NSA-topman ontkent bestaan Supermicro-hack

Tot zo ver hoor ik alleen maar verhalen maar waar zijn de foto's.
als iets gemanipuleerd is, is dat zichtbaar en je neemt een foto met en zonder manipulatie en zie daar bewijs.

USA-China zijn nu niet echt vrienden en Trump zou iedere mogelijkheid pakken om China met dit om de oren te slaan als het waar zou zijn. China zou Trump dan echt een stok geven om te slaan.

Enige reden die ik zou kunnen bedenken dat men dit zou ontkennen is dat het lang aan de gang is en er gevoelige informatie gestolen zou zijn waardoor men een gigantisch gezichtsverlies zou hebben. Dat gezegd hebben, Turmp zal het geen zak uitmaken en de stok gebruiken om China te slaan.

Kleine kans dus dat het waart is, maar ja die foto's met manipulatie waar blijven die. Het lijkt er op dat men zo maar kan roepen maar bewijs niet meer hoeft te leveren. Bewijs dat in dit geval vrij eenvoudig te leveren moet zijn.

Om eerlijk te zijn verbaas ik mij er vooral over dat dit nog nooit éérder is gebeurd of verdacht.

Mij ook aangezien dit een klassiek scenario is in menig spionage/actiefilm/serie en nota bene de Nederlandse politie iemand heeft aangehouden die fysieke keyloggers gebruikte voor identiteitsfraude. Voor de aanhouding van de verdachte in de zaak van Amanda Todd heeft de politie zelf een keylogger gebruikt. Een opsporingsmethode die wettelijk is toegestaan. En zo zijn er nog wel meer voorbeelden waarbij er geknoeid is met de hardware of dingen zijn omgewisseld. Het is nogal klassieke "IJzeren Gordijn"-spionage.

De verbazing was er ook bij de CEO van Sepio, Yossi Appleboum, en bleek uiteindelijk voor hem de reden om er via Bloomberg mee naar buiten te treden. De website ServeTheHome (STH) heeft hierover ook bericht en verwijst daarbij ook naar de issues met BMC en DRAC (er is momenteel iets als iDRACula). Als follow up hebben ze Yossi Appleboum geïnterviewd.

Er zijn 2 opvallende dingen die Appleboum daar noemt:

• Sepio heeft het bij diverse merken aangetroffen
• en ze hebben het in diverse onderdelen aangetroffen

Het is dus geen Supermicro probleem maar een veel breder issue. Volgens Appleboum is de supply chain het grote probleem en is er niemand die dit door heeft. Dat laatste is de hoofdreden waarom hij er mee naar buiten komt en dat verwoord hij als volgt:

I want to be quoted. I am angry and I am nervous and I hate what happened to the story. Everyone misses the main issue.

Als je kijkt naar de kritiek op het Bloomberg artikel en een aantal reacties op dit artikel snap je wellicht al snel waarom. De houding is bij voorbaat al "dit is niet mogelijk, dit is onzin", een houding die we recentelijk nog eens hebben gezien bij de berichtgeving omtrent AMD Ryzen/EPIC vulnerabilities die later door andere security experts en AMD zelf werden bevestigd maar die we vooral kennen van de Titanic ("dit schip is onzinkbaar"...uiteindelijk is het 1 van de grootste scheepsrampen tot dusver). Geen slimme houding dus. Al helemaal niet met een land als China dat op brede wijze economische spionage inzet (denk aan de ASML hack).

Let wel: dit is iets wat vooral wordt toegepast voor heel gerichte spionage. Ze zullen het dan ook alleen toepassen op onderdelen (een complete server moet je ook als zodanig beschouwen) bestemd voor een specifiek bedrijf/persoon. Daarom is die supply chain ook zo belangrijk. Voor dat soort zaken komt namelijk niet de productie in beeld maar juist alles wat daarna gebeurd. Supermicro zal een PCB controleren, een postbode niet. Het heeft dan ook meer zin om een pakket af te vangen dan om in de fabriek zelf de boel aan te gaan passen. Dat is een scenario waarbij de fabrikant dan ook daadwerkelijk niets ziet en van niets weet en waardoor de NSA ook zo'n hack kan ontkennen.

Ergo: dit hele gedoe vereist heel wat meer uitdiepwerk en het is jammer dat dit door velen niet wordt gedaan. Misschien dat tweakers.net weer eens een achtergrondartikel kan maken zoals men voor de Spectre en Meltdown kwetsbaarheden heeft gedaan en daarmee, net als STH, ook eens de diepte induikt.

[Reactie gewijzigd door ppl op 25 juli 2024 17:32]