Издание Bloomberg Businessweek опубликовало большой материал о шпионском микрочипе, который был разработан китайскими спецслужбами. Его в тайне встраивали в конструкцию материнских плат для серверов Supermicro, производимых в Китае. С помощью микрочипа атакующие получали возможности удаленного контроля сервера. Всего было атаковано около 30 американских компаний из сферы финансов и технологий.
Расследование вызвало огромный резонанс, в результате чего акции Supermicro обвалились более чем на 50% за день.
Предыстория
В 2015 году Amazon начала процесс оценки бизнеса стартапа Elemental Technologies для возможной покупки. Команда Elemental занималась разработкой софта для компрессии видео и его форматировании для работы на различных мобильных устройствах. Amazon нужен был этот продукт для использования в собственных видеостриминговых сервисах.
Помимо прочего, среди заказчиков Elemental Technologies были и государственные органы США, что также укладывалось в стратегию развития Amazon – компания занимается созданием облачной инфраструктуры, например, для ЦРУ.
Одним из элементом предпродажной оценки является аудит информационной безопасности. Для его проведения Amazon наняла внешнюю фирму, специализирующуюся на вопросах киберзащиты. Ее специалисты обнаружили странности в конструкции серверов Elemental Technologies, которые компания закупала у Supermicro.
Исследователи нашли в материнских платах этих серверов микрочип размером с зернышко риса (для сравнения, он в несколько раз меньше монеты), которого там не должно было быть согласно спецификаций оборудования. На этом этапе к расследованию подключили спецслужбы США. В итоге стало понятно, что микрочип позволял удаленно и скрытно контролировать серверы, на которых он установлен.
Описание атаки
Серверы Supermicro, как и почти все соверменное компьютерное оборудование, собирают в Китае. Американское расследование показало, что шпионские чипы были установлены именно на китайских заводах. Микрочип был разработан китайскими спецслужбами.
После того, как сервер с материнской платой с установленным чипом, был установлен и включен, чип получал контроль над ОС и открывал возможность удаленного подключения и управления сервером. Микрочип, к примеру, мог отключать проверки паролей пользователей, так что атакующие могли без проблем установить на сервер любой код.
От атаки пострадали около 30 американских компаний, включая крупный банк, подрядчиков государственных органов США, а также самую дорогую компанию в мире – Apple. Компания из Купертино была одним из крупнейших заказчиков Supermicro и планировала заказать 30 000 серверов для установки в своих дата-центров в разных регионах мира. Служба безопасности Apple также обнаружила шпионский микрочип в 2015 году, что привело к отказу от контрактов с Supermicro.
Реакция на расследование
Источники Bloomberg утверждают, что спецслужбам США удалось проследить путь поставки микрочипов к конкретным заводам в Китае. Агенты даже смогли восстановить детали переговоров руководства заводов с представителями китайских спецслужб.
Согласно полученным данным, руководителям фабрик сначала предлагали взятки за изменение конструкции материнских плат Supermicro, а если те отказывались сотрудничать, угрожали проверками и потенциальным закрытием фабрик. После достижения соглашения, посредники доставляли на завод партию микрочипов.
Несмотря на все доказательства, официально Amazon, купившая Elemental Technologies осенью 2015 года, Apple и Supermicro отказались признать факт кибератаки. Несмотря на это акции производителя оборудования в день выхода расследования Bloomberg обвалились более чем на 50%. К концу недели потери были отыграны, однако общее падение стоимости акций оказалось крайне значительным – если 5 октября они торговались по цене $21,4 за акцию, то к пятнице уже на уровне $11,7 за акцию.
Как отмечает CNBC, четверг текущей недели оказался для Supermicro худшим днем на бирже с момента IPO в 2007 году.
Помимо реакции инвесторов стало известно и о дальнейших шагах властей США – включили компьютерное оборудование (в том числе материнские платы) в очередной раунд торговых санкций против Китая. Руководство страны хочет добиться переноса цепочек поставок американских компаний из Китая в другие страны.
Другие материалы по теме финансов и фондового рынка от ITI Capital:
- Аналитика и обзоры рынка
- Покупка акций американских компаний из России
- Huawei обогнал Apple по объему продаж. Капитализация американской компании все равно достигла $1 трлн
- Аналитики: капитализация Microsoft может достичь $1 трлн
- СМИ: масштабные кибератаки ускорили рост капитализации компаний из отрасли информационной безопасности
- Bloomberg: хедж-фонды узнали результат Brexit раньше других и заработали миллиарды
Комментарии (128)
flatscode
06.10.2018 16:16+5… Микрочип, к примеру, мог отключать проверки паролей пользователей, так что атакующие могли без проблем установить на сервер любой код...
Не чип, а волшебная палочка какая-то…
Сами-то верите в эти шпионские бредни англосаксов?Mnemonik
06.10.2018 16:52+4тоже на этом месте начал сомневаться. ОС как минимум две уж точно можно было на эти сервера поставить, — Windows или Linux, у второго еще и не одна разновидность со своими вариантами как именно будет авторизован пользователь. А еще интереснее если там стоит гипервизор VMWare. А уж если туда что-то экзотическое ставить вариантов становится совсем полно. Так что там именно этот чип делал?
mkshma
06.10.2018 17:29-16Кто в 2018 ставит Windows на сервера и зачем? Это что-то настолько дикое и странное, что при планировании может закладываться разве что как допустимая погрешность.
stul5tul
06.10.2018 17:42+14Кто в 2018 ставит Windows на сервера и зачем?
Ну в 2018 году на серверах все же еще есть и иные задачи, кроме web-сайтиков. И немало таких.
Можно ставить Windows Hyper-V Server, например.
Да и bare metal нужно иногда. Например, специфический софт под Windows. В РФ я бы привел в пример терминальный сервер для 1С. В США наверняка есть что-то свое, требующее Windows.
Gutt
07.10.2018 11:52Да и bare metal нужно иногда. Например, специфический софт под Windows. В РФ я бы привел в пример терминальный сервер для 1С
Ну, терминальный сервер 1С прекрасно работает в виртуалке под ESXi. И хаспы через проброс с хоста кушает. Более жизненный пример bare metal — медиа-серверы систем бекапа, когда нужна максимальная throughput и больше там в принципе ничего не выживет по причине близкой к 100 % загрузки сети и дисков.Scif_yar
07.10.2018 12:51-1И хаспы через проброс с хоста кушает.
ФУ. Это значит машина приколочена к физике, вместо использования digi.
медиа-серверы систем бекапа, когда нужна максимальная throughput и больше там в принципе ничего не выживет по причине близкой к 100 % загрузки сети и дисков.
Лолшто?
Оркестратор (управляющий сервер) — виртуалка, а данные вообще льются прямо с СХД на другую СХД.
Кроме случаев ленты, варя отцепила ленты с 5.1
bare metal — это хадуп и on-memory, когда 10-30% штраф на виртуализацию вреден, а памяти надо ОЧЕНЬ ОЧЕНЬ много. Или когда есть хитровыдуманная плата, которая должна торчать прямо в ос, без прокладок и без проблем с обработкой работы с платой в прокладке.stul5tul
07.10.2018 14:47Оркестратор (управляющий сервер) — виртуалка, а данные вообще льются прямо с СХД на другую СХД.
И сколько серверов (в %) на нашей планете работает с отдельными СХД, по вашему?
Вас удивит, если вы узнаете что в подавляющем большинстве проектов вообще используется ровно один сервер?
Да, кластер, СХД, master-slave — да, да, да. Только это удел очень даже немногих компаний. В подавляющем большинстве фирм — компьютеры это то же что и бытовая техника, не более того.
Scif_yar
07.10.2018 15:18И сколько серверов (в %) на нашей планете работает с отдельными СХД, по вашему?
статистику то дадите? С учетом облаков, которые вытесняют одинокие сервера на обочину жизни?Anynickname
08.10.2018 17:34С учетом облаков, которые вытесняют одинокие сервера на обочину жизни?
«статистику то дадите?» ©
Конкретно интересует вышеупомянутый сегмент с еэрпишечками, одинэсочками и терминальчиками.
Alexsey
06.10.2018 19:42+7Я понимаю — в это сложно поверить, но по функциональности и удобству управления IT инфраструктурой в энтерпрайзе к Active Directory, SCCM и прочему софту майкрософта пока еще ничего не приблизилось. И работает все это дело исключительно на винде.
mkshma
06.10.2018 21:38-10Так ведь Active Directory абсолютно без проблем и на линуксе заводится.
Alexsey
07.10.2018 00:09+7Если вы поднимите OpenLDAP и Samba на линуксе это не значит что вы подняли Active Directory. Многие функции либо не реализованы вообще, либо реализованы не до конца.
Scif_yar
07.10.2018 00:15+1Так ведь Active Directory абсолютно без проблем и на линуксе заводится.
схема расширяется?
Nova_Logic
07.10.2018 03:32+8Без проблем заводится gpo? Без проблем на линуксе можно всюду распространить апдейты вместо wsus? Без проблем sso, авторизации? Без проблем можно раскатать софт, сертификаты, монтирование шар? Что там с DFS?
Все вот эти «без проблем» обычно я слышу от тех кто не сталкивался с более/менее крупной инфраструктурой, не 1-5-10 компов в мелком офисе, а 10-50-70-100 тысяч и 1000+ серверов.
Есть такое понятие как «целесообразность». Кто при вашем «без проблем на линуксе» осуществит поддержку крупной инфраструктуры если что пойдёт не так? По какому SLA? Знаю случай когда для очень крупной в РФ конторы Microsoft шустро выпустила патч для AD, чтобы увеличить лимит уровня вложенности. Вы подобное сами будете делать и «без проблем»? 24х7х365 в случае чего осуществите поддержку с четким SLA по времени реакции?
Надо понимать, что кроме сайтов есть другие виды бизнеса, где IT решает прикладные задачи, и IT для почти всех компаний это услуга. У услуги есть цена.И зачастую TCO(совокупная стоимость владения) у многих платных продуктов будет ниже чем у opensource в силу ряда причин.
firedragon
07.10.2018 15:07Большинство компаний из списка Fortune500. Причем ставят очень «жирные» сервера. Sharepoint 2016 например. Министерство обороны США. Да и просто сайтики на IIS занимают 9.22 %
mspain
06.10.2018 16:57-6Кстати, как вариант, сие «рисовое зернышко» наоборот отключало штатные трояны анбшников. и аппле это специально заказало, поэтому сейчас делает покерфэйс, а анб так обиделись.
Sabubu
06.10.2018 17:10+20Предположительно, 6-контактный чип размещался на пути между IPMI-контроллером и его ROM с SPI интерфейсом. Таким образом, он мог модифицировать передаваемые из ROM данные и тем самым менять какие-то параметры прошивки. Ну например, инициировать загрузку ОС по сети. Другой вариант — модифицированная прошивка, например, могла давать доступ к IPMI без пароля. Я не эксперт, пусть тот, кто разбирается в этой технологии, прокомментирует.
Увы, сейчас не только в серверах, но и в обычных системах есть BMC (Base Motherboard Controller), который имеет огромные привилегии, и при этом содержит закрытый никем не проверенный софт. Вполне логично атаковать именно его.
Я также читал никем не проверенную версию, что Эппл и Амазон эту закладку обнаруживали то ли из-за подозрительного сетевого трафика, то ли из-за проблем с прошивкой ROM (считываемые данные не совпадали с записываемыми).kibizoidus
06.10.2018 21:56+8Слава богу — в теме есть люди, которые понимают, как это возможно. Ну и знают о IPMI, SPI b BMC… Снимаю шляпу, вы первый адекват в ветке.
Anynickname
07.10.2018 00:44Всё уже обсудили здесь, зачем повторяться.
TimsTims
07.10.2018 21:45Предлагаете перечитать все 175 комментариев, чтобы не повторяться.
Anynickname
08.10.2018 17:37Предлагаете перечитать все 175 комментариев, чтобы не повторяться.
Это единственный способ не повторяться, подскажите какие есть еще?TimsTims
08.10.2018 18:52Дать ссылку на конкретный пост(или ветку), в котором вы увидели что тема раскрывается, ведь вы уже прочитали 175 комментариев.
А ещё лучше сделать цитату того поста, чтобы даже кликать не надо было, вам бы за это ещё в карму кто нибудь плюсанул.Anynickname
08.10.2018 19:34Так мой коммент выше как раз и был не о каком-то конкретном посте, а, наоборот, о том, что технические подробности сабжа уже всесторонне обсосаны на протяжении всех этих 175 комментариев той темы (ну или по крайней мере большинстве из них). Поэтому и ссылки точнее, чем на всю ту ветку, как бы и нет.
TimsTims
08.10.2018 21:44Понятно. Ну, значит тема еще не раскрыта, 175 комментариев всё-же мало, поэтому лучше продолжать здесь копать истину). Хотя и её поиск частенько уходит в сторону — как например здесь — начинали с Китая и шпионских штучек, а ушли вообще в 1С…
electronus
07.10.2018 00:07+1Кто в своем уме выпускает наружу IPMI?
KH-soft
07.10.2018 15:55Вы видимо с supermicro не работали в достаточном объеме: ipmi, не будучи подключенным в порт свитча, автоматически активируется в параллель на первом сетевом интерфейсе сервера с дефолтным логин-пароль и получением ip адреса по dhcp. Отследить это на своем сервере вы не сможете никак — этого банально не будет видно. Сможет выявить только анализ со стороны сетевого оборудования-будет выглядеть как два мак адреса на одном порту и постоянные dhcp реквесты.
Справедливости ради supermicro не единственный у кого так устроено, но он лидирует в госзакупках.electronus
07.10.2018 16:19Чего уж, работал. Provisioning там где я работал переключал принудительно на выделенный порт. А даже если предположить что этого (ещё) не произошло, то первый сетевой интерфейс(и второй) всегда были в приватной сети
Anynickname
08.10.2018 17:40Что X9, что X10 платы, что получали за последние годы, имели выключенный по-дефолту в биосе IPMI.
Sabubu
08.10.2018 12:16Закладка может сама первая отправлять пакет в «центр управления» (а не открывать порт и вызывать подозрения). Если ограничены только входящие соединения, а выход из локальной сети не зафаерволлен (а обычно это так и есть), то вес будет работать.
electronus
08.10.2018 18:48выход из локальной сети не зафаерволлен
Так только у очень неответственных людей.
aleksandros
07.10.2018 14:49Лет 5 назад читал статью какого-то русского (или в переводе было, не помню) сисадмина. У него то-ли что-то глючило в IMPI, то-ли просто заметил что-то странно, но это вынудило его детальнейшим образом разбираться. Была подробная статья с дампами и прочим и очень хорошо помню его вывод. Что две идентичные серверные платы — одна из Китая, в другая из США — отличаются. И он высказывал предположение о бэкдорах, устанавливаемых прямо на заводе. Помню, первые мысли, мол «да быть не может, ну это же совсем наглость, наверняка есть другое объяснение». А оказывается, вполне может. К сожалению ни названий, ни имён не помню.
sanchosd
07.10.2018 21:13Была такая статья, вы правы.
Увы, не могу вспомнить ничего, что помогло бы ее найти.
AVI-crak
07.10.2018 15:14Предположительно, 6-контактный чип размещался на пути между IPMI-контроллером и его ROM с SPI интерфейсом
Давай считать.
2 контакта вход/выход для DO линии — подмена выходных данных.
3 контакта в режиме сниффера CS, CLK, DI — необходимы для внутренней эмуляции подмены внешнего чипа.
2 контакта питания.
И того в сумме 7 контактов!!! — вопрос, как оно работало?
DRomanov1972
08.10.2018 18:01Intel ME уже успешно раскалывают. habr.com/company/pt/blog/336242 Не проще ли туда бэкдор вставить? Или все дело в цифровых подписях?
keydet
07.10.2018 08:43+8Это бредни журналистов, а вот "англосаксы" -это древнегерманские племена. Старайтесь не транслировать новояз из методички, это убивает русский язык.
Lazytech
07.10.2018 09:33+4Англосаксы — это… Что такое Англосаксы?
англоса?ксы
мн.
1.
Общее название германских племен — англов, саксов, ютов и фризов, положивших начало английскому народу.
2.
Название англичан и американцев.
3.
Представители этих племен.
Толковый словарь Ефремовой. Т. Ф. Ефремова. 2000.
Подчеркивание мое.
axe_chita
06.10.2018 17:01+4Is fecit cui prodest, ищите кому выгодно. Кто то решил утопить SuperMicro, потом разберутся что ничего небыло, а осадочек останется. И останется в головах некоторых руководителей, с известным результатом.
Sabubu
06.10.2018 17:11Выгодно китайцам — получать ценные разведывательные данные из военных структур США. Ну и нам кстати тоже было бы выгодно.
stul5tul
06.10.2018 17:48Выгодно китайцам — получать ценные разведывательные данные из военных структур США. Ну и нам кстати тоже было бы выгодно.
А че, компьютер с секретными данными подключен к интернету?
Файрволлов нет, админов нет… В Одноклассники (шучу, в Фейсбук конечно) доступ с рабочих компьютеров военных не закрыт…0o0
06.10.2018 22:41+8Вы чип видели? У него же аж шесть ног. Он с разбегу эти ваши фаерволы перепрыгивает, как конь :)
agugnin
07.10.2018 12:24Откровенно говоря я не достаточно глубоко в теме, но, имхо, если через такой чип проходит вся сетевая активность, то его можно активировать специальой последовательностью битов, встроенной в похожий на легитиный трафик, а т.к. зараннее не известно, что именно должно прийти на чип, то и по содержимому отфильтровать такое зараннее маловероятно, так что от такого фаирвол вас, скоре всего, тоже не спасет
Scif_yar
07.10.2018 12:52так что от такого фаирвол вас, скоре всего, тоже не спасет
на ЭТОТ чип в ЭТОЙ подсети в принципе внешние данные не ходят.
hippohood
07.10.2018 15:59Ну разумеется, все эти системы полностью изолированы от интернета, и совершенно безопасны. Не было ни одного случая проникновения, нечего и пытаться.
axe_chita
07.10.2018 18:53Эээ это как? Данные мало собрать, их еще надо передать, хотябы морзянкой.
Кстати, если мне не изменяет память, то в интеловских сетевых чипах есть зомби пакет при получении которого сетевушка вешает комп. И вроде на хабре была такая статья.
Dioxin
08.10.2018 07:39Один в один напоминает скандал с автомобилями большого европейского концерна.
Экономическая война, новый виток, зуб даю (молочный).electronus
08.10.2018 18:49+1Похоже, но SMC не китайский, а американский. Т.е. америка против америки? Если выставить с рынка американский SMC, то кто придет вместо? Китай?
Dioxin
09.10.2018 07:15Трамп обещал вернуть производство из китая в америку.
Чем не повод(может даже и сфабрикованный)
yarric
06.10.2018 17:09+2Не первый раз «лучшие друзья»-китайцы попадаются на встраивании анальных зондов в электронику. Пора бы уже обучиться.
denis-19
06.10.2018 17:11+2Расследование показало, что чип был подключен к цепям соединения BMC-контроллера с SPI Flash или EEPROM, на которых хранится прошивка. Модифицируя поступающие с Flash данные чип мог добиться выполнения своего кода на уровне BMC (устанавливаемый в серверах специализированный контроллер, имеющий свой CPU, память, хранилище и интерфейсы опроса датчиков).
Не в пользу информации Bloomberg также свидетельствует излишнее усложнение атаки: при доступе к производству вместо отдельного и заметного чипа надёжнее было бы интегрировать бэкдор прямо в SPI Flash и поставлять на платах неотличимый от оригинала модифицированный чип.
Кстати, тут фото даже есть этого чипа. И это оригинальная ссылка на статью, а не как в этом переводе просто на издание ссылка.
Странный автор статьи тут — ошибку в тексте в первом комменте указал, автор ее исправил и не написал про это в ответ…hardegor
06.10.2018 18:15+5В чипе такого размера нереально разместить сложную логику, которая будет взламывать что-то на уровне ОС, только на уровне «принял команду — вырубил всё».
А вообще выглядит как защита ESD или фильтр помех
Если бы я ставил его на плату, то такую крохотульку засунул бы под любой разъем — места там достаточно, а еще есть другой вариант — сейчас конденсаторы ставят прямо под BGA-чипы — никогда не найдёте.olartamonov
07.10.2018 10:31+3А вообще выглядит как защита ESD или фильтр помех
Не. Это либо балун, либо coupler, у них очень характерный вид и очень характерное применение — только в радиочастотных цепях. И это привет журналистам Блумберга, которые где-то услышали слова «signal conditioning device», вбили их в гугль, попали в прайс Digikey, где балуны зачем-то проходят в разделе signal conditioning, и взяли первую картинку оттуда.
Короче, учёные опять изнасиловали журналистов.
Реальный чип так выглядеть не мог именно из-за характерного вида, да и из-за конструкции тоже — неудобно как-то в керамику паковать микроконтроллер.
А вот чёрная LGA'шная блоха типа такой (снималось мной в подвалах ГРУ, чек на такси прилагается) или чуть крупнее была бы к месту, таких чипов на современных материнках пачки, никто их не считает и не замечает.
mspain
06.10.2018 22:18-9>надёжнее было бы интегрировать бэкдор прямо в SPI Flash и поставлять на платах неотличимый от оригинала модифицированный чип
Что-то ахинейка написана. Что есть SPI Flash? SPI это вроде протокол, Flash тип памяти.
Итого, если заменить прошивку во флэше, америкосы это увидят СРАЗУ, т.к. авторы прошивки амеры, а не китайцы.
Если имелось в виду «модифицировать SPI-контроллер», то каким образом он поможет спрятать изменения когда америкосы соберутся перешить прошивку? Сразу всё вскроется.
Ну и моя версия — что данный чип наоборот отключал пиндосские трояны в IME никак не расвенчана :DNick_Shl
07.10.2018 07:31+7Что-то ахинейка написана. Что есть SPI Flash? SPI это вроде протокол, Flash тип памяти.
Ахинейкой это становится когда не способен понять что это "Flash память с интерфейсом SPI". Впрочем, сложно ожидать чего-то другого от человека использующего слова "америкосы", "амеры", "пиндосские"…
Lazytech
06.10.2018 18:40+2На сайте servethehome.com опубликована довольно-таки скептическая статья:
Bloomberg Reports China Infiltrated the Supermicro Supply Chain We Investigate
Цитата из заключительной части статьи (на английском)First and foremost, I think we need to call for an immediate SEC investigation around anyone who has recently taken short positions or sold shares in Supermicro. With the accompanying Supermicro stock price hit that was foreseeable prior to the story, if anyone knew the story would be published, and acted on that non-public or classified information, the SEC needs to take action. There seems to have been over 20 people that knew about this.
yarric
06.10.2018 19:25-1А не проверить бы Патрика Кеннеди на получение денежных переводов в юанях? Вроде как такая схема с «экспертами» уже отработана...
Lazytech
06.10.2018 19:49Пара отрывков из статьи Патрика Кеннеди (на английском)The bad news is that BMC's are extremely dangerous. They are also pervasive with a few points under 100% of servers having them these days. The Bloomberg article cites the well-known Supermicro BMC/ IPMI vulnerabilities. Supermicro is not alone. Every Dell EMC PowerEdge server (edit: 13th generation and older, the new 14th generation has a fix to prevent this) has a local and remote exploit available that the company can mitigate with patches, but cannot fix. We broke this story with iDRACula. If you think you are safe with HPE or Lenovo servers, here are BMC vulnerabilities for other vendors.
The security community, as a whole, knows that BMCs are both useful if not mandatory in today's infrastructure. As a result, the security community, and major hyper-scale vendors are putting a lot of effort in researching security solutions.
One of the more interesting bits is that if it is a BMC vulnerability or anything that «phones home» over a network interface, one would expect that security researchers would have seen it. There are companies that put boxes on networks just to see what network traffic they create. Supermicro tends to build common designs that it ships to multiple customers. It would be slightly interesting if only some Supermicro servers, e.g. for certain customers were impacted. If China did not do this, it would have been caught earlier. If China did limit to a few customers, it would be difficult to target them at PCB. As we will show shortly, Supermicro PCBs are used across products.
Bottom line, if this Supermicro attack vector is to the BMC, then the Bloomberg story is no bigger than the Dell EMC PowerEdge iDRACula story or any others. Saying there is a vulnerability in a BMC is like saying the sun is hot.
Where the Bloomberg Piece Makes No Sense
There is one area where the Bloomberg piece makes no sense. Supermicro servers are procured for US Military contracts and use to this day. Supermicro's government business is nowhere near a large as some other vendors, but there are solutions providers who sell Supermicro platforms into highly sensitive government programs.
If the FBI, or other intelligence officials, had reason to believe Supermicro hardware was compromised, then we would expect it would have taken less than a few years for this procurement to stop.
Assuming the Bloomberg story is accurate, that means that the US intelligence community, during a period spanning two administrations, saw a foreign threat and allowed that threat to infiltrate the US military. If the story is untrue, or incorrect on its technical merits, then it would make sense that Supermicro gear is being used by the US military.
yarric
06.10.2018 20:04Американские ведомства и антивирь Касперского одно время использовали.
Lazytech
06.10.2018 20:16+1Нашел кое-какую информацию:
В чем суть скандала с «Лабораторией Касперского» и АНБ | Блог Лаборатории Касперского
Если что, мотороллер не мой.yarric
06.10.2018 20:21-1Очередное "Предъявите ваши доказательства! Этот антивирус не наш, и вообще он уволился месяц назад." Тем не менее глава «Лаборатории Касперского» Евгений Касперский признал факт загрузки на сервера своей компании секретной информации Агентства национальной безопасности (АНБ) США.
Кстати заметили, что по странному совпадению утечки из ведомств США примерно год как прекратились?
Lazytech
06.10.2018 20:29+2Цитирую Блог Лаборатории Касперского:
— А правда, что антивирус Касперского собирает данные с компьютеров?
Да, правда, но это не личные данные наподобие документов и фотографий. В наших продуктах, как и в антивирусах большинства других компаний, есть облачная защита. Она помогает реагировать на появление новых угроз и защищать всех наших пользователей буквально в течение минуты. У нас она называется Kaspersky Security Network (KSN). В рамках работы KSN антивирус действительно может передавать в облако файлы, но это касается только вредоносных или подозрительных файлов. Подробнее про это написано здесь.yarric
06.10.2018 20:39-1Разумеется, как же может быть иначе :)
Anynickname
07.10.2018 00:50+3Эта функция есть во всех мало-мальски серьезных антивирусах, и она отключается галкой в параметрах. В NOD32 оно называется ESET LiveGrid, например.
Scif_yar
07.10.2018 00:26-2Цитирую Блог Лаборатории Касперского:
а чего не Ашманова или скажем Рен-ТВ?Lazytech
07.10.2018 07:07Я не специалист по информационной безопасности и вообще не айтишник, поэтому мне приходится опираться на чье-то мнение.
Scif_yar
07.10.2018 10:16-4Я не специалист по информационной безопасности и вообще не айтишник,
я не ракетчик, я филолог и буду цитировать рент-тв вместо того чтобы почитать чего-то кроме.
окLazytech
07.10.2018 10:47+2Нашел статью про Лабораторию Касперского и АНБ:
Kaspersky and the Third Major Breach of NSA’s Hacking Tools – emptywheel
Мое внимание привлек этот скептический комментарий к статье.
Комментарий (на английском)Richard Steven Hack says:
October 8, 2017 at 4:30 am
I totally doubt most of this story. Simply because of the “Russia, Russia, Russia” hysteria – most of it based on zero evidence – which led the US government to start messing with Kaspersky.
Now we have this “convenient” story – backdated two years for credibility apparently – that suggest – again without ANY evidence or even a DIRECT accusation – which would hold the WSJ out for a lawsuit if proven wrong – that Kaspersky was helping Russian intelligence.
I call BS. I suspect that most of the infosec community does not believe Kaspersky is working with the Russian government to spy on its users or even some of it users. If it were true, it would likely have been detected years ago (and not just two years ago directly by the NSA.)
The story also raises a lot of questions about NSA security policy. The NSA guy was supposedly using his home PC to develop new malware. So what? He puts this new malware on his own host machine which runs KAV and doesn’t use a VM for development? So KAV detects his new malware and immediately grabs it to send it up to Kaspersky who immediately recognizes it as NEW NSA malware and calls Russian intelligence?
Is this NSA guy a moron to be developing classified software – malware at that – on a home PC which is connected to the Internet AND running “phone home” software on it? Is this how they train their people? Would Ed Snowden have done this? Or is the NSA willing to blow what little is left of their credibility just to mess with a Russian AV company?
Or is it more likely that – like the NSA undoubtedly does in the US – Russian intelligence is hoovering up all Internet streams, especially including AV – and other “phone home” – software for intelligence? The problem of phone home software has been known for years. Presumably both the NSA and the Russian government – and probably many others – know and use that for intelligence collection. So do we assume Kaspersky is the culprit or the wholesale collection of the Internet by government?
How do we know that Russian intelligence doesn’t know EXACTLY who this NSA employee or contractor is and has been hoovering up his Internet connection for years? Or that the NSA has been hoovering up his Internet stream and the Russians have tapped that?
As usual with “Russia, Russia, Russia”, a lot of people are jumping to conclusions based on a vague and faulty mainstream media report.
Scif_yar
07.10.2018 12:52я уже понял что вы не ракетчик, копипасту читать не интересно
Lazytech
07.10.2018 13:00Извиняюсь, а где можно ознакомиться с Вашими личными доказательствами причастности Лаборатории Касперского к якобы злонамеренной утечке (читайте, краже) данных АНБ?
Scif_yar
07.10.2018 15:19Лол. Первую форму готовы подписать?
Lazytech
07.10.2018 15:27Если я правильно понял, доказательства у Вас имеются, но они настолько секретные, что показывать их случайным людям никак нельзя. Вопросов больше не имею.
Scif_yar
07.10.2018 16:05я, но они настолько секретные, что показывать их случайным людям
я задал простой вопрос — готовы ли вы.
вы не готовы. ок.Lazytech
07.10.2018 16:38По правде говоря, я уже много лет как не видел антивирус Касперского вживую, разве что читал про него. Странно, что подобные претензии не предъявляют разработчикам других антивирусов с облачной проверкой подозрительных файлов.
cyberzx23
07.10.2018 00:22Вы сами хотя бы читали статью, на которую ссылаетесь или повелись на кликбейт заголовок? :)
Кстати, откуда вы знаете, что утечки из АНБ прекратились?
Sabubu
08.10.2018 12:44Тщательная проверка не значит, что они изучают каждый резистор на плате, каждый вентиль в чипе и каждый байт прошивки (зачастую зашифрованной).
vitektm
06.10.2018 18:55Дураки могли, бы встроить чип между слоями текстолита…
ой я это сказал вслух ???
Это было бы безусловно дороже, зато возможно и делать он мог бы гораздо больше ввиду большего объема и точек входаAnynickname
07.10.2018 00:56Это если в саму технологическую цепочку встраиваться. Но тогда можно вообще ничего не прятать, а модифицировать штатный чип IPMI (ну или что они там якобы меняли). Причем подменить сторонний чип можно незаметно от самих инженеров на сборочном производстве, а скрытные фокусы с текстолитом — это уже утопия. Здесь же, если вообще не утка, то речь идет о точечной доработке напильником конкретных партий готового изделия уже в постпроизводственном цикле.
Kitsok
07.10.2018 14:41Модифицировать штатный чип IPMI — если Вы имеете в виду ASPEED 2500, или что там у них стоит в BMC, то это ой как непросто — это всё-таки целый System on Chip, с ARM и кучей периферии.
Другое дело, что мне тоже непонятно, зачем такие сложности с чипом между SoC и SPI Flash, когда можно прямо саму микросхему SPI Flash модифицировать.
Но вообще, история крайне мутная, на мой вкус…
onyxmaster
07.10.2018 20:58Как-то встраиваться и так надо, плату, если установка этого чипа не планировалась изначально, придётся слегка переразвести, перемычки будут выглядеть топорно и SMD-монтаж не прокатит, а значит будет плохо выглядеть и быстро найдут.
Если это BMC, я бы впаивал просто другие BMC с такой же маркировкой, но с двумя разными SoC-контроллерами внутри, одним обычным, а одним «каким надо», и сделал бы чтобы второй активировался только при соблюдении каких-то редких условий :)Kitsok
07.10.2018 21:05SoC — не самая простая штука, и ног у него много, и по площади он далеко не мелкая микросхема. Да и смысла нет — в SoC нет прошивки, она лежит на отдельно установленной SPI flash.
Igor_O
07.10.2018 22:27в SoC нет прошивки
… исключительно ради удобства и возможности раскирпичить окирпиченный при перепрошивке SoC выпаиванием и перепрошивкой микросхемы с чуть меньшим количеством ног.
Размеры и количество ног, кстати, в основном зависят от задачи. Кристалл i8080 на техпроцессе 6 микрон был размером около 5х5 мм. На техпроцессе 20 нм в 5х5 мм помещается почти в 100 тысяч раз больше транзисторов. Хорошо, пусть будет в 10 тысяч раз больше транзисторов. Это значит, что там хватит места на пентиум II, всю периферию, память и еще останется. А наружу можно вывести питание и 4 провода Ethernet (упс, те самые 6 контактов на фотографиях из Блумберга...). И да, если копнуть чуть глубже, чем ассортимент чип и дипа, то обнаруживается, что многие SoC выпускаются и в варианте со всей встроенной памятью для прошивки, и флэш, и RAM.
Дополнительный кристалл 5х5 мм можно поместить в примерно любой корпус примерно любой BGA микросхемы на матери. (Есть тонкости и особенности, и это, если сделано «в лоб», ловят на приемке...)Kitsok
07.10.2018 23:58Почти все BMC строятся на чипах Aspeed.
SPI flash BMC почти всегда две.
Довольно часто они в кроватках, их не надо выпаивать.
Наружу надо вытащить не 4 провода и питание, а много питания, много пинов для памяти и чуть более, чем 4 линии для Eth Phy.
И я не понимаю, зачем второй "свой" SoC.electronus
08.10.2018 18:52BMC spi flash одна. на распаяно плате две, ибо вторая для bios/me
Kitsok
08.10.2018 20:28
Igor_O
08.10.2018 22:44и чуть более, чем 4 линии для Eth Phy.
Ну хорошо. Не эзернет. LVDS по 4 проводам даст нам 672 мегабита в секунду полного дуплекса. Более чем достаточно для занятия примерно чем угодно.
много питания, много пинов для памяти
Как я сказал сразу, память _вся_ _внутри_. Зачем SoC, который занимается «нехорошими делами», будет что-то хранить во внешней памяти? Это ж можно подпаяться проводочками и узнать, что он там на самом деле внутри себя делает!
Питание — два BGA контакта на напряжении 5В дают нам до 2 Вт электричества (хотя да, нужно следить за температурным режимом). 2 Вт электричества в наше время — это больше 20 ядер ARM, например, A35 на гигагерце! 20 ядер ARM достаточно для примерно всего, что могут нафантазировать спецслужбы, лет на 20 вперед.Kitsok
09.10.2018 07:29Это ненаучная фантастика.
LVDS дальше куда пойдет?
Память на чипе — сколько? 512 килобайт? Для 20 ядер ARM какого? Какой площади будет 20-ядерный ARM?
robert_ayrapetyan
06.10.2018 19:08Всем желающим купить их акций вчера пришлось обломаться — NASDAQ приостановил торги по SMCI с 23 августа, их можно купить, но только через спец. настройки
everyonesdesign
06.10.2018 21:51+2График на картинке для привлечения внимания представляет собой прекрасный пример того, как не нужно строить графики.
Визуально стоимость акций упала примерно в 20 раз.
willyd
06.10.2018 23:26+3Финансовые графики всегда так представляются, чтобы видеть изменения. Везде, по умолчанию показывается диапазон минимальное-максимальное значение за период. Если вы не смотрите на значения на шкале, то это больше ваша проблема, а не того, кто делал график
alexanster
06.10.2018 22:35+2Странно: грандиозный хакерский скандал, а американцы даже вскользь не упомянули про «русских хакеров». Даже обидно как-то стало.
ybalt
06.10.2018 23:17-4«Русские хакеры» специализируются на распространении фейков, сраче в сетях и троллинге.
Столь сложная закладка — это точно не про ГРУ.cyberzx23
07.10.2018 00:27+6Ещё вмешались в выборы США, сфальцифицировали brexit, и устроили атаки на ОЗХО.
Русские хакеры нереально круты :)
alexanster
08.10.2018 23:57Вопрос не в том, что могут и чего не могут, а в том, что на «русских хакеров» стало принято вешать всех собак без разбора.
Goodkat
06.10.2018 23:38+7Держите правильный, не обрезанный график, с нулём:
На котором виден тренд за последние 3,5 года.achekalin
06.10.2018 23:42+1Хоть кто-то написал про нуль на графике. А то инвестиционные блоги обычно полны "драматических" графиков, которые скорее пугают.
Авторам поста за такой график, конечно, порицание.
kudryavy
07.10.2018 08:33+1Какой-то у Вас ноль неправильный.
Правильный ноль проходит по нижней границе диаграммы.
А у Вас визуально акции не в два раза обвалились, а гораздо меньшеClearAirTurbulence
07.10.2018 10:36Там ноль такой, чтобы бледно-розовая гистограмма внизу целиком на красном фоне умещалась.
Mad__Max
09.10.2018 04:59Вот только нафига так делать? Нет, выводить объем торгов внизу на том же графике, что и изменения цены — это в общем-то практически стандарт для финансов.
Но вот заливать всю эту область (представляющую собой отдельный график с собственной шкалой, так сказать график в графике) тем же цветом что основной график? Чтобы визуально все слилось в одно?!..
Это либо сильная криворукость или попытка манипулировать в обратную сторону.
Bsplesk
07.10.2018 00:04+3Посмотрел — статью на Bloomberg, показал «железячникам» ржали всем отделом (шестиногий чип взламывающий компьютеры USA) — видно отъел хорошую долю рынка supermicro, посмотрим, что скажет SEC.
Походу кризис впереди на фондовом рынке, 10 лет прошли пора на коррекцию, пузырей слишком много. US BOND 10, уже 3.2+% годовых, ближе к 4% может «бахнуть».
hollywood — совсем испортился.
Sabubu
08.10.2018 12:54Писали уже, есть вероятность что чип стоял на SPI линиях интерфейса между BMC и чипом с его прошивкой. Что тут невероятного?
immaculate
07.10.2018 06:47+4В комментариях на HN писали, что никаких доказательств нет, что Bloomberg мутит воду, что они миллион раз писали Apple, что якобы у тех утечка данных, Apple проводила расследования, ничего не находила, и до сих пор не нашла.
Короче, это какие-то мутные политико-экономические игры, возможно, единственная цель которых — обвалить акции Supermicro.
Доказательств, как всегда, нет ни одного, только общие рассуждения: «спецслужбы нашли», «на китайских заводах», «размером с рисовое зернышко», «хайли лайкли», «олмост сёртайнли». Где-то мы это уже слышали...
keydet
07.10.2018 08:52-4Последний абзац неактуален, "где-то" уже идентифицировали конкретные звания и имена совершивших бов-атаку.
Scif_yar
07.10.2018 12:54-2Я смотрю, админы хабра в рамках монетизации порегили пару сотен парней с правом минусовать.
БГГГ, ведущий политический сайт рунета с ведущими экспертами по всем вопросамLazytech
07.10.2018 16:48Повторюсь:
Анонимы, сэр! :)
P.S. Если что, я здесь пока еще никого не минусовал (даже не потому, что у меня нет такой возможности).
Zanak
07.10.2018 13:03+1Я одного не пойму, зачем было писать эту статью после выхода вот этой? Что принципиально нового сообщил автор, чего не было в предыдущей статье или комментариях к ней? Или все дело в желании попиарить корпоративный сайт?
Scif_yar
07.10.2018 15:20лол. а вот эту? habr.com/post/425519
Zanak
07.10.2018 17:00А какая связь между вашей ссылкой и обсасыванием одной, весьма спорной, темы в двух статьях?
flatscode
07.10.2018 16:40Господа!
Я заметил, что за сутки публикации этой статьи (и с времени публикации похожей статьи, упомянутой выше, которую я увидел только сегодня) почему-то никто не догадался пойти на сайт Supermicro и посмотреть, есть ли там какая-то реакция на публикацию в Bloomberg.
Ответ находится по ссылке: www.supermicro.com/newsroom/pressreleases/2018/press181004_Bloomberg.cfm
Кратко процитирую его здесь.
Supermicro Refutes Claims in Bloomberg Article
(Supermicro along with Apple and Amazon refute claims in Bloomberg story)
SAN JOSE, Calif., October 4, 2018 — Super Micro Computer, Inc. (SMCI), a global leader in enterprise computing, storage, networking solutions and green computing technology, strongly refutes reports that servers it sold to customers contained malicious microchips in the motherboards of those systems.
In an article today, it is alleged that Supermicro motherboards sold to certain customers contained malicious chips on its motherboards in 2015. Supermicro has never found any malicious chips, nor been informed by any customer that such chips have been found.
Each company mentioned in the article (Supermicro, Apple, Amazon and Elemental) has issued strong statements denying the claims:
Apple stated on CNBC, “We are deeply disappointed that in their dealings with us, Bloomberg's reporters have not been open to the possibility that they or their sources might be wrong or misinformed. Our best guess is that they are confusing their story with a previously reported 2016 incident in which we discovered an infected driver on a single Supermicro server in one of our labs. That one-time event was determined to be accidental and not a targeted attack against Apple."
Последнее предположение про инфицированный драйвер как раз подводит к мысли о случае «ученый изнасиловал журналиста».
Так же, эта история и обсуждения на этом сайте показывают, что достаточно легко сделать «псевдо-научную» статью, которую все, кроме хороших специалистов, не смогут адекватно оценить. Это не хорошо и не плохо, это просто закон природы.
Бред написать достаточно легко, а что бы его опровергнуть — надо быть хорошим специалистов. Т.к. количество людей, генерирующих бред и число специалистов различается на порядки (не говоря даже о том, что на опровержения нужно потратить силы/время без гарантии, что вас поймут), то засирание информационного пространства бредом — это закономерный процесс.
Существование теорий плоской земли — прямое следствие этого закона. Кстати, вот хороший иллюстративный пример: youtu.be/mQj2qUulog0?t=9m41s
Можно, конечно, ржать над роликом про плоскую землю, но люди верят… И это только относительно простой пример. Будь затронута тема, которая чуть в стороне от базовых знаний, 99,99% процентов читателей Хабра не заметят подвоха. Кстати, к ролику РенТВ отношения не имеет.
Сегодня, как раз, вышла интересная заметка на эту тему: Три экспериментатора рассказали, как публиковали в научных журналах фейки.
Выводы упомянутого исследования достаточно просты:
… Как признаются Линдси, Богоссян и Плакроуз, своим экспериментом они хотели показать, что в сфере общественных и гуманитарных дисциплин идеологические установки, как правило, превалируют над требованиями научности...Sabubu
08.10.2018 13:05> Supermicro has never found any malicious chips, nor been informed by any customer that such chips have been found.
Справедливости ради, это не противоречит новости от Блумберг. Супермикро не находил вредных чипов, и не получал репортов от клиентов. Это не исключает возможности их наличия, если они добавлены без ведома Supermicro.
Отрицание статьи Амазоном можно объяснить, если предположить, что Амазон получил требование о неразглашении данных секретного расследования.
> That one-time event was determined to be accidental and not a targeted attack against Apple
Производитель случайно установил зараженные драйвера…
Блумберг утверждает, что они проверяли данные у разных источников:
> In addition to the three Apple insiders, four of the six U.S. officials confirmed that Apple was a victim. In all, 17 people confirmed the manipulation of Supermicro’s hardware and other elements of the attacks.
Не исключено, конечно, что это какой-то координированный вброс дезинформации властями.
Ваша отсылка к Линдси, Богоссян и Плакроузу ничего не подтверждает и не опровергает.flatscode
08.10.2018 16:56+1Отрицание статьи Амазоном можно объяснить, если предположить, что Амазон получил требование о неразглашении данных секретного расследования.
Если вы решили развести конспирологию, то я заведомо в проигрышной ситуации, т.к. конспирологией можно объяснить абсолютно все, что угодно.
Если смотреть на факты, то со стороны Bloomberg есть неизвестные секретные источники. А с противоположной стороны — официальные заявления от компаний и конкретные имена: Bruce Sewell, James Baker, Tavis Ormandy и т.д.
Konachan700
07.10.2018 20:31Типичный вброс это с политическими целями, чтобы пошатать акции и устроить еще санкции.
1. SPI давно QSPI для флешек, одноканальный режим никто не использует с мохнатых годов. Это 4 bidirectional-линии + тактирование + питание. В итоге минимум 11 пинов надо для MitM-атаки.
2. Если таковой чип и придумали спецслужбы, они его совместили бы с флешкой и промаркировали как оригинал — опыт производства такого рода фальшивок у Китая огромен. В любом случае это заказной чип, никакой МК такие скорости не прожует, так зачем создавать лишнее палево? И тогда съехать с темы легче легкого — ну купили случайно контрафактные чипы, с кем не бывает…
3. Никакой производитель не пойдет на такое, ибо при наличии реального прецедента его завалят исками, да и акции улетят в ноль. Проще встроить бекдор в прошивку чего-нибудь — если что, всегда можно найти стрелочника среди работяг и сказать «а это программист Ляо добавил самовольно, мы просто ревью не тем местом посмотрели».
4. При наличии реального инцидента крупные компании отреагировали бы быстро и однозначно, шум был бы серьзеный. А молчанием или отписками принято реагировать на троллинг, чтобы не кормить.Kitsok
07.10.2018 21:03Со всем согласен кроме п.1 — вы не поверите, но там обычный четырёхпроводный SPI, далеко не везде (по крайней мере, мне не встречалось) QSPI.
denis-19
Каких?