingverhaal. De werkelijke reden is domweg geld. Alle marge die anders bij een hardwareleverancier zit steken ze nu in eigen zak.
Precies je zegt het goed, "laat" zijn eigen servers bouwen. Dus ook bij Google is dit risico aanwezig. Zelf al zouden ze het echt zelf doen, dan nog kan er geÔnfiltreerd worden. elk commercieel bedrijf is hier vatbaar voor, als het doel maar de juiste waarde heeft.
Nee d'r zijn honderdduizenden zo niet miljoenen bedrijven en consumenten actief op 'de cloud', en duizenden security researchers vanuit alle kampen (de cloud providers zelf, onafhankelijke white hat bedrijven, regeringen) die maar graag een zwakte in bijv. hypervisors en VMs vinden om bij die van anderen te komen en die hebben ze niet gevonden.
Maar hij geeft toch voorbeelden van zwaktes. RowHammer. Meltdown. Spectre.
Hoe kan je dan nog zeggen dat ze nooit iets hebben gevonden.

Ik zal niet zeggen dat het makkelijk is of dat het ooit praktisch is uitgevoerd, maar je kan het ook weer niet uitsluiten. Er worden wel degelijk gaten gevonden die door containers en VMs heen gaan. Als iemand er toe in staat is om daar gebruik van te maken dan zijn het wel de geheime diensten.
Die zijn er genoeg, Microsoft heeft al een paar moeten patchen in HyperV en VMware hetzelfde. Zo zijn er voor Xen ook nog een paar. Er is zelfs een Wikipedia pagina en een term voor: https://en.wikipedia.org/wiki/Virtual_machine_escape

CGroups hebben ook al bugs gehad.

Volgende keer niet zo hoog van de toren blazen.
Kom jij mij nu bang maken met een kwetsbaarheid uit 2008? op Vmware workstation? echt? Serieus man, die hebben we al lang gepatcht hoor...

Ja er zijn bugs, ja er zijn mogelijkheden om aan te vallen, die gaan er altijd zijn, fysiek, virtueel of in de cloud. Maar ik heb een pak meer vertrouwen in het legertje experts dat bij MS/Amazon/Google aan security werkt in hun gigantische honingpot cloud, dan aan de local sysadmin die op zichzelf dagelijks "de logs eens leest" op zijn local infra.

Security experts zijn zeer welkom bij mij maar hun verhaal moet echt wel straffer zijn dan wat bangmakerij en oude info. Een goeie expert geeft me risico, impact en probabiliteit. Daarna komen ze met oplossingen.
Ik weet niet of je er bang van wordt, het gaat er meer om dat de isolatie tussen een VM en de host niet zo vanzelfsprekend is als hierboven werd beweerd.

Er komen vast nog wel meer. Het blijft software.
Spectre/meltdown werken cross vm. Hypervisor escapes zijn er ook al wel geweest (in ieder geval proof-of-concept). VM isolation is software met (potentiele) bugs, net zoals alle software. De attack surface van een hypervisor is (een stuk) kleiner dan een OS, maar nog steeds niet triviaal.

> en die hebben ze niet gevonden.

Google maar eens op 'VM escape'. Je mag hopen dat de meeste cloud boeren hun patches bijhouden, maar het is echt onzin om te doen als VMs een soort magische black-box zijn zonder vulnerabilities.

> De dreiging van "geheime" hardware is wel reŽel;

Die zal vast reŽel zijn. Alleen in dit specifieke geval vond ik de foto's van de rijstkorrel-chip iets te wazig, en leek me net iets te veel op een ufo/bigfoot foto.

'Geheime' firmware lijkt me nog steeds enorm veel makkelijk/goedkoper dan geheime hardware. Bios/UEFI van de gemiddelde PC is een bijelkaar geraapte puinhoop. Dat valt echt niet op als daar nog wat extra code in verscholen wordt.

> Het klinkt eerlijk gezegd... alsof je er geen verstand van hebt.
Alle internetexperts op een stokje :-D. Als ik ook even mag jijbakken: je klinkt wat naÔef. Maar t zou natuurlijk kunnen dat ik te cynisch ben.
Het is dan ook niet aan de mens om dat te overzien maar aan een systeem. Dit systeem detecteert wat wel en niet vreemd is en als een AWS server op eens met een andere AWS server (die niet bij een van jouw accounts hoort) gaat kletsen dan zal dit zeker aan het security team gemeld worden door deze hardware.
Een goed security team kijkt vervolgens naar wat het is dat er verstuurd is en naar wie etc... dat is echt niet zo heel erg moeilijk om te doen.

Ik werk al jaren voor grote bedrijven die 100% zeker regelmatig doelwit zijn van aanvallen en spionage dat hoort er gewoon bij. Maar ik kan je verzekeren als een systeem met een "vreemd" systeem begint te communiceren dan is dat onmiddellijk reden voor een onderzoek. Sterker nog als jij probeert in te loggen op een server waar je niet thuis hoort of met een login waar jij het wachtwoord niet van hoort te kennen dan is dat ook gelijk reden om eens uitgenodigd te worden voor een goed gesprek met security.
Ik werk al jaren voor grote bedrijven die 100% zeker regelmatig doelwit zijn van aanvallen en spionage dat hoort er gewoon bij. Maar ik kan je verzekeren als een systeem met een "vreemd" systeem begint te communiceren dan is dat onmiddellijk reden voor een onderzoek. Sterker nog als jij probeert in te loggen op een server waar je niet thuis hoort of met een login waar jij het wachtwoord niet van hoort te kennen dan is dat ook gelijk reden om eens uitgenodigd te worden voor een goed gesprek met security.
Maar dan moet je wel exact weten welke systemen vertrouwd zijn en welke niet, en een enorme neus hebben voor lekinformatie. Hoe verdacht is het en hoe lang zoek je door als er een pakketje gaat naar een datacenter waar Windows Update draait? Windows Update heeft geen vast ip, dat kun je niet hard afsluiten of openen in je firewall. Je kan alleen maar gokken of een bepaald pakket bij Windows Update hoort of niet. In zo'n omgeving haal je updates waarschijnlijk niet op die manier op, maar hoeveel mensen zouden het verdacht vinden om zo'n pakketje te zien?
Windows Update is uiteraard maar een voorbeeld, dat kan ook wat anders zijn.

De meest strenge systemen die ik heb gezien waren waardeloos omdat ze veel te veel meldingen genereerden. Hierdoor waren de menselijke beheerders niet in staat om ze allemaal te controleren. Dus werd het apparaat maar wat minder gevoelig gezet. Dat is een redelijk compromis dat de meeste organisaties moeten maken.

[Reactie gewijzigd door CAPSLOCK2000 op 11 oktober 2018 17:34]

Offtopic:
Het is mogelijk adhv signatures te bepalen of traffic windows update is. Wij kunnen dat actief blokkeren/toestaan. Geen stateful firewalling maar zgn next gen firewalling. Wij blokkeren/beperken bandbreedt van win update op dagen buiten maintenance window.

Alle ngfw’s rechtsboven uit gartners quadrant kunnen dat.

Je opmerking betreft opvolging van notificaties is heel valide, dat is best vervelend en bijna niet te doen. Daar heb je echter weer dingen als graylog voor om logs te verzamelen en tresholds te finetunen.

[Reactie gewijzigd door FreqAmsterdam op 11 oktober 2018 17:49]

Offtopic:
Het is mogelijk adhv signatures te bepalen of traffic windows update is. Wij kunnen dat actief blokkeren/toestaan. Geen stateful firewalling maar zgn next gen firewalling. Wij blokkeren/beperken bandbreedt van win update op dagen buiten maintenance window.
Misschien is Windows Update dan niet het beste voorbeeld, maar als dat verkeer fatsoenlijk versleuteld is zou je niks over de inhoud moeten kunnen zeggen.
Je opmerking betreft opvolging van notificaties is heel valide, dat is best vervelend en bijna niet te doen. Daar heb je echter weer dingen als graylog voor om logs te verzamelen en tresholds te finetunen.
Dat is praktisch gezien de beste aanpak, maar als zo'n geÔnfecteerde server het slim aanpakt dan wordt die treshold nooit bereikt.
SSL-DPI. Lastig uit te rollen (vanwege cert deploy op clients), maar wel mogelijk. Dan bekijk je ook encrypted traffic. Nuttig aangezien meer dan 80% van verkeer tegenwoordig versleuteld is.

[Reactie gewijzigd door FreqAmsterdam op 11 oktober 2018 18:05]

DPI als in Deep Packet Inspection?
Is dat Łberhaupt haalbaar/doenbaar. Technisch kan het allemaal wel, maar wat ga je er waarom mee doen allemaal? Providers doen/deden dit om torrentseeders te pakken voor Brein, maar massaal iedereen en alles zijn verkeer te scannen...
Jazeker. Kan je vertellen dat het bij heel veel bedrijven al gebeurd. Clients krijgen root certificate via gpo en mobile devices via mda (ms intune of ibm maas360 of iets anders). Al het ssl traffic wordt gestriped en gescand en opnieuw ondertekend met een ander root certificate.

edit: zie bijv. https://www.sonicwall.com...security-services/dpi-ssl

[Reactie gewijzigd door FreqAmsterdam op 11 oktober 2018 21:56]

Exact. Ik vind het ook vreemd dat mede-Tweakers hier zo over kunnen denken. Een paar voorbeeldjes:

We weten hier allemaal wel dat DNS spoofing (van domeinen zonder DNSSEC) kinderlijk eenvoudig is. DNS pakketjes worden meestal niet op inhoud gecontroleerd. (Zie het nstx tooltje in oude debian versies voor een proof of concept. Maar ook het Internet in China. De overheid injecteerde foute resultaten en jouw computer of telefoon slikt het zonder enige melding.)

Ik denk dat de Linux admins hier wel weten dat je timestamps op TCP en ICMP aan en uit kunt zetten. Daar kijken de meeste firewall/IDS niet van op, en kun je dus ook gebruiken om data te lekken.

ICMP tunnels worden ook vaak niet gespot, en zijn erg geliefd bij mensen die publieke hotspots zonder te betalen gebruiken. (Werkt niet altijd, maar vaker wel dan niet - al decennia.)

Etc. Er zijn echt talloze protocollen waar je vanalles aan kunt wijzigen of toevoegen zonder dat dat de meeste firewalls of clients direct opvalt.
Alleen is het allemaal TCP en internationaal standaard. Je kan ook losse bytereeksen verzenden over alle poorten zonder een officieel subprotocol te hanteren, oftewel obscuur doen is geen probleem. Maar je wil spioneren dus per definitie een communicatieverbinding (over een publiek netwerk conform open standaarden) tussen A en B aanleggen, waarbij van elk afzonderlijk stukje data dat er overheen gaat tenminste de bestemming zichtbaar moet zjin en moet kloppen om het een verbinding te kunnen noemen. Voor ALLE tussenliggende netwerkapparatuur.

Dit soort grappen worden pas interessant bij systemen die iets draaien wat constant veel verbindingen over random poortnummers maakt, zoals bepaalde bittorrent en Tor configuraties. Dan is iets ertussen stoppen met een "random" bestemming wel haalbaar. Maar bij de meeste organisaties zijn ze nog wel wakker genoeg om daar niet aan te beginnen. Je systeem wordt er ook nog ddos-gevoelig van...

[Reactie gewijzigd door blorf op 11 oktober 2018 18:08]

Waarom zou het allemaal TCP zijn? DNS is UDP. En je verbinding gaat nooit goed functioneren zonder ICMP. (Om maar twee voor de hand liggende voorbeelden te geven.)

Rommelen met obscure data op random poorten lijkt me ook niet zinvol. Dat is namelijk wel heel goed te detecteren en blokkeren.

Covert channels op basis van bestaand of in elk geval legitiem verkeer zal je veel meer success mee hebben.
Ok,TCP of UDP op IP. Die laatste dwingt de zichtbare bestemming af.
Een oplossing: een gesimuleerd "internet" achter je systeem hangen en kijken wat je UTP-stekkers allemaal proberen... (er vanuitgaande dat ze zelf zo slim zijn om hun mond houden zolang de internetlijn down is)
[Consiracy mode aan]: Tenzij Microsoft ook in het complot zit en de IP's/adressen van Microsoft gebruikt om de data onopvallend door te sturen.
Doe je aluhoedje af, Microsoft werkt alleen met de NSA mee en die hebben de Intel ME al tot hun beschikking.
Beter toch maar ophouden zolang IME bestaat lijkt me :-)
Het schijnt dat een loden wintermuts beter helpt tegenwoordig.
Zolang je maar niet op aluminiumfolie kauwt heeft het weinig effect....op de psyche iig.

Je moet wel verdomd naief zijn als je na jaren van berichtgevingen door o.a. klokkenluiders als Snowden of schrijvers als Greenwald nog steeds denkt dat de NSA of andere VS overheidsdiensten zich niet op allerlei manieren in bedrijven nestel(d)en en afdwingen/eisen tot 'samenwerking' m.b.t. ontwikkelingen (PRISM.)
Ik moest lithium gaan slikken ... ik ben nu over op Chinese batterijen ... goedkoper ..
Hahahaha! _/-\o_ Kijk maar uit dat het geen 'slimme' batterijen zijn met een chipje
een backdoor in je darmen :D
Grappig hoe je eerst een alu hoedje had als je wťl dacht dat er dit soort backdoors waren en je nu juist een alu hoedje hebt als je dat niet denkt. :+
Waren? dit soort (allerlei hardware backdoors) bestaan. Of het in deze context is van Supermicro of in een andere vorm.

https://arstechnica.com/t...o-router-getting-implant/

Het gaat eigenlijk uitermate simpel zonder enig 'aluminiumfolie complex' te begrijpen voor de gemiddelde leek. In dit geval m.b.t. Cisco routers.

"....Here’s how it works: shipments of computer network devices (servers, routers, etc,) being delivered to our targets throughout the world are intercepted. Next, they are redirected to a secret location where Tailored Access Operations/Access Operations (AO-S326) employees, with the support of the Remote Operations Center (S321), enable the installation of beacon implants directly into our targets’ electronic devices. These devices are then re-packaged and placed back into transit to the original destination. All of this happens with the support of Intelligence Community partners and the technical wizards in TAO...."

[Reactie gewijzigd door litebyte op 11 oktober 2018 16:15]

Nou en? Ik gebruik verleden tijd in het eerste deel van de zin (dacht) en dus ook in het tweede deel. Toen dacht je dat er toen backdoors waren. Nu wťťt je dat ze er nu zijn. Als je mijn verdere comments hier leest dan zie je meteen dat ik al jaren geleden overtuigd was dat ze er waren (ja, ik ben koppig!)

Maar jķist als het verhaal plausibel is moet je om bewijzen vragen. Want bij ongeloofwaardige verhalen gaat iedereen twijfelen en om bewijs vragen. Dat is geen kunst. Juist als het geloofwaardig is moet je er voor waken om het dan ook maar meteen te geloven en het controleren.
In dit geval m.b.t. Cisco routers.
Ja. Kijk eens terug naar mijn comments. Ik gaf Cisco zelf ook al als voorbeeld.

[Reactie gewijzigd door OddesE op 11 oktober 2018 16:17]

Prima, dank voor uw reactie, ik begreep u eerst niet, maar nu volkomen nadat u uw bericht heeft aangepast.

[Reactie gewijzigd door litebyte op 11 oktober 2018 16:20]

[Consiracy mode aan]: Tenzij Microsoft ook in het complot zit en de IP's/adressen van Microsoft gebruikt om de data onopvallend door te sturen.
[Conspiracy mode continued]: Of de NSA zijn eigen rijstkorrels graag verborgen wil houden...
Het gaat om de datacenters van Amazon en Apple. Hoewel MS tegenwoordig goed bezig is met cloud/datacentertoepassingen, vermoed ik toch dat er Linux word gedraaid.

Mocht ik desondanks iets via Windows updates mee willen sturen, dan had ik eerder gegokt op malware of op z'n laagst iets op firmware niveau, niet hardware.

Ook is die foto van Bloomberg geen chip, het zijn 3 resistors op een stukje PCB, dat hele ding kan geen ene fak behalve wat stroom afvlakken.
Azure draait op hun eigen NT, niet op Linux. Heel Azure is technisch ook 1 OS, een super computer. Het is ook de enige NT based supercomputer die -waarschijnlijk- in de top 100 (of top 10 zelfs) te vinden is.

MS maakt wel regelmatig gebruik van Akamai, o.a. om Windows ISO's en updates te pushen, welke wel gebruik maken van Linux servers.
En zie daar het geweldige stenography om de hoek kijken.

Een geheime dienst krijgt zo toegang tot een 'vertrouwt' IP adres in de ranges van MS of andere bedrijven. Zo heel moeilijk is het ook niet om spionage data te verbergen in legitiem uitziend verkeer.

Dit is echt allemaal appeltje-eitje voor een NSA, AIVD of Interpol.

Blijf me verbazen hoe hier op Tweakers keer op keer vermeld wordt dat "een beetje fatsoenlijk netwerk dit zo detecteert". Die hebben volgens mij totaal geen idee wat er allemaal mogelijk is.
Dit zal echter niet gauw gebeuren met Chinese overheden..
En al zit er maar 1 afwijkend berichtje tussen de volledige Windows Update geschiedenis sinds Windows XP, wordt die met de juiste instellingen al tegengehouden en gemeld aan de systeembeheerder.
Knappe jongen die voor alle potentiele afwijkende berichten kan configureren...
Umm... dat gebeurt wel degelijk?
Zie hier voor een NSA router "upgrade" werkplaats.
Wie zegt dat dit niet bestaat? Dat gaat de US/NSA etc natuurlijk niet aan de grote klok hangen.
Ik vraag me af of je zo'n chip makkelijk kunt ontwerpen, zie bijvoorbeeld dit artikel:
https://www.extremetech.c...-computer-blockchain-tech

IBM krijg het dus voor elkaar een kleine chip (die groter is dan wat Bloomberg beweert te hebben gevonden) te maken die vergelijkbare prestaties heeft als een x86 uit 1990.
The micro-computer is a complete system-on-a-chip (SoC) with a processor, memory, storage, and a communication module. The CPU contains several hundred thousand transistors, and IBM says it’s capable of performance on par with an x86 CPU from 1990.
Het maken van een kleine chip die de capaciteit heeft om veel data te verwerken is nog toekomstmuziek.
Om eerlijk te zijn verbaas ik mij er vooral over dat dit nog nooit ťťrder is gebeurd of verdacht.
Mij ook aangezien dit een klassiek scenario is in menig spionage/actiefilm/serie en nota bene de Nederlandse politie iemand heeft aangehouden die fysieke keyloggers gebruikte voor identiteitsfraude. Voor de aanhouding van de verdachte in de zaak van Amanda Todd heeft de politie zelf een keylogger gebruikt. Een opsporingsmethode die wettelijk is toegestaan. En zo zijn er nog wel meer voorbeelden waarbij er geknoeid is met de hardware of dingen zijn omgewisseld. Het is nogal klassieke "IJzeren Gordijn"-spionage.

De verbazing was er ook bij de CEO van Sepio, Yossi Appleboum, en bleek uiteindelijk voor hem de reden om er via Bloomberg mee naar buiten te treden. De website ServeTheHome (STH) heeft hierover ook bericht en verwijst daarbij ook naar de issues met BMC en DRAC (er is momenteel iets als iDRACula). Als follow up hebben ze Yossi Appleboum geÔnterviewd.

Er zijn 2 opvallende dingen die Appleboum daar noemt:
  • Sepio heeft het bij diverse merken aangetroffen
  • en ze hebben het in diverse onderdelen aangetroffen
Het is dus geen Supermicro probleem maar een veel breder issue. Volgens Appleboum is de supply chain het grote probleem en is er niemand die dit door heeft. Dat laatste is de hoofdreden waarom hij er mee naar buiten komt en dat verwoord hij als volgt:
I want to be quoted. I am angry and I am nervous and I hate what happened to the story. Everyone misses the main issue.
Als je kijkt naar de kritiek op het Bloomberg artikel en een aantal reacties op dit artikel snap je wellicht al snel waarom. De houding is bij voorbaat al "dit is niet mogelijk, dit is onzin", een houding die we recentelijk nog eens hebben gezien bij de berichtgeving omtrent AMD Ryzen/EPIC vulnerabilities die later door andere security experts en AMD zelf werden bevestigd maar die we vooral kennen van de Titanic ("dit schip is onzinkbaar"...uiteindelijk is het 1 van de grootste scheepsrampen tot dusver). Geen slimme houding dus. Al helemaal niet met een land als China dat op brede wijze economische spionage inzet (denk aan de ASML hack).

Let wel: dit is iets wat vooral wordt toegepast voor heel gerichte spionage. Ze zullen het dan ook alleen toepassen op onderdelen (een complete server moet je ook als zodanig beschouwen) bestemd voor een specifiek bedrijf/persoon. Daarom is die supply chain ook zo belangrijk. Voor dat soort zaken komt namelijk niet de productie in beeld maar juist alles wat daarna gebeurd. Supermicro zal een PCB controleren, een postbode niet. Het heeft dan ook meer zin om een pakket af te vangen dan om in de fabriek zelf de boel aan te gaan passen. Dat is een scenario waarbij de fabrikant dan ook daadwerkelijk niets ziet en van niets weet en waardoor de NSA ook zo'n hack kan ontkennen.

Ergo: dit hele gedoe vereist heel wat meer uitdiepwerk en het is jammer dat dit door velen niet wordt gedaan. Misschien dat tweakers.net weer eens een achtergrondartikel kan maken zoals men voor de Spectre en Meltdown kwetsbaarheden heeft gedaan en daarmee, net als STH, ook eens de diepte induikt.

[Reactie gewijzigd door ppl op 11 oktober 2018 16:42]

kun je wellicht uitleggen hoe dit spionage materiaal de data 'opslaat' of 'doorstuurt'? Dat klinkt niet triviaal namelijk. Een keylogger is leuk, maar je moet er wel bij kunnen of de logger moet zn data doorsturen.

Het zou idd allemaal kunnen, maar vereist wel samenwerking van ea aan componenten en fabrikanten. Dat maakt het verhaal nogal lastig te geloven. Als 'iedereen in het complot' zit dan is er vaak geen complot.
Je laat een chip tussen de traces van de Baseband Management Controller en het moederbord zetten, deze kan het RAM geheugen aansturen/uitlezen. Na het booten van de machine injecteert deze chip via de BMC een payload rechtstreeks in het geheugen van het OS. Het OS execute dit geheugen en in dit memory stukje zit een bootstrapper die de rest download.

Dat is redelijk te doen. Helemaal als je tijd en geld hebt.
Na het booten van de machine injecteert deze chip via de BMC een payload rechtstreeks in het geheugen van het OS.
ASLR staat toch een beetje in de weg of niet soms ?
Zou kunnen, maar als je het tijdens het booten doet dan weet ik niet of dat dan ook werkt. Onder Linux moeten de binaries daar ook voor geschreven zijn als ik me niet vergis.

[Reactie gewijzigd door Sandor_Clegane op 11 oktober 2018 18:40]

Ook daar zijn vulnerabilities bij gevonden, zelfs in OpenBSD. Er wordt van alles met elkaar gecombineerd om ergens binnen te kunnen komen.
kun je wellicht uitleggen hoe dit spionage materiaal de data 'opslaat' of 'doorstuurt'? Dat klinkt niet triviaal namelijk. Een keylogger is leuk, maar je moet er wel bij kunnen of de logger moet zn data doorsturen.
Je zou kunnen denken aan hoe een slimme meter in de meterkast werkt. Die zenden een bluetooth signaal uit die je kunt oppikken. Een andere manier is door de opgepakte Russen gedemonstreerd (of beter gezegd, door de MIVD uit de doeken gedaan): gewoon met iets als een Pineapple Wifi. Dat ding wordt verkocht door Hak5 die ook hun eigen YouTube kanaal hebben waar ze dat soort dingen uitgebreid uitleggen. Je kunt het ook doen zoals bij malware: gebruik maken van een of andere control server. Dan kun je zien dat ze worden aangemeld en daarna de boel apart configureren zodat ze via een eigen 3g/4g connectie naar buiten gaan ipv het bedrijfsnetwerk.
Het zou idd allemaal kunnen, maar vereist wel samenwerking van ea aan componenten en fabrikanten. Dat maakt het verhaal nogal lastig te geloven. Als 'iedereen in het complot' zit dan is er vaak geen complot.
Bovenstaande is exact de reden waarom Yossi Appleboum reageert en waar hij ook tegen ageert. Waar jij op doelt is een probleem bij productie, waar hier echter in werkelijkheid op wordt gedoeld is een probleem in de supply chain na productie. Het voorbeeld van de keylogger laat dat ook zien. Die is achteraf geÔnstalleerd, niet al bij productie.

Mensen moeten snappen dat je er geen ene zak aan hebt om bij productie al de boel te saboteren. Het wordt door de kwaliteitscontroles e.d. heel snel opgemerkt en wanneer het op duizenden PCB's gaat die overal en nergens naartoe gaan betekent dat je ook een shitload aan data krijgt zonder dat je weet van wie. Dat is gewoon onwerkbaar en daarom ook vergezocht (maar dus niet onmogelijk want het kan in theorie).
Dit soort zaken zet je dan ook alleen heel gericht in en dus grijp je ook pas later in de supply chain in. Bijvoorbeeld bij het afleveren van de doos met de nieuwe server. Dit werkt heel goed voor het bespioneren van een specifieke partij zoals ASML. Dit is gewoon 1 van de vele manieren om ergens binnen te komen en daarbij geldt dat men het meest makkelijke zal kiezen en als dat niet werkt gaan ze gewoon het lijstje verder af. Ook dat is door die opgepakte Russen gedemonstreerd (phishing werkte niet dus toen zijn ze fysiek gaan proberen).

[Reactie gewijzigd door ppl op 11 oktober 2018 21:22]

Dan nog, een chip op een moederbord moet dan wel dusdanig slim en op zich zelf opereren anders kan het niets. Een chip die iets met windows updates wil doen moet wat intelligenter zijn. Hoe weet een chip wat 'windows' is? Op dat niveau , van 0 en 1 moet je nogal wat doen om uit de hele stroom aan informatie wat van te maken.

Data sturen naar een extern IP ... dat betekent dat de chip of zelf netwerk communicatie moet hebben, of samen met de al aan boord (moederbord) wezende chips. Dat laatste maakt het nog lastiger, want dan moet het wel met samenspraak van de moederbord fabrikanten gebeuren.

Niet dat het niet kan, maar het vraagt wel een samenwerking tussen een aantal partijen (chip fabrikant, moederbord fabrikant en uiteindelijk ook software leverancier). En geen van allen hebben baat bij een lek als idd uitkomt dat ze 'spionage materiaal' leveren.
Oh, maar dit is al wel gebeurd hoor.
Dit is onder andere 1 van de redenen waarom Edward Snowden nog steeds niet welkom is in Amerika.

We weten al jaren dat de NSA het doet (https://www.infoworld.com...rs-in-cisco-products.html).
De andere grote diensten zullen daar niet bij achter blijven. Het blijft echter opmerkelijk dat Bloomberg dit verhaal blijft pushen en achter de anonieme bronnen blijft staan, zonder enig bewijs te leveren.
Natuurlijk bestaat dit wel, goede kans dat de Intel Management Engine dit soort dingen mogelijk maakt. Anders hebben ze wel een andere manier. De NSA deinst er niet voor terug om modificaties aan te brengen in hardware van Amerikaanse fabrikanten, Cisco routers bijv.

Ze gaan dit natuurlijk niet aan de grote klok hangen.
Financieel persbureau Bloomberg publiceerde vorige week op basis van enige jaren speurwerk en claims van veel bronnen dat de Chinese overheid chips had laten plaatsen op servermoederborden van Supermicro.
Als er zoveel onderzoek is gedaan en ze zoveel ondersteunende bronnen hebben...dan had zelfs een beginnend stagiair een beter, en geloofwaardiger, artikel kunnen schrijven...

Er moet bijna wel een andere, dubieuze, reden achter dit verhaal zitten...
Enige dat ik kan bedenken is dat ze gehackt zijn of een geinfiltreerd en om een reden die ik niet kan verzinnen zo dit is gepubliceerd. En dat ze de keuze maken - voor paal staan is beter dan toegeven dat we gecompromised zijn. Maar dat klinkt zelfs al te zot voor woorden...
Gezien de huidig gevoerde geo politiek van zowel China als de VS ben ik bang dat we een toename van dit soort berichtgevingen zullen zien in de massa media.

Een hoog 'sources say' gehalte en geen enkel visueel noch onafhankelijk bewijs.
"Nee, dat heb ik niet. Ik maak me zorgen over de afleiding die dit veroorzaakt."
Kijk, die man heeft het spel door.
De commerciŽle belangen hierin zijn onvoorstelbaar groot. Naast de fysieke belangen bewaakt een agentschap zoals de NSA ook de economische belangen van een land.

Bloomberg is geen amateuristische partij en heeft bij mij best wat kredietwaardiheid opgebouwd. Daarnaast zijn de economische belangen van de Noorse bedrijven een heel stuk kleiner, dus de Noorse bevindingen beoordeel ik sterker dan de Amerikaanse NSA, of de tech bedrijven.

De keerzijde is dat dit China ontzettend hard zou kunnen raken als het inderdaad waar is. Dat zou een reden genoeg moeten zijn om het niet te doen.

Los daarvan; het verbaast me dat dit nu pas een issue is geworden. Het is een redelijke vanzelfsprekende aanvalsmethode en had verwacht dat zoiets al eerder zou zijn toegepast, en zou zijn ontdekt.
Bloomberg is geen amateuristische partij en heeft bij mij best wat kredietwaardiheid opgebouwd.
Die credietwaardigheid zou eigenlijk helemaal moeten oplossen bij het lezen van de betreffende artikelen.
Zelfs als er een kern van waarheid zit in die verhalen dan nog is het bijzonder amateuristisch opgeschreven waarbij aannames en speculaties als bewijs worden opgevoerd.
De Noren zeggen louter dat ze op de hoogte waren van een MOGELIJK probleem bij SuperMicro. Niet dat ze daadwerkelijk iets gevonden hebben. Maw misschien hebben die iets van dezelfde bron als Bloomberg gehoord. ;)

Als je de Bloomberg artikelen leest, ziet dat er veel onzin in staat, er geen enkel bewijs of bron getoond kan worden en daadwerkelijk alle genoemde partijen melden dat het bullshit is - dan moet Bloomberg wel heel erg veel credit bij je hebben. oO

Voor mij begint het steeds meer te lijken op hetzelfde type onzin als Rian van Rijbroek bij Nieuwsuur...
Haha, de NSA die wat ontkent. Stuxnet wordt tot op heden ontkent maar er is zoveel bewijs dat eigenlijk iedereen weet dat Stuxnet bestond (bestaat) en welke overheden er achter zitten.

Waar rook is is vuur en de waarheid zal wel ergens in het midden liggen.
Waar rook is is vuur, maar het lijkt er op dat Bloomberg dit brandje zelf gesticht heeft. ;)
Ben ik nou gek of is het plaatsen van een chip wel extreem vergezocht? Je kan toch beter een EEPROM chipje met toegang tot de SPI bus vervangen, of de chip zelf even flashen met de originele code + je eigen? Zoek een gedeelte waarvan je weet dat het uitgevoerd word en je bent al binnen.
NSA-topman Rob Joyce zei in een interview op de Securing Cyberspace-conferentie van de Amerikaanse kamer van koophandel dat hij niets had gezien van de kwaadaardige chips. "Er zijn nu allerlei bedrijven in paniek over deze zorg, maar niemand heeft iets gevonden. Het is er gewoon niet."
Zegt de man die in 2008 in z'n catalogus een RJ45 connector (FIREWALK) had staan om verkeer af te luisteren.
Als je dan toch spionage chips in servers wilt gaan zetten, dan zou ik het doen in een HPE of Dell server. Deze hebben beide een veel groter aandeel in de servermarkt dan Supermicro.

Voor zover ik kan vinden worden de Dells en HPE,s ook in China gemaakt.
https://www.computerworld...tracting-more-buyers.html
Is het niet in ieders belang om vaag te blijven van wat men nu echt weet van elkaar?

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True