Bloomberg пишет о "Большом Взломе" или "Как Китай проник в крупнейшие компании"
Недавняя публикация Bloomberg вызвала настоящий взрыв в американском инфосекьюрити–сообществе.
Статья достаточно увлекательно читается. На русском её пока не видел, поэтому перескажу основное своими словами:
Bloomberg фактически обвиняет компанию Supermicro (её акции уже упали в 2 раза),которая производит серверные "лезвия" на заказ для крупнейших заказчиков в Штатах и держит значительную долю этого рынка, что в её сервера на этапе фактического производства на фабриках в Китае были добавлены микросхемы–закладки.
Чипы якобы минимального размера, только внимательное исследование лезвия способно их выявить, но они якобы способны инициировать сетевые соединения и являться точкой входа в систему.
Якобы к фабрикантам приходят люди от НОАК и заставляют их посулами и угрозами встроить чипы.
Якобы пораженные сервера были поставлены в Apple, AWS, и другим известным заказчикам.
Якобы ФБР уже давно ведет секретное расследование которое выведет всех на чистую воду и аж целых семь высокопоставленных источников раскрыли Блумбергу эту информацию.
Почему я акцентирую слово "якобы" и взял заголовок в кавычки?
Потому что есть обоснованные сомнения что это вообще так.
Во–первых Блумберг в своей статье сразу приводит опровержение от Apple и Amazon, которые четко и недвусмысленно утверждают что ничего такого не было.
Более того представитель Apple дополнительно написал сенату что они постоянно мониторят подобное поведение и ничего такого не было ими зафиксировано.
Это не похоже на ситуацию со случаями когда расследование идет и компании не имеют права комментировать ситуацию.
Власти также отрицают.
Во–вторых Блумберг сам говорит со слов экспертов, что подобная атака — это как увидеть Единорога прыгающего через радугу — теоретически возможно но очень сложно провести в реальности.
Сторонние эксперты также отреагировали дружными сомнениями на статью, в частности обоснованно сомневаясь что так уже легко встроить микросхему в нужное место в плату, если она не спроектирована на это. "Тогда уже я бы встраивал внешне идентичный чип с дополнительным функционалам на место существующего чипа. И удачи найти его не проводя рентген–анализ каждой микросхемы." Говорят они.
В целом, насколько я вижу, экспертное сообщество настроено со скептицизмом, и пока не будет явных доказательств считает что это скорее ерунда чем правда, либо источники Блумберг переврали слишком многое.
Тавис Орманди в сомнениях, но считает что
"We have anonymous sources making unsubstantiated wild claims to reporters with a track record of getting it wrong. On the other side, we have unprecedented water–tight denials — on the record and attributed to very senior sources...".
"У нас есть анонимные источники, делающие неподтвержденные дикие утверждения репортёрам, у которых есть история неправильной интерпритации. С другой стороны у нас есть беспрецедентно строгие отрицания от очень серьезных источников..."
Krebs поднимает вопрос о том что "да конечно производство в стране–конкуренте это риск, но никто не готов нести издержки по избавлению от этого риска". (сравни с нашей традиционной опорой на собственные силы в ущерб себе).
Тем не менее акции Леново по аналогии (китайское производство) также сильно упали.
От себя также хочу добавить что тот же Блумберг уже писал подобные статьи на допущениях и намеках, которые дорого обходились затронутым компаниям, но не имели под собой серьезных оснований. Складывается ощущения что кто–то там использует журналистов Блумберг в своих интересах, а они попадаются на эту удочку.
Написал helgin на security.d3.ru / комментировать