China raadt bedrijven af om Nvidia's H20-datacenterchip te gebruiken

Bij mijn weten is daar nooit bewijs voor gevonden, net zoals er geen bewijs is gevonden van backdoors in Amerikaans spul.

Niet? ZTE had mogelijk backdoors in bepaalde telefoons of in ieder geval iets dat je als backdoor kunt rekenen.

"I've never seen it before," said Dmitri Alperovitch, co-founder of cybersecurity firm, CrowdStrike. The hole, usually called a backdoor, allows anyone with the hardwired password to access the affected phone, he added.

En ja, de mogelijkheid op impotentie is er nog wel:

"It could very well be that they're not very good developers or they could be doing this for nefarious purposes," he said.

Nog een China-voorbeeld: vooraf geïnstalleerde firmware van Adups stuurde periodiek sms- en locatiegegevens naar een server in China op miljoenen budget-Androids.

Software installed on some Android phones secretly monitored users, and even sent keyword searchable, full text message archives to a Chinese server every 72 hours.

Aan de Amerikaanse kant zijn er eveneens gevallen.

De NSA onderschepte volgens gelekte documenten netwerkapparatuur en voorzag die van implants voordat deze bij klanten aankwam. Zie The Guardian en het TAO catalogusmateriaal bij Der Spiegel.

The NSA [...] intercepts shipping deliveries to plant back doors in electronics ordered by those it is targeting.

In 2015 bleek bij Juniper ScreenOS ongeautoriseerde code te staan, inclusief een master-wachtwoord voor SSH en Telnet.

This password allows an attacker to bypass authentication through SSH and Telnet.

Verzwakte cryptostandaard: NIST’s Dual EC DRBG kreeg volgens Reuters een zetje van de NSA via een deal met RSA, waardoor een algoritme met een vermoedelijke backdoor default werd.

RSA received $10 million in a deal that set the NSA formula as the preferred, or default, method for number generation in the BSafe software.

Historisch voorbeeld van een door inlichtingendiensten gemanipuleerd product: Crypto AG. Apparatuur jarenlang verkocht met door CIA en BND gewilde zwaktes zodat verkeer kon worden ontsleuteld.

Crypto AG was secretly owned by the CIA [...] These spy agencies rigged the company’s devices so they could easily break the codes.

Ik moet hier bij wel zeggen dat veel van dit soort gevallen lastig eenduidig te beoordelen zijn. Publiek bewijs is vaak beperkt, indirect of pas jaren later opgedoken. Technische onzekerheid, politieke belangen en commerciële concurrentie maken dat de lijn tussen een opzettelijke backdoor, een ontwikkelfout of een legitieme beheermogelijkheid vaag kan zijn. Daarbij geldt dat landen en bedrijven ook actief elkaars reputatie proberen te schaden met beschuldigingen, terwijl tegelijkertijd goede afscherming en zorgvuldig ontwerp sommige echte gevallen juist aan het zicht onttrekken. Succesvolle acties worden zelden publiek gedeeld en hebben niet altijd een effect dat zichtbaar is, zoals te zien was bij operaties rond Israël en de zogenaamde ‘piepers’ waarbij het resultaat (van manipulatie, zover ik weet geen backdoor) niet te ontkennen was.

Tevens is er in sommige landen, zoals de VS via FISA Section 702 en de Patriot Act, wetgeving die staatsburgers en bedrijven verplicht om mee te werken met inlichtingen- of veiligheidsdiensten. Dit gaat vaak ook nog eens gepaard met gag orders die openbaarmaking van die verplichte medewerking verbieden. Net als bij het onderscheppen van apparatuur is het daardoor ook mogelijk dat via een infiltrant of door druk op een persoon bewust fouten worden ingebouwd of wijzigingen worden aangebracht. Een bedrijf hoeft dus zelf niet altijd op de hoogte te zijn, dat maakt 100% sluitend bewijs ook zo lastig.

Ik kan me prima voorstellen dat China in dit soort kwesties een kritische houding aanneemt. Tegelijk is het ook een manier om een eigen “EU first”, “VS first” of “China first” beleid uit te dragen, nationale veiligheid te waarborgen, geopolitieke macht te behouden en strategische onafhankelijkheid te bevorderen. Je wilt immers liever niet afhankelijk zijn van anderen voor vitale tech. Als je het zelf kunt produceren, kun je het ook zelf onderhouden of bijmaken (en ook al kan China op dit moment de specifieke H20-klasse datacenterchips niet evenaren, betekent dat niet dat je er als land of blok niet naar zou moeten streven). Het risico op een backdoor wil je zo veel mogelijk uitsluiten of in elk geval zo klein mogelijk maken. En dan heb ik het nog niet eens over de afhankelijkheden in wapensystemen, zoals softwarebeperkingen in de F-35, de vroegere 'GPS-onnauwkeurigheidsfunctie' of software-updates die systemen op afstand kunnen uitschakelen.

[Reactie gewijzigd door jdh009 op 12 augustus 2025 16:26]