:

Szerző: Asztalos Olivér

2018. december 12. 13:04

Supermicro: nem találtunk kémchipet az alaplapjainkon

Nincsenek kémchipek a Supermicro alaplapjain. Már nem csak a partnerek, hanem az alaplapgyártó nyomozásának eredménye is homlokegyenest ellentmond a Bloomberg állításának.

"Nem találtunk rosszindulatú, idegen chipet az alaplapjainkon" - mondja tegnapi közleményében a Supermicro. A tajvani-amerikai alaplapgyártó a széles körű és részletes, harmadik fél bevonásával végzett nyomozás alapján kijelenti, abszolút semmilyen bizonyíték nincs az október elején a médiában megjelent állításokra. A Supermicro kimondatlanul a Bloomberg Businessweek cikkére céloz, amely a friss közlemény alapján tévesen állította, hogy az adatközpontokba szánt egyes termékeken kémchipet helyezett el a kínai hírszerzés. Az alaplapgyártó arról egyelőre nem beszélt, hogy fontolgat-e bármilyen jogi lépést a magazin ellen.

Közleményében a Supermicro állítja, kirobbanása óta a lehető legmagasabb prioritással kezelte az ügyet. A vállalat egy meg nem nevezett nyomozócéggel közösen helyezett nagyító alá különféle, a Bloomberg cikkében szereplő vásárlók által használt alaplapokat, egyúttal pedig a legújabb modelleket is megvizsgálták. A fizikai illetve a funkcionális tesztek egyértelműen bizonyították, hogy az alaplapokat sem a Supermicro, sem pedig egy esetleges harmadik fél nem preparálta, így az azokra épülő rendszerekhez nem lehet hardveres úton rejtett hozzáférést szerezni.

supermicro_mobo

A gyártó emellett pontokba szedve részletezi, hogy milyen módon vizsgálják termékeiket. Eszerint a gyártási folyamat minden pontján tesztelik az alaplapokat, illetve az azok alapját jelentő nyomtatott áramkört, melynek minden rétegét "átvilágítják". A tesztek alapfeltétele, hogy a bérgyártó személyzete mellett a Supermicro alkalmazottai is jelen legyenek, legyen szó manuális, vagy bármilyen automatizált eljárásról. A cég állítja, az alaplapok végleges terveihez illetéktelenül senki nem férhet hozzá, a cég saját alkalmazottai sem. Végül, de nem utolsó sorban a Supermicro leszögezi, rendszeresen végez auditot bérgyártóinál, a minőség mellett a gyártási folyamat egyes lépcsőit egyaránt ellenőrizve.

A vállalat emellett megköszöni az iparág, illetve egyes partnereinek támogatását. Az Egyesült Államok Belbiztonsági Minisztériuma, a Nemzeti Hírszerzési Igazgató, illetve az FBI igazgatójának hozzájárulását. A partnerek közül az Apple-t és az AWS-t (Amazon) emeli ki a Supermicro, melyek már az ügy kirobbanásakor kiálltak beszállítójuk mellett. Amazon október eleji állásfoglalása szerint a Bloomberg Businessweek által említett események egyáltalán nem történtek meg. A cég szerint nem fedezett fel semmilyen rosszindulatú chipet, és tagadta azt is, hogy a cikkben említett titkos FBI-vizsgálat zajlana.

Hazudott a Bloomberg?

Az Apple ha lehet, még kategorikusabban utasította el a cikk állításait. Eszerint a Bloomberg az elmúlt évben többször kért hivatalos állásfoglalást az Apple-től ebben a témában, amelyre minden esetben alapos belső vizsgálat után adott választ a vállalat, és nem talált semmilyen FBI-vizsgálatot, amelyben a cég részt venne. "Ebben nagyon egyértelműek tudunk lenni: az Apple sosem talált rosszindulatú chipeket, hardveres manipulációt vagy szándékosan elhelyezett sebezhetőséget semmilyen szerverben. Az Apple sosem volt kapcsolatban az FBI-jal vagy más ügynökséggel ilyen incidens kapcsán."

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata!

A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

A szóban forgó két cég közleménye ellentmond a Bloomberg állításának. A magazin október eleji cikk szerint az Amazon fedezte fel a Supermicro alaplapjain kiépített biztonsági rést, amikor a videós célgépeket fejlesztő Elemental nevű startupot akvirálta. A cég a 2015-ös felvásárláskor vizsgálta át biztonsági szempontból az Elemental szoftvereit és a hardvereket, ennek során bukkant a cég az alaplapokon elhelyezett szokatlan komponensekre. Ezek a "rizsszem méretű" chipek ugyanis a Supermicro gyártmányú alaplapok eredeti tervein nem szerepeltek. Az Amazon a cikk állításai szerint értesítette az amerikai hatóságokat a felfedezésről, ennek nyomán pedig egy komoly, titkos FBI-vizsgálat indult, amely a mai napig is tart - mondta a Bloomberg.

02:27
 

Supply Chain Security at Supermicro

Még több videó

A Bloombergnek név nélkül nyilatkozó belsős szakértő szerint a vizsgálat fényt derített az idegen chip működésére és céljaira is. Az apró lapka a szerver távoli vezérlését végző BMC (Baseboard Management Controller) működésébe avatkozik bele - ez egy, az alaplapra integrált, beágyazott egység, amellyel az üzemeltetők távolról bele tudnak szólni a szerver működésébe. A BMC mély hozzáféréssel rendelkezik a szerveren, az operációs rendszer és a hypervisor működése alatt, akár azoktól rejtve is tud tevékenységet végezni. A Bloomberg szerint ezt aknázta ki az idegen chip, amely a hozzáférést a kínai hírszerzők számára nyitotta ki. A nyilatkozó források szerint az amerikai-tajvani vállalat kínai gyártóüzemeiben a gyártás során kerültek fel az idegen komponensek az alaplapokra.

A Bloomberg azt állította, hogy a cikk tartalma több különböző forrásból is megerősítést nyert, a szerzők hat különböző (jelenlegi és volt) amerikai nemzetbiztonsági hivatalnokkal beszéltek, emellett két forrás az Amazon Web Services-től és további három forrás az Apple-től is megerősítette az értesüléseket. A két szerző 2015 óta folyamatosan gyűjti az információkat a vizsgálatról. Mindennek ugyanakkor homlokegyenest ellentmond az AWS és az Amazon közleménye, illetve már a Supermicro szóban forgó vizsgálata is. Azt egyelőre nem lehet tudni, hogy a Bloomberg szándékosan állított-e valótlanságokat, vagy félrevezették az újságírókat.

A Supermicro, illetve annak befektetői számára sokba került a sárdobálás, az ügy hallatára azonnal bő 40 százalékot zuhant a vállalat papírjainak értéke. Bár azóta valamelyest magához tért a részvényárfolyam, a Supermicro még nem nyerte vissza a botrány előtti értékét. Ez alapján elképzelhető, hogy a Bloomberg, vagy a magazin újságíróit esetlegesen félrevezető források szándéka mögött egyszerű tőzsdei spekuláció állt.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról