Supermicro-botrány: valaki hazudik
Bombaként robbant a Bloomberg Businessweek cikke a héten, amely a kínai titkosszolgálatok általi támadásról számol be. A lap szerint a beszállítói lánc támadása révén sikerült az Amazon és az Apple adatközpontjaiba is beférkőznie a hírszerzésnek. A cikk állításait az érintett beszállító, a Supermicro, illetve az Amazon és az Apple is erősen vitatja.
Lássuk először a Bloomberg Businessweek cikkének főbb állításait. A támadást a szerzők szerint az Amazon fedezte fel, amikor a videós célgépeket fejlesztő Elemental nevű startupot vásárolta fel. Az Elemental szerverei videós tömörítést végeznek, amelyet változatos cégek használnak internetes adásokhoz, amerikai televíziós prédikátoroktól felnőtt tartalmakat kínáló oldalakig. Az Elemental szervereit az olimpiai közvetítéshez is bevetették, de az amerikai védelmi minisztérium és a CIA is vásárlónak számított, tehát a szerverek a drónoktól az amerikai hadihajókig változatos helyeken teljesítettek szolgálatot.
Az Amazon a 2015-ös felvásárláskor vizsgálta át biztonsági szempontból az Elemental szoftvereit és a hardvereket, ennek során bukkant a cég az alaplapokon elhelyezett szokatlan komponensekre. Ezek a "rizsszem méretű" chipek ugyanis a Supermicro gyártmányú alaplapok eredeti tervein nem szerepeltek. Az Amazon a cikk állításai szerint értesítette az amerikai hatóságokat a felfedezésről, ennek nyomán pedig egy komoly, titkos FBI-vizsgálat indult, amely a mai napig is tart - mondja a cikk.
Egy kétutas Supermicro alaplap
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
A Bloombergnek név nélkül nyilatkozó belsős szakértő szerint a vizsgálat fényt derített az idegen chip működésére és céljaira is. Az apró lapka a szerver távoli vezérlését végző BMC (Baseboard Management Controller) működésébe avatkozik bele - ez egy, az alaplapra integrált, beágyazott egység, amellyel az üzemeltetők távolról bele tudnak avatkozni a szerver működésébe. A BMC mély hozzáféréssel rendelkezik a szerveren, az operációs rendszer és a hypervisor működése alatt, akár azoktól rejtve is tud tevékenységet végezni. A Bloomberg szerint ezt aknázta ki az idegen chip, amely a hozzáférést a kínai hírszerzők számára nyitotta ki.
A cikknek van válasza arra is, hogy hogyan kerülhet egy idegen chip a Supermicro által gyártott alaplapokra. A nyilatkozó források szerint az amerikai-tajvani vállalat kínai gyártóüzemeiben a gyártás során kerültek fel az idegen komponensek az alaplapokra.
A "fertőzött" alaplapok pedig rengeteg különböző szervezetnél kerültek használatba. A Bloomberg szerint közel harminc különböző ügyfél, bankok, kormányzati beszállítók, az Amazon és az Apple is kapott ilyen alaplapokat. A cikk szerint az idegen komponenst az Amazontól függetlenül az Apple is felfedezte a szerverekben 2015 nyarán, ennek hatására állt el a tervtől, hogy a Supermicrónak 30 ezer szerverre adjon le rendelést, 2016-ban pedig teljesen meg is szüntette az együttműködést a gyártóval.
A Bloomberg a cikk tartalmát több különböző forrásból is megerősítette, a szerzők hat különböző (jelenlegi és volt) amerikai nemzetbiztonsági hivatalnokkal beszéltek, emellett két forrás az Amazon Web Services-től és további három forrás az Apple-től is megerősítette az értesüléseket. A két szerző 2015 óta folyamatosan gyűjti az információkat a vizsgálatról.
Reakciók
Az értesüléseket mind az Amazon, mind az Apple mereven tagadja. Az Amazon állásfoglalása szerint a cikk által említett események egyáltalán nem történtek meg. A cég szerint nem fedezett fel semmilyen rosszindulatú chipet az Elemental felvásárlásakor (és máskor sem), és tagadja azt is, hogy a cikkben említett titkos FBI-vizsgálat zajlana.
Az Apple ha lehet, még kategorikusabban utasítja el a cikk állításait. Eszerint a Bloomberg az elmúlt évben többször kért hivatalos állásfoglalást az Apple-től ebben a témában, amelyre minden esetben alapos belső vizsgálat után adott választ a vállalat, és nem talált semmilyen FBI-vizsgálatot, amelyben a cég részt venne. "Ebben nagyon egyértelműek tudunk lenni: az Apple sosem talált rosszindulatú chipeket, hardveres manipulációt vagy szándékosan elhelyezett sebezhetőséget semmilyen szerverben. Az Apple sosem volt kapcsolatban az FBI-jal vagy más ügynökséggel ilyen incidens kapcsán."
A Bloombergnek küldött állásfoglaláson túl az Apple mára egy hosszabb közleményt is közölt az oldalán. Eszerint az Apple sosem talált a cikkben említett rosszindulatú chipet a szervereiben, az említett vizsgálat nem létezik és nem is hallott ilyenről senki a cégnél. A felmerült spekulációkra válaszul pedig az Apple azt is leszögezi, hogy semmilyen titoktartási végzés nem köti, így ha akarna, beszélhetne a vizsgálatról. Ez utóbbi nagyon szokatlan lépés, a titkosszolgálati vizsgálatok esetében ugyanis gyakran előfordul, hogy egyes cégeket bírói végzéssel kényszerítenek titoktartásra, ilyenkor sem a vizsgálatról, sem a végzésről nem beszélhetnek. A csavar, hogy az ilyen végzés hazugságra nem kényszerít, tehát ha a cég azt állítja, hogy nincs titoktartási kényszer alatt, akkor vagy teljesen saját akaratából tagadja le, vagy igazat állít.