Tim Cook: Bloomberg zou artikel over Supermicro-hack moeten intrekken

Apple-ceo Tim Cook heeft in een interview met Buzzfeed gezegd dat Bloomberg een recent artikel zou moeten intrekken, waarin het stelde dat de Chinese overheid kleine chips op Supermicro-moederborden heeft geplaatst die onder meer bij Apple terechtkwamen.

Buzzfeed-redacteuren schrijven dat ze een telefonisch interview met Cook hebben gevoerd, waarin hij over het Bloomberg-artikel zei: "Hun verhaal over Apple is niet waar. Ze zouden de juiste beslissing moeten nemen en het moeten intrekken." Hij voegde daaraan toe dat hij vanaf het begin betrokken was bij de communicatie over het artikel. "Ik sprak samen met onze toenmalige advocaat Bruce Sewell persoonlijk met de Bloomberg-redacteuren. We stelden heel duidelijk dat dit niet is gebeurd en hebben al hun vragen beantwoord. Elke keer dat ze bij ons kwamen, was het verhaal weer gewijzigd en elke keer hebben we een onderzoek uitgevoerd dat niets opleverde."

Cook spreekt erover dat er tijdens die onderzoeken e-mails werden doorzocht, net als financiële gegevens, 'datacenter records' en leveringsgegevens. Ook zouden de Bloomberg-redacteuren nooit met hard bewijs zijn gekomen, maar alleen 'met vage verhalen uit tweede hand'. Het persbureau laat in een reactie aan Buzzfeed weten dat het artikel het resultaat is van meer dan een jaar werk en meer dan honderd interviews. Zeventien bronnen zouden de informatie hebben bevestigd. "We blijven achter ons verhaal staan en hebben vertrouwen in onze verslaggeving en bronnen", aldus een woordvoerder.

Bloomberg publiceerde het artikel twee weken geleden. Het stelde dat de Chinese overheid spionagechips had laten plaatsen op servermoederborden van Supermicro, die vervolgens terechtkwamen in datacenters van grote bedrijven als Amazon en Apple. Op die manier zou het mogelijk zijn geweest een backdoor te creëren die toegang gaf tot de netwerken van deze servers. Apple en Amazon publiceerden al snel daarna uitgebreide ontkenningen. Onder meer de VS en het VK zeiden niet te twijfelen aan deze ontkenningen.

Door Sander van Voorst

Nieuwsredacteur

19-10-2018 • 20:33

91

Reacties (91)

Sorteer op:

Weergave:

Ik vind vooral het laatste artikel op Arstechnica hierover leuk:
If Supermicro boards were so bug-ridden, why would hackers ever need implants?

Kort samengevat theoretisch zou het mogelijk zijn om een attack op de genoemde manier uit te voeren, maar ten opzichte van kosten, implementatie en detectie zou het beter zijn dit op andere manieren te doen.

Persoonlijk heb ik zoiets bij het "Bloomberg" artikel media aandacht trek gebeuren, zonder enig bewijs (behalve de uitspraak: "17 niet verifieerbare bronnen zeggen dat dit zo is" dan kan ik ook zeggen "AMD Grafische kaarten van PowerColor in de RX5XX series hebben een keylogger in de BIOS/UEFI van de kaart want ik en 15 andere onafhankelijke bronnen zeggen dat").

[Reactie gewijzigd door Starke op 23 juli 2024 02:41]

Dit lijkt me toch gewoon bewust een valse gerucht om trump te helpen meer productie naar de U.S. te forceren? Het werkt nu al op die manier.
Inderdaad. Je ziet het op alle markten in de US. Alle Europese of Aziatische handel zien ze als een doorn in hun oog. Ik vind zelfs het diesel schandaal er een voorbeeld van.

Als je de nox uitstoot vergelijkt met CO2 uitstoot dan is nox een doodzonde in de vs en is er met CO2 niks aan de hand. Dat is precies het verschil tussen een rendabele motor en een slurper in een Amerikaan. De ideale manier om de concurrentie buitenspel te zetten. Ik praat sjoemelen niet goed, maar de uitstoot van een gemiddelde Amerikaan is absoluut veel schadelijker dan onze Europese nox uitstootters.

Dus protectionisme op de automarkt kenden wel al en inmiddels veel meer sectoren die hierdoor zijn getroffen.

Beginnen met dollar-afhankelijkheid afbouwen want die Amerikanen beginnen echt een beetje door te draaien. Verzonnen schandalen om hun eigen markt op een vieze manier te beschermen.
Omdat dieselgate ook echt een doodzonde is! In Europa hebben onze beleidmakers altijd ingezet op dieselmotoren omdat die minder CO2 per kilometer produceren. Hier tegenover staat echter dat diesels veel meer NOx en fijnstof produceren, iets waar echt tienduizenden mensen in Europa per jaar aan overlijden door longziekten. Aan CO2 ga je niet dood. Dit was altijd al bekend maar altijd ontkend of weggesjoemeld in de Europa maar zeker niet in de VS. In de VS hebben steden lang niet zoveel last van vieze lucht als in Europa.
Aan CO2 ga je op lange termijn zeker dood. Niet jij omdat je ruim boven de zeespiegel woont maar de ongelukkige mensen en dieren die zich niet kunnen wapenen tegen de stijgende zeespiegel door de gevolgen van opwarming van de aarde als gevolg van CO2 uitstoot. En wat is dieselgate? Mijn Audi is na correctie van de sjoemelsoftware van 123mg teruggegaan naar 111 altijd veel minder schadelijk dan die 5 -8 liter Amerikaan. Daar ben ik van overtuigd.

[Reactie gewijzigd door InsanelyHack op 23 juli 2024 02:41]

Ik niet want ik Google dan even.. Een Ford Mustang met een 5.0 V8 produceert 27 mg/km NOx en nul PM10 fijnstof. Da's wel een orde van magnitude minder dan jouw TDI. Maar offer gerust nog meer mensen op met COPD en longkanker ten gunste van de klimaatreligie, ik heb zelf liever schone lucht en rijd dus benzine.
Bron: https://www.nextgreencar....el/ford/mustang+fastback/
En mijn TDI 52 mg en 0 PM10 fijnstof en 104 g/km CO2 tov 180g/km van de mustang. (dezelfde magnitude waar jij het over hebt). Ik wist niet dat zo'n onrendabele Amerikaan zo goed was voor je longen.
Maar ik denk dat voor beiden wat valt te zeggen. Lees dit stuk. De conclusie:

Simpel gezegd gaat de NOx-uitstoot omhoog wanneer je de CO2-uitstoot wilt terugdringen, en omgekeerd. Dat is de spagaat waar de auto-industrie mee moet worstelen. Voor een groot deel is dit constructief bepaald, maar met behulp van de elektronica kun je het bijsturen. En dat is waar Volkswagen een nu een stap te ver in is gegaan.
De NOx uitstoot van diesels hebben directere gevolgen dan de hogere CO2 uitstoot van benzine, iets wat ik zelf heb mogen ondervinden door inspanningsastma te krijgen.
Tuurlijk. Inmiddels ben ik overtuigd dat NOx absoluut een negatieve impact heeft op je gezondheid. Maar om daar alleen een dieselauto van te beschuldigen en een benzine auto als heilige graal te bestempelen en CO2 uitstoot minder erg te bestempelen vind ik te ver gaan. Fijnstof bijvoorbeeld wordt door alle auto's veroorzaakt (zelfs elektrische) want banden en remmen geven ook een aanzienlijke hoeveelheid fijnstof af. Men moet een diesel niet afschrijven want zodra er een oplossing is voor de NOx uitstoot (en Bosch maakt daar nu al aanzienlijke progressie in) dan heb je een winst tov een benzine auto.
Je zou denken dat die 17 bronnen ook wel met een New York Times of Washington Post ofzo willen praten. Als meerdere media de boel verifiëren wordt het al iets betrouwbaarder. Dat dat niet gebeurd lijkt me veelzeggend.
Mijn grootste probleem is dat je in élke chip in je computer je een verstopte backdoor kan zetten. Als het echt zo high tech en geniepig is, waarom dan in een aparte chip? Dat maakt het verhaal wel wat ongeloofwaardig.

Aan de andere kant is het naief om te denken dat dit soort spelletjes niet gespeeld worden.
Ook Supermicro ontkent in alle talen.
Domme mensen hebben voor elke oplossing een probleem !
https://youtu.be/S_-a85G0zjs
https://www.bloomberg.com...e-america-s-top-companies

17 bronnen die onafhankelijk van elkaar dit scenario bevestigen. 3 Apple insiders en 4 van de 6 gesproken overheids officials. Dat 17 mensen onafhankelijk van elkaar zo liegen geloof ik niets van. Zowel Apple als Amazon heeft fors ontkent maar dat er niets aan de hand is kan bijna niet.

Of Tim Cook is niet op de hoogte van deze breach maar een zeer klein aantal need-to-know Apple mensen wel
Of Apple en Amazon hebben een gag-order (https://en.wikipedia.org/wiki/Gag_order)
Of Bloomberg heeft 17 mensen gesproken die onafhankelijk van elkaar dezelfde onzin vertellen
Of...
17 bronnen die onafhankelijk van elkaar dit scenario bevestigen.
Definieer "onafhankelijk". Van bijvoorbeeld "drie Apple insiders" zou ik toch verwachten dat ze enig contact met elkaar hebben. Want wie binnen Apple zouden hiervan op de hoogte moeten zijn? Voornamelijk de mensen die over de digitale beveiliging gaan, toch? De mensen die deze melding hebben gekregen en op onderzoek uit zijn gegaan (en, volgens alle bronnen die niet met Bloomberg hebben gesproken, niets hebben gevonden). Als je op dezelfde afdeling werkt, aan hetzelfde onderzoek, dan is het lastig om echt onafhankelijk te zijn. Zelfs als Jantje en Pietje elkaar niet kennen kan iets wat Jantje zegt bij Klaasje terecht komen. Als Klaasje dat vervolgens met Pietje bespreekt (zonder nadrukkelijk zijn bron te vermelden), dan zijn Jantje en Pietje wat mij betreft niet volledig onafhankelijk.
Dat 17 mensen onafhankelijk van elkaar zo liegen geloof ik niets van.
Wie zegt dat ze liegen? Misschien vergissen ze zich alleen maar. Het is mogelijk dat ik iets heb gemist, maar voor zover ik weet heeft Bloomberg nergens beweerd dat alle zeventien bronnen hebben gezegd "ik weet dat dit waar is, want ik heb die extra chip met mijn eigen ogen gezien". Als dit al zo lang speelt, dan wil ik best geloven dat iemand ergens een keer hoort "ja, we hebben iets gevonden", maar niet meegekregen heeft dat later bleek dat er toch niets aan de hand was (bijvoorbeeld: ja, ze hadden een extra chip gevonden, maar bij nader onderzoek bleek het een nieuwe hardware revision te zijn). Is dat waarschijnlijk? Voor een klein groepje personen en een korte tijd? Nee. Maar hier zijn enorm veel mensen (indirect, zijdelings) bij betrokken en het speelt al (minstens) een jaar. In zo'n situatie is het volkomen normaal dat een onwaarschijnlijke situatie zich wel degelijk voordoet. Juist doordat er meerdere keren een uitgebreid onderzoek is verricht kan het feit dat Bloomberg hier al een jaar aan werkt bijgedragen hebben aan het aantal mensen dat (oprecht!) denkt dat er iets aan de hand is, zelfs als dat niet zo is.

TL;DR: Zouden deze bronnen voort kunnen komen uit ergens heel veel aandacht aan geven, maar het tegelijkertijd geheim proberen te houden, zodat het lastig is om betrouwbare informatie uit te wisselen? Dan creëer je al snel een soort "telefoonspel" (wat in het Engels, niet heel politiek correct, maar in deze context wel hilarisch, "Chinese whispers" wordt genoemd)?
Tim Cook is niet op de hoogte van deze breach maar een zeer klein aantal need-to-know Apple mensen wel
Op welke manier is Cook niet "need-to-know"...!? Als er ergens bij een Apple-winkel een ruitje wordt ingetikt en iemand steelt een paar producten, okee prima, dat krijgt Cook waarschijnlijk niet te horen. Maar als iemand een ramkraak pleegt, miljoenen producten steelt en een groot magazijn maandenlang onbruikbaar is vanwege reparaties, dan zou ik eigenlijk toch wel verwachten dat iemand denkt "misschien is het nuttig als we dit aan de baas laten weten". Als dit gister voor het eerst gemeld zou zijn en vandaag zegt Cook "ik weet van niks", dan kan ik, met heel veel fantasie, nog geloven dat het misschien betekent dat hij het nog niet weet. Maar na een jaar? Als ie wel weet dat er al meerdere onderzoeken zijn gedaan? Nee sorry, dat is volkomen ongeloofwaardig. Als "drie Apple insiders" al lang genoeg op de hoogte zijn om er met Bloomberg over te praten, dan weet Cook het ook.
Of Apple en Amazon hebben een gag-order (https://en.wikipedia.org/wiki/Gag_order)
Theoretisch mogelijk... maar extreem onwaarschijnlijk. Dan zouden ze met gag orders aan het strooien moeten zijn om iedereen stil te houden, maar helemaal vergeten zijn om er ook eentje naar Bloomberg te sturen? In het oorspronkelijke Bloomberg artikel staat immers:
The FBI and the Office of the Director of National Intelligence, representing the CIA and NSA, declined to comment.
Dus het scenario dat Bloomberg geen gag-order heeft omdat de overheid niet wist dat ze met dit artikel bezig waren valt af. Ook claimen ze:
Amazon reported the discovery to U.S. authorities, sending a shudder through the intelligence community.
Dat maakt de theorie dat "freedom of the press" op de een of andere manier boven "national security" gaat (zodat ze Bloomberg geen gag order kunnen geven) zeer onwaarschijnlijk. (En zelfs als dat zo zou zijn, dan verwacht ik dat iemand de redacteuren een seintje geeft "on the record hebben we geen commentaar, maar off the record: we kunnen jullie niet dwingen, maar even serieus, kunnen jullie dit artikel alsjeblieft uitstellen totdat we het onderzoek / de oplossing / ... hebben afgerond, we kunnen het echt niet gebruiken als dit nu openbaar wordt".)
Of Bloomberg heeft 17 mensen gesproken die onafhankelijk van elkaar dezelfde onzin vertellen
Of...
Bloomberg maakt een claim. Die klinkt extreem onwaarschijnlijk. Iedereen met verstand van zaken zegt dat het, puur uit theoretisch oogpunt, niet eens mogelijk is. Iedereen die in de praktijk onderzoek doet zegt dat er geen enkel bewijs is. Bloomberg zelf beweert dat er bewijs is... maar kan dat niet tonen, terwijl ze ontzettend goed weten dat op dit moment bijna niemand ze gelooft en dat dat met bewijs in één klap opgelost zou zijn.

Ik weet niet hoor, maar dat klinkt bijna als religie (nou ja, Bloomberg heeft zeventien bronnen, Jezus moest genoegen nemen met slechts twaalf apostelen :+ ). Als we net zoveel "Do mythical Chinese hacking chips exist?" videos op Youtube krijgen als "Does God exist?" videos, plus het aantal "Do aliens exists?" conspiracy theory videos, dan mag Youtube wel een paar extra servers aanschaffen ...
Elemental [later gekocht door Amazon] made software for compressing massive video files and formatting them for different devices. [..] These servers were assembled for Elemental by Super Micro Computer Inc.
... bij Supermicro.

[Reactie gewijzigd door robvanwijk op 23 juli 2024 02:41]

Goed verhaal, alleen die referentie naar Jezus gaat echt mank. Hij is toch wel de best gedocumenteerde case waar we van weten. Met wel een stuk meer bronnen dan alleen z'n discipelen.

Ben wel met je eens dat het verhaal van Bloomberg klinkt als religie. Fun fact, Jezus was ook geen fan van religie

[Reactie gewijzigd door ikbentomas op 23 juli 2024 02:41]

Er is geen historical legitiem bewijs dat Jezus uberhaupt bestaan heeft.
Dit is nogal off topic... maar omdat het zondag is en het onderwerp mij aanspreekt: er is wel degelijk historisch bewijs dat Jezus bestaan heeft. Het woord "legitiem" toevoegen is niet overtuigend. Wat wel overtuigend kan werken zijn niet Bijbelse bronnen waarin Jezus genoemd wordt in de context van een (beschreven) gebeurtenis. Dat zijn beschrijvingen vanuit de historie waarvan de legitimiteit onderbouwd kan worden. Mocht je overtuigend bewijs aan kunnen leveren dat deze bewering niet klopt, dan verneem ik dat graag. Fijne zondag Djoetma.
Ik gebruik het woord ‘legitiem’ om het vraagstuk rondom validiteit te coveren. Feitelijk is de bijbel ook een historisch ‘bewijs’ dat jezus bestaan heeft. Echter niet valide. Ik kan een negatieve niet bewijzen. Als je wat historische bronnen kan aanwijzen die het historische bestaan van Jezus als daadwerkelijk persoon bewijzen ben ik wel geïnteresseerd.
Dus ook historisch bewijs dat de aarde in 7 dagen is geschapen... uh-huh... de Bijbel is het grootste fantasieboek dat ooit heeft bestaan.

[Reactie gewijzigd door livePulse op 23 juli 2024 02:41]

Heb je zelf al eens onderzoek gedaan naar de historiciteit van de Bijbel?
Het kan goed zijn dat je het niet met alles eens bent, maar er zijn veel meer archeologische bewijzen voor dingen die je in de Bijbel vind dan je waarschijnlijk zelf denkt.
Dat weet ik en dat ben ik ook met je eens. Echter om het boek als (een leidraad en) "feitelijk waar" aan te houden is toch wel een iets te grote conclusie. Maar goed, dit is mijn mening en voegt verder niets toe aan deze discussie.
Ik denk dat je de context niet begrijpt van wat ik zeg. Ik maak in deze een verschil tussen historisch bewijs en legitiem historisch bewijs. De bijbel is dat laatste dus niet. Wel is het een belangrijk hulpmiddel omdat de inhoud een artefact op zichzelf is die als basis kan dienen voor vooronderzoek of de insteek ervan doordat historische gebeurtenissen uit een tijd dat documentatie beperkt was wel vastgelegd staan.
https://en.wikipedia.org/wiki/Historicity_of_Jesus Dit is al een begin.
Als je de zelfde regels die we op andere historische personen toepassen dan heb je 6 feiten die je ook zonder de bijbel historisch kan bewijzen.
  • Jezus heeft echt bestaan en is gestorven aan een kruis
  • Vrouwen hebben ontdekt dat zijn graf leeg was
  • De discipelen geloofden dat ze hem hebben gezien na zijn dood aan het kruis (hiermee zeg ik nog niet dat Jezus effectief is opgestaan maar wel dat de discipelen daar van overtuigd waren, genoeg om er een marteldood voor te sterven)
  • Jakobus, de broer van Jezus is van een scepticus veranderd naar een leider in de kerk van Jezus na zijn dood nadat hij overtuigd was dat hij Jezus had gezien na zijn dood.
  • Het christendom is zeer vroeg na de kruisdood opgekomen en is zeer snel verspreid over de gekende wereld van die tijd (ook buiten het Romeinse Rijk
  • Paulus, iemand die christenen vervolgde heeft een 180° bocht gemaakt nadat hij er van overtuigd was dat hij Jezus na zijn dood heeft gezien en het Christendom beginnen verdedigen
https://www.amazon.de/Man...ng-Historys/dp/0849948568 is een boek dat ik over dit onderwerp kan aanraden. Moest je zelf nog meer vragen hebben mag je mij altijd contacteren
Een van de door Bloomberg geraadpleedge security experts twijfelt zelf openlijk over het verhaal van Bloomberg. Zie bijv. https://appleinsider.com/...-doubt-on-storys-veracity

Misschien ligt de waarheid ergens in het midden en waren de chips van de NSA en stond er 'made in China'op? :+
Maar dat is niet een van de 17 sources met directe kennis hierover. Hij zegt alleen dat hij twijfelt of iemands dit zo zou aanpakken.
Een tweede geciteerde expert, Yossi Appleboum, is boos over hoe Bloomberg het verhaal brengt:
https://www.servethehome....earch-against-supermicro/

Hij zegt dat ze bekent zijn met dit soort implantaten, meestal op een netwerkinterface, die bij ALLE grote hardware leveranciers voorkomen. Hij maakt zich er druk over dat alleen Supermicro in dit verhaal genoemd wordt, maar dat het probleem veel groter is. Namelijk dat iedereen ergens in de supply chain een dergelijke attack kan uitvoeren. En dat het in het verleden dus ook gedaan is en niet alleen door de Chinezen...

Update:
Dit gaat over een tweede artikel dat Bloomberg over implantaten in servers:
https://www.bloomberg.com...ware-found-in-u-s-telecom

[Reactie gewijzigd door MaDMaRTiGaN648 op 23 juli 2024 02:41]

Het is zelfs waarschijnlijk dat de NSA zijn chips in China laat maken ;)
Of Bloomberg heeft 17 mensen gesproken die onafhankelijk van elkaar dezelfde onzin vertellen
Ik durf te wedden dat ik meer mensen kan vinden die onafhankelijk zullen vertellen dat de maanlanding fake was....
Dat is natuurlijk helemaal iets anders dan 17 mensen hetzelfde verhaal laten vertellen.
Ik ben er van overtuigd dat je met wat zoeken ongetwijfeld wel zelfde verhalen zult vinden tussen de cake maanlanding en flat earth society...
Die zijn niet onafhankelijk.
Want? Hoe zijn die mensen minder onafhankelijk dan een 3-tal medewerkers van apple? Die laatste groep vind ik minder onafhankelijk dan random geselecteerde flat earthers.
Toch twijfel ik zeer sterk aan het verhaal, er is 0,0% geloofwaardige informatie gedeeld.

Vrijwel alle experts twijfelen aan dit verhaal.

Oooh “LAN porten hebben metal/alu kapjes” heeft het geheel nog ongeloofwaardiger gemaakt.

[Reactie gewijzigd door Jonathan-458 op 23 juli 2024 02:41]

Sterker nog, die waren er blijkbaar voor de koeling van de spionage chips |:( . Ik heb dubbel gelegen van het lachen
of Bloomberg heeft het hele verhaal uit de duim gezogen.
of...
Niet geheel, er zijn hw hacks en supply chain is een target, maar ik vermoed dat het echte verhaal best anders is dan het artikel doet uitschijnen.

Het feit dat maar eens pers het verhaal publiceert verteld mij voldoende. Er was ergens een manipulatie nodig en dat is gelukt.
ze *zeggen* dat ze 17 bronnen hebben. misschien is dat niet waar?
Is er een scenario waarin de belanghebbende toegeven?

"Ja klopt, we hebben chips op en in onze producten zitten die je gegarandeerd een poot uit zullen draaien..."
Hopelijk zijn er Tweakers werkzaam in deze sector die er iets verstandigs over kunnen zeggen want ik weet er te weinig vanaf. Het klinkt als een science fiction verhaal. Maar zou het realistisch mogelijk zijn?
Wat niet kan is nog nooit gebeurd..

Maar goed, theoretisch zou het mogelijk kunnen zijn (in mijn ogen), in de praktijk lijkt het me zeer onwaarschijnlijk. Een chip maken die de capaciteiten heeft om een server af te luisteren op wat voor manier ook heeft ook flinke rekenkracht nodig en dat is heel lastig in het formaat wat Bloomberg aangeeft.

In het vorige topic wat hierover ging heb ik ook een link geplaatst naar IBM’s laatste prestaties op kleinschalig gebied; BernardV in 'nieuws: NSA-topman ontkent bestaan Supermicro-hack'
Wat werd beschreven is het uploaden van een payload in het geheugen van de server of een andere plaats waardoor het uitgevoerd kan worden door het OS. Hoe dit precies werkt zijn ze niet helemaal uit, maar het klinkt redelijk toepasbaar. Helemaal als je geld en tijd hebt.

De chip hoeft dus niet heel complex te zijn, er zijn ARM chips die zich kunnen voedden met het stroom in de moederbord "traces". Hij wacht op een opportuun moment en zet dan de payload via de moederbord traces ergens weg en deze payload bootstrapt de daadwerkelijke software. Is handig, als je de server uitzet is het bewijs weg.
Wat werd beschreven is het uploaden van een payload in het geheugen van de server of een andere plaats waardoor het uitgevoerd kan worden door het OS.
Dat die extra chip zo gevaarlijk is, komt nou juist doordat het OS dat ding niet kan zien.

Stel je voor dat het mogelijk zou zijn om een materiaal te maken dat eruit ziet en aanvoelt als gewoon papier, maar dat ook aanraakgevoelig is (zoals een touch screen). Stel dat ik een schrift maak van dat papier. En laten we aannemen dat ik erin slaag om, de volgende keer dat jij een nieuw schrift koopt voor het bijhouden van je dagboek, een versie van gewoon papier te vervangen door dat speciale schrift. Dan heb jij op dat moment een probleem; ik kan alles meelezen wat je opschrijft, maar jij hebt geen idee dat je bespioneerd wordt. Natuurlijk weet je dat er aanraakgevoelige materialen (chips) bestaan, maar totdat Bloomberg een artikel publiceert waarin het waarschuwt dat er ook aanraakgevoelig papier bestaat (dat er, in het geheim, extra chips worden geplaatst) weet je niet eens dat zo'n aanval mogelijk is. Dus zelfs als je, door heel goed te kijken, het verschil met normaal papier zou kunnen zien (de server open kunt schroeven en heel goed zoeken naar verdachte chips)... waarom zou je dat doen als je niet weet dat het kan?

De aanval die jij beschrijft (een payload in het geheugen dumpen) is in die vergelijking zoiets als een camera installeren boven het bureau waar jij je dagboek schrijft; een gevaar waarvan je in elk geval weet dat het technisch mogelijk is. Nou zal je (zeker als privé-persoon) niet heel regelmatig je hele huis ondersteboven halen op zoek naar verborgen camera's, maar dat is in feite precies wat virusscanners nou juist wel doen: continu alles scannen op zoek naar verdachte dingen. Dan is het nog even een tweede vraag om uit te zoeken waar die payload opeens magisch vandaan komt, maar als het verhaal van Bloomberg waar zou zijn, dan had ik verwacht dat we inmiddels een reactie van een antivirusbedrijf gehad zouden hebben. Iets in de trant van "Een tijdje geleden hebben we een nieuw malware sample gevonden. We waren op zoek naar de manier waarop deze geïnstalleerd wordt, maar konden geen antwoord vinden. Na het artikel van Bloomberg hebben we een besmette machine opengemaakt en inderdaad een extra chip gevonden." bijvoorbeeld. Zo'n bericht heb ik echter nog niet gehoord.

Dan zijn er eigenlijk maar twee opties over. Ofwel China heeft spyware geschreven die zo goed is, dat ie al meer dan een jaar (want, Bloomberg zegt zelf dat ze al een jaar onderzoek aan het doen zijn) wordt gebruikt, bij high-profile doelwitten, zonder opgemerkt te worden, zelfs als er gericht naar gezocht wordt. Ofwel Bloomberg heeft ongelijk.
Eens, maar hoe kom je in het geheugen? De enige bus is vele bits breed en dat ga je niet redden met een chip die slechts een paar pins heeft..

Dan hebben ze het over SPI of iets dergelijks, dat zou mogelijk kunnen zijn, maar als SPI direct naar memory kan schrijven is er een ander probleem..
Een BMC heeft redelijk low level access, dus misschien tussen de CPU en main memory? Zou me niks verbazen als JTAC of een andere component daarbij kan.

Dat is wel wat ze aangeven dat je via de BMC rechtstreeks bij main memory kan, ik ben geen hardware engineer maar het zou me niets verbazen dat het mogelijk is. Misschien is het zelfs wel gedaan zodat je een memtest kan runnen als de server is vastgelopen en je wat diagnostics wilt runnen.

Maar het idee dat je een complexe chip nodig hebt, is niet per definitie noodzakelijk en dat is waar ik op doelde.
Ga jij 512Gbyte RAM bit voor bit dumpen en uploaden via een JTAG bus? Typische snelheden zijn 10-100Mbit/s, dus 1.25 tot 12.5 megabyte per seconde. Daar ben je een halve dag mee bezig, en niet opvallen wordt dan erg lastig.
Het gaat niet om lezen.
Een BMC heeft redelijk low level access,
Inderdaad, en dat maakt het een mooi startpunt. De BMC mag meestal het UEFI flashen, en kan vaak bijvoorbeeld externe ISO's mounten.... een "besmet" UEFI flashen is dus niet ondenkbaar. Het UEFI kan vervolgens de bootloader aanpassen, en die kan weer het OS aanpassen.... gevolg, malware in je OS.
Er zijn meerdere wegen die naar Rome leiden: https://youtu.be/eOPLQxGNmHA
Je audio chip? Je netwerk controller? Je usb controller? Je pcie-controller? De dram chips zelf? Talloze mogenlijkheden.
Euhm, elk server moedermord heeft dit al, we noemen dit bij supernicro IPMI. Heeft een watchdog functie die checkt of het is nog leeft, zonder automatisch reset...
Verder lijkt het mij zo goed als onmogijk om tls verkeer de brute forcen met zo"n kliene chip. Ook vraag ik me af waar een chip met zo'n reken kracht zijn voeding vandaan moet halen, dat lukt niet met de standaard ethernet pinout lijkt me.
Uit een van de lekken in het verleden is naar boven gekomen dat de U.S. ook over deze capaciteiten bezit:
https://arstechnica.com/t...o-router-getting-implant/

Als je B.V. iDracula bekijkt ( https://www.servethehome....-legacy-dell-emc-servers/ ) vind ik het helemaal geen gek idee meer.

Dat het perse een fysieke chip is, daar twijfel ik wel aan.
Je had het hele verhaal van de Tailored Access Operations waarbij hardware voor bepaalde bestemmingen eerst even langs een bepaald kantoortje moesten.
Een raar verhaal. Iets zegt me dat geen enkele betrokken partij true is. Het Bloomberg verhaal heeft geen enkele steun uit concrete bronnen of onderzoeksresultaten. Maar de mate waarin Apple er op in gaat lijkt me om die reden nogal gematigd. Hier een aanklacht tegen vanwege zwartmakerij van een bedrijf, en daarop gevolgd een nationale civiele prodedure vanwege stemmingmakerij en angstzaaien lijkt me helemaal niet zo raar. Maar dat gebeurt dan blijkbaar toch weer niet. Het lijkt een soort show-worstelen maar dan met tech/media bedrijven. Betaalde propaganda?
Hier een aanklacht tegen vanwege zwartmakerij van een bedrijf, en daarop gevolgd een nationale civiele prodedure vanwege stemmingmakerij en angstzaaien lijkt me helemaal niet zo raar.
Een aanklacht van Apple of van Supermicro?

Wat zou de aanklacht van Apple precies moeten zijn? Ze hebben zelf immers niets fout gedaan, dus ik zie niet hoe ze zwartgemaakt zouden worden. En ik heb nog nooit gehoord van een "civiele prodedure vanwege stemmingmakerij en angstzaaien"; hoe had je dat in gedachte?

Een rechtszaak van Supermicro tegen Bloomberg zou veel tijd kosten, met als gevolg dat berichten over deze zaak nog jaren later af en toe in de media verschijnen (elke keer als er een belangrijk moment in de zaak is bereikt, zoals bij een uitspraak of als er weer hoger beroep wordt aangetekend). En zelfs als Supermicro elke keer wordt vrijgesproken, dan nog zullen mensen die niet goed opletten denken "oh ja, dat was dat bedrijf van de backdoor-chips" en zelfs mensen die wel goed opletten kunnen denken "ze zijn vrijgesproken... maar waar rook is is vuur; waarom zou ik het risico nemen als ik ook gewoon een ander merk kan kopen?". Dus zelfs als ze uiteindelijk gelijk krijgen, dan nog doet het meer kwaad dan goed. Voor popsterren geldt "there's no such thing as bad publicity" misschien nog wel; ook slechte aandacht betekent dat ze weer even in de aandacht staan. Voor bedrijven is dat absoluut niet het geval; Supermicro wil waarschijnlijk dat dit verhaal zo snel mogelijk "oud nieuws" wordt, waar niemand meer aan denkt; of ze gelijk krijgen of niet, dat is veel minder belangrijk.
Oneens. Of het daadwerkelijk gebeurd is is van groot belang. Dat suggereren zonder met enige concrete aanwijzing te komen zou ongewenst moeten zijn. Bij zowel de betrokken bedrijven als indirect alle Amerikaanse burgers.
Er wordt verdacht makkelijk over gedaan...
Of het daadwerkelijk gebeurd is is van groot belang.
Ik zeg ook nergens dat het niet uitmaakt of het waar is. Wat ik zeg is dat Supermicro er geen belang bij heeft om Bloomberg voor de rechter te slepen. Jouw post suggereert dat het uitblijven van zo'n zaak een teken is dat de berichtgeving van Bloomberg klopt. Die aanname wou ik corrigeren.
Er wordt verdacht makkelijk over gedaan...
Hoezo wordt er makkelijk over gedaan? Allerlei partijen werken zich een slag in de rondte om deze claims te onderzoeken, zoals bijvoorbeeld:
Elke keer dat ze bij ons kwamen, was het verhaal weer gewijzigd en elke keer hebben we een onderzoek uitgevoerd dat niets opleverde.
Volgens mij haal je "iets niet serieus nemen" en "het ergens niet mee eens zijn" door elkaar...?
Wel of geen spionage-hardware van de Chinezen onbelangrijk?
Lezen!
Ik zeg ook nergens dat het niet uitmaakt of het waar is. Wat ik zeg is dat Supermicro er geen belang bij heeft om Bloomberg voor de rechter te slepen.
Met andere woorden: ja, natuurlijk maakt het uit of Supermicro gelijk heeft (of er spionage-hardware is), maar ze schieten niets op met gelijk krijgen (iedereen in de wereld ervan overtuigen dat dat niet zo is).
zo verbazingwekkend laconiek
Wie reageert er laconiek?
"Wij spionagechips? Dat neem je terug!"
Waarop Bloomberg antwoordt "nee, we blijven achter ons verhaal staan". En dan? Dan blijft alleen een juridische procedure over, maar ik heb al uitgelegd waarom het onwaarschijnlijk is dat Supermicro daar zin in heeft.
Om die mening de laten verdwijnen is het misschien handig voor de partijen om samen te "achterhalen" wat China hier precies mee te maken heeft.
Ehm, hoe had je dat in gedachte? Het lijkt erop dat er in werkelijkheid helemaal niets aan de hand is, dus wat jij voorstelt is dat we gaan achterhalen hoe China precies niet gedaan heeft? Dit klinkt een beetje als "ik geloof in het Monster van Loch Ness; ik verander pas van mening als iemand achterhaalt hoe dat beest in dat meer terecht is gekomen".

Het is ontzettend lastig om te bewijzen dat iets niet bestaat, of dat iemand iets niet gedaan heeft. Hoe ga je bewijzen dat elke medewerker van elke fabriek, die continu moederborden maakt daar geen extra chip op heeft gezet? Het is daarentegen zeer eenvoudig om bewijs te leveren dat iets wel bestaat: laat het zien! Maar dat weigert Bloomberg te doen.
Volgens mij overschat je je eigen inschattingsvermogen...
Als ik je verkeerd begrijp mag je natuurlijk altijd verduidelijken wat je bedoelde. Maar met alleen "je begrijpt me verkeerd" kan ik niets.

@reactie @blorf:
Genoeg "verduidelijkt"?
Nee, dat verduidelijkt helemaal niets.

[Reactie gewijzigd door robvanwijk op 23 juli 2024 02:41]

Typisch een verhaal om de beurskoers van bedrijven te beinvloeden, zou me niet verbazen als er zoiets achter zit. Bloomberg is ook een business nieuws outlet en totaal niet bekend om hun tech savyness. Lijkt me interessant om te onderzoeken hoe dit nieuws precies ontstaan is. Misschien was Bloomberg gewoon naief en hebben ze zich laten verblinden door de hang naar scoops/clicks en laten misbruiken door derden om eerdergenoemde koersbeinvloeding in te zetten?
Bloomberg heeft wel een een reputatie hoog te houden, ze verdienen immers hun geld met informatie, vandaar de Bloomberg terminals waar je je op kunt abonneren.

En je doet net of een stel mafkezen dit geschreven hebben, denk je niet dat ze dit eerst zelf door een expert op haalbaarheid hebben laten testen? Lijkt me wel.

We shall see.
Euh het lijkt er toch sterk op dat ze het niet op haalbaarheid hebben laten testen. Alsof Bloomberg onfeilbaar is en niet kan flateren. Je zegt wel dat Bloomberg een reputatie hoog te houden heeft maar dat heeft Tim Cook ook. Dat Tim Cook openlijk zegt dat Bloomberg dat artikel moet intrekken zegt meer dan genoeg. Hij riskeert daar veel mee, zijn eigen reputatie, de toekomst van Apple en mogelijks zijn vrijheid. Moest het verhaal van Bloomberg kloppen zou Apple zich zo stil mogelijk houden en hopen dat het overwaait.
Of de verkopen, we hebben het over de nummer drie (afhankelijk hoe je telt, Supermicro verkoopt ook veel servers zonder CPU of via re-badgers, sommige tellingen nemen die niet mee) wereldwijd qua verkoop van aantallen servers. De nummers 1, 2 plus 4 tot 10 zullen vast een paar flessen opgetrokken hebben na dit bericht, waar of niet maakt niet zo veel uit, hun verkopen gaan omhoog.
Apple delft geen grondstoffen. Het gaat allemaal om de intentie. Zelfs een stelletje zeikerds als Greenpeace heeft Apple op dit gebied hoog zitten. https://www.duurzaambedri...-techbedrijf-van-het-jaar

En het aantal zelfmoorden bij Foxcon ligt onder het landelijk gemiddelde https://en.wikipedia.org/wiki/Foxconn_suicides#Analysis

Het enige wat klopt is Tim Cook's oogkleur https://starschanges.com/tim-cook-height-weight-age/
Oh, nou dat scheelt dan weer.
Het zou wel een blunder voor Bloomberg zijn, maar het is technisch best mogelijk dus ik wacht nog even af. Pre Snowden zouden ze je ook voor gek verklaren als je zou zeggen dat alles werd getapt bij Google.
Toen dit bericht voor het eerst naar buten kwam was "ik wacht nog even af" een prima reactie. Maar we hebben nu een tijdje gewacht. In de tussentijd hebben meerdere organisaties (zowel inlichtingendiensten als bedrijven die slachtoffer zouden zijn) en die de kennis en de middelen hebben om hier gedegen onderzoek naar te doen hun mening gegeven. Het unanieme oordeel van al die organisaties (dus inclusief partijen die om politieke redenen "ja" zouden kunnen zeggen, zelfs als ze eigenlijk "nee" denken)...? Juist ja: "dit is onzin". Hoeveel langer wil je nog wachten voordat je een mening vormt?

En nee, het is technisch niet mogelijk. Kijk bij voorgaande artikelen over dit onderwerp naar de +2 en +3 reacties; een aantal daarvan leggen precies uit waarom dit simpelweg niet kan.
Al zouden er (nog steeds) problemen zijn bij Foxcon, dan nog kun je Apple hier niet op aanspreken. Ter vergelijking: de kok kun je er niet op aankijken als het gebruikte vlees niet biologisch blijkt te zijn, terwijl hij het gekocht heeft bij een slager die zei dat het vlees wel degelijk bio is.
Ach, zo zijn er ook al jaren van die geruchten dat Amerikaanse chips hetzelfde kennen, dat ze ICT apparatuur met 1 druk op de knop kunnen uitschakelen als ook Amerikaanse software achterdeuren kennen voor spionage.
Tijdens de eerste irak oorlog werden de radarposten die de SAM's aanstuurden, van de irakezen pas aangezet als men een aanval vermoedde. Dat deed men om detectie en vernietiging van de radarposten( waar de VS zich oa op richten) te voorkomen. De fransen hadden echter printers geleverd aan de irakezen die gerbuikt werden in die radarposten. Als men de printer aanzette zond die een signaal uit dat opgepikt werd door de VS luchtmacht die zodoende exact de locatie wist van alle radarposten.
Geen SF maar gewoon keiharde toepassing van techniek en spionage.
Dat was een 1 april grap.
The gag asserted the National Security Agency had developed the computer virus to disable Iraqi air defense computers by eating windows – "gobbling them at the edges..." The virus, called AF/91, was smuggled into Iraq through Jordan, hidden in a chip in a printer – the latter being a distinguishing feature of many subsequent appearances of the hoax.

The details of the news story match the hoax closely. It turns out the original story was translated in a Japanese magazine, where the joke element was lost. It was then picked up by US media including U.S. News
& World Report hen it was retranslated, and the rest is history -
"From there, the bogus story was reported by the Associated Press, CNN,
ABC Nightline, and newspapers across the country ."
bron: https://www.wired.com/2008/05/kill-switch-urb/

[Reactie gewijzigd door langzaam23 op 23 juli 2024 02:41]

Die vraag staat feiteleijk nog altijd open. In 1999 was dit redelijk vernieuwend en is bevestigd door diverse experts op dat moment. Later is dat min of meer ingetrokken en is oa het register artikel verschenen dat twijfel zaaide. Maar nergens een feitleijke weerlegging geeft, alleen de kreet hoax en april fools lanceerde.
We zullen de waarheid bij dit soort spionage zaken nooit achterhalen vrees ik ;)
Met je eens dat we het nooit zeker zullen weten maar je eerste reactie is vrij stellig. Vooral de laatste zin.

Ik vind dit een nogal ongeloofwaardig verhaal, hoor het nu ook voor het eerst. Waarom zou Frankrijk printers leveren aan Irak? Of waarom zou Irak die accepteren en gebruiken bij de luchtafweer?

Overigens is dit een heel ander verhaal dan wat ik zo even snel lees op het wereldwijdeweb. Wat is je bron?
Een artikelen reeks in Le monde destijds.
Waarom heb je een uitgebreide ontkenning nodig met feiten etc., maar geloof je in eerste instantie, en blijft dat blijkbaar minstens deels geloven, het originele verhaal wat óók geen feiten etc. bevat?

Los daarvan: wat ik bijv. heel vreemd is hoe je weet waar die printers terecht zijn gekomen. Je kan ze niet sturen naar iets waar je de locatie niet van weet. Ok, gps... Maar dan heb je heel veel printers nodig waarvan je hoopt dat ze op de radarposten terecht komen, en hoe maak je dan het onderscheid?
Het originele verhaal zul je uit de archieven van Le Monde moeten oprakelen.
Daarin werd destijds vrij uitgebreid beschreven hoe een levering van printers die aangeschaft waren voor de radarposten via hun Franse contacten, dit alles al ruim voor de golfoorlog. Mne was toen nog geen "vijand".
Het feit dat de VS dit verhaal naar zich toe trok later en vervolgens weer ontkende maakt de positie van de VS hierin zeker niet sterker.
Uiteindelijk is het een van de vele verhalen uit de spionage wereld waar elke keer weer blijkt dat de realiteit ongeloofwaardiger is dan de fantasie.
Wat ik niet helemaal snap aan het verhaal en wat voor mij toch een gevoel van twijfel op levert is dat geen van de beschuldigde bedrijven Bloomberg hebben aangeklaagd. Dit soort dingen zijn slecht voor de naam van je bedrijf zeker als dat SuperMicro heet maar er is nog steeds geen rechtszaak iets wat zeker in Amerika nog wel eens veel geld op zou kunnen leveren als je wint.
Als de beschuldigde bedrijven zo zeker van hun zaak zijn klaag Bloomberg dan aan en dwing ze tot een rectificatie. Maar daar is totaal geen sprake van... om die reden twijfel ik aan de ontkenning van dit verhaal. Ondanks dat het technisch op zijn minst extreem moeilijk is zo iets te implementeren nog heel veel moeilijker is om de juiste machines op de juiste plaats te krijgen en ook zeker niet onwaarschijnlijk dat dit redelijk snel opgemerkt zal worden door simpel weg het verkeer in de gaten te houden. Is het niet geheel onmogelijk en door het uitblijven van een rechtszaak heb ik het vermoeden dat ook beschuldigde bedrijven het niet geheel durven uitsluiten.

Koppel dat aan de zeer timide reactie van de Amerikaanse overheid hier over en ik vermoed dat het misschien toch in ieder geval voor een klein deel wel eens waar zou kunnen zijn. Ik denk dat de schaal waarop dit gebeurt misschien veel kleiner is dan Bloomberg doet vermoeden maar dat het toch echt wel eens is voorgekomen anders had de reactie van de Apple's, Amazon's en SuperMicro's van deze wereld toch wel anders geweest.
Ik ben er van overtuigd, alle bronnen gelezen en bekeken hebbend, dat Bloomberg een mega schandaal heeft ontdekt dat koste wat het kost niet aan het daglicht mag komen omdat daarmee Apple, Amazon, ..tig andere grote Amerikaanse bedrijven maar ook overheidsinstanties enorm gecompromitteerd worden.

Bloomberg is een uiterst respectabel persbureau dat niet zomaar haar naam/reputatie te grabbel gooit.

Ik ben er van van overtuigd dat Bloomberg gelijk heeft.

Er zou een parlementair onderzoek naar gedaan moeten worden.
Buzzfeed is wel een objectieve betrouwbare nieuwsbron... 8)7
"Bloomberg" - Fake news om China in discrediet te brengen en Trump een veer in zijn reet te steken.

Niets meer dan een schandalige poging om het publiek te misleiden over iets dat nooit heeft plaatsgevonden. Puur om een mislukte president in het zadel te houden. Amerika verliest zijn positie als grootmacht (voornamelijk vanwege de gigantische staatschuld (meer dan 20 triljard dollar)) en dat is iets dat ze niet onder ogen willen zien en op deze wijze onder het tapijt willen vegen. Eigenlijk is Amerika niets anders dan een 3e wereldland dat op véél te grote voet leeft. Het leeft van een verouderd economisch systeem dat eigenlijk in deze tijd niet meer houdbaar is. Onuitputtelijke economische groei is een utopie. Steeds meer economen zijn het daarover eens.

Het hele verhaal van Bloomberg geeft enkel aan dat je tegenwoordig niets zomaar klakkeloos moet aannemen als 'waar' of 'gebeurt'. Als groot verhaal brengen, claimen dat je wel 17 bronnen hebt, maar geen enkel hard bewijs leveren. Terwijl dit in één keer de ongeloofwaardigheid zou oplossen... Kortom er is geen bewijs.

Heel sneu dat dit tegenwoordig plaats vindt en steeds normaler lijkt te worden met als doel misinformatie te verspreiden om de burgers ('kiezers') te bespelen!

[Reactie gewijzigd door Verwijderd op 23 juli 2024 02:41]

Tsja als jij denkt dat Trump een genie is, dan is dat voor jouw rekening... Velen dachten in de jaren 30 ook dat Hitler een geweldige intelligentie had... De geschiedenis heeft laten zien wat hij werkelijk was. Ik denk dat je een minderheid vormt gezien zijn rechts radicale ideeën over vrouwen en buitenlanders, zijn gedachten over milieu. Trump denkt alleen na over de korte termijn. Er is geen enkele toekomstvisie in zijn beleid.

Fossiele brandstoffen zijn iets van de 20e eeuw... Over 30/50 jaar is de transitie voltooid en loopt de US hopeloos achter de feiten aan. De USSR en andere olieproducerende landen overigens ook. Want wie zijn eigen brandstof kan maken is niet meer afhankelijk van een ander. Die landen hebben de toekomst en China is daar onder andere heel erg op bedacht, net als Noorwegen, Denemarken en IJsland. China is een land dat momenteel meest 'vergroend' en dat is opvallend voor een land dat bekend stond als zeer vervuilend.

Een VS dat anderen wijst op mensenrechten en ze zelf schendt en zich bovendien zelfs terugtrekt uit een UN verdrag waarin unilaterale afspraken worden gemaakt. Zo'n land hoef je niet serieus te nemen. Die zet zichzelf gewoon te kakken.

Het zou mij zelfs niet verbazen als er ergens in de komende 100 jaar een afscheiding van staten gaat plaatsvinden in de VS.

Californie en het Noordoostelijke deel van de VS zijn per definitie veel Europeser georiënteerd dan het middenwesten van de VS (niets meer dan een stelletje gelovige boeren - De staten waar Trump de meeste aanhangers kent). Laat zowel de Oost- als Westkust van de VS nu net de motor zijn waar hun hele economie op draait. Net niet de staten die bekend staan als Trumpiaans, maar als vooruitstrevend en zelfstandig.

En nee ik ben niet links, noch rechts...

[Reactie gewijzigd door Verwijderd op 23 juli 2024 02:41]

Op dit item kan niet meer gereageerd worden.