“惡意芯片門(mén)”主角強(qiáng)硬否認(rèn)美英安全部門(mén)站隊(duì)企業(yè)
10月4日,《彭博商業(yè)周刊》報(bào)道稱(chēng),蘋(píng)果、亞馬遜等美國(guó)科技公司來(lái)自供應(yīng)商超微(SuperMicro)的服務(wù)器內(nèi)被植入了“惡意芯片”。三家公司均在第一時(shí)間發(fā)表聲明否認(rèn)。值得注意的是,聲明均措辭強(qiáng)烈,且對(duì)大量細(xì)節(jié)進(jìn)行了詳盡說(shuō)明,蘋(píng)果公司更從技術(shù)層面逐一反駁報(bào)道疑點(diǎn)。此外,美國(guó)國(guó)土安全部、英國(guó)國(guó)家網(wǎng)絡(luò)安全中心均發(fā)布聲明,對(duì)上述各公司表示支持。
本文引用地址:http://m.butianyuan.cn/article/201810/392679.htm涉及企業(yè)強(qiáng)勢(shì)反駁
《商業(yè)周刊》報(bào)道稱(chēng),植入芯片涉及的美國(guó)公司總數(shù)可能超過(guò)30家,蘋(píng)果、亞馬遜和超微是其中“主角”。三家公司均于4日發(fā)布聲明進(jìn)行反駁,不同于常見(jiàn)的公關(guān)聲明,蘋(píng)果和亞馬遜羅列了大量細(xì)節(jié),且措辭強(qiáng)硬。
科技媒體TheVerge指出,蘋(píng)果、亞馬遜等公司此次的否認(rèn)聲明實(shí)屬少見(jiàn)?!敖^大部分和安全漏洞發(fā)現(xiàn)或公眾強(qiáng)烈反對(duì)相關(guān)的聲明,僅僅是承認(rèn)這一擔(dān)憂,并對(duì)消費(fèi)者的隱私做出模糊的承諾?!钡O(píng)果和亞馬遜的聲明詳盡到幾乎是在對(duì)報(bào)道逐條反駁。
知名科技博主JohnGruber評(píng)論稱(chēng),亞馬遜聲明署名是其首席信息安全官StephenSchmidt,“在亞馬遜,大概沒(méi)有人比Schmidt更了解其中的詳情?!?0月7日,蘋(píng)果信息安全副總裁GeorgeStathakopoulos致信美國(guó)參議院和眾議院商業(yè)委員會(huì),稱(chēng)公司反復(fù)調(diào)查之后,并未發(fā)現(xiàn)任何證據(jù)可以表明彭博報(bào)道中的觀點(diǎn),包括超微出售給蘋(píng)果的服務(wù)器主板芯片存在可向中國(guó)傳輸數(shù)據(jù)的后門(mén)。蘋(píng)果在回應(yīng)熱點(diǎn)“負(fù)面”新聞時(shí)“反射弧”通常較長(zhǎng),但此次第一時(shí)間刊登了聲明全文,指出過(guò)去一年中彭博記者曾數(shù)次就“所謂安全事件”聯(lián)系公司,而蘋(píng)果每次均進(jìn)行了嚴(yán)格的內(nèi)部調(diào)查,從未在任何服務(wù)器中發(fā)現(xiàn)可疑惡意芯片漏洞,也從未就此事主動(dòng)聯(lián)系FBI或是其他機(jī)構(gòu),對(duì)于政府安全機(jī)構(gòu)是否在展開(kāi)調(diào)查也并不知情。
亞馬遜也表示,公司在過(guò)去數(shù)月已多次回應(yīng)稱(chēng)此事并不屬實(shí),亞馬遜過(guò)去與現(xiàn)在均未在所用的超微主板上發(fā)現(xiàn)被修改過(guò)的硬件或惡意芯片,也從未與政府部門(mén)進(jìn)行任何相關(guān)的合作調(diào)查。
蘋(píng)果和亞馬遜等公司的否認(rèn)得到了美國(guó)、英國(guó)政府機(jī)構(gòu)的支持。英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)表示:“我們注意到了媒體的報(bào)道,在當(dāng)前階段我們沒(méi)有理由去懷疑AWS(亞馬遜云服務(wù))和蘋(píng)果詳盡的評(píng)估結(jié)果?!彪S后美國(guó)國(guó)土安全部也在官網(wǎng)發(fā)布聲明稱(chēng),目前沒(méi)有理由懷疑這幾家公司的聲明。
技術(shù)層面疑點(diǎn)重重
“惡意芯片門(mén)”報(bào)道也在經(jīng)受技術(shù)層面的質(zhì)疑。有分析指出,該報(bào)道雖對(duì)該芯片如何被裝配并發(fā)揮作用進(jìn)行了描述,但具體技術(shù)描述過(guò)于含糊,且缺乏嚴(yán)謹(jǐn)論證。
Gruber在6日評(píng)論稱(chēng),若受影響的服務(wù)器真如報(bào)道所述,有數(shù)千臺(tái)之多,安全專(zhuān)家應(yīng)能識(shí)別出其中的流氓芯片,“蘋(píng)果公司不會(huì)讓它不了了之?!?/p>
報(bào)道曾指出,該芯片內(nèi)置存儲(chǔ)和網(wǎng)絡(luò)功能,可在主機(jī)系統(tǒng)留下硬件后門(mén),允許外部對(duì)服務(wù)器信息進(jìn)行竊取。不過(guò)文章并未特別交代實(shí)現(xiàn)這一途徑的技術(shù)細(xì)節(jié)。有安全技術(shù)專(zhuān)家指出,由于缺乏有關(guān)硬件設(shè)備和在網(wǎng)絡(luò)中竊取數(shù)據(jù)的工作原理等,報(bào)道可信度大打折扣。
資深I(lǐng)T記者KierenMcCarthy近日在科技媒體TheRegister發(fā)文稱(chēng),多數(shù)人不得不靠猜測(cè)來(lái)判斷所謂“黑客”如何工作,他指出報(bào)道一些技術(shù)疑點(diǎn)。例如,來(lái)自被滲透服務(wù)器的非正常網(wǎng)絡(luò)流量應(yīng)當(dāng)是可以被偵測(cè)到的。
依據(jù)報(bào)道,“惡意芯片”僅有鉛筆尖大小?!坝盟鼇?lái)攔截重寫(xiě)從SPI閃存或串行EEPROM傳來(lái)的數(shù)據(jù)并非不可能,但它必須存儲(chǔ)有足夠的數(shù)據(jù),來(lái)替換BMC固件代碼,然后更改運(yùn)行中的操作系統(tǒng)或執(zhí)行可行的后門(mén)。”此外McCarthy還提出,比起直接替換掉集成電路板上某個(gè)已有芯片,在主板上安裝這樣一個(gè)“惡意芯片”有些大費(fèi)周章?!盀槭裁床粚PI閃存芯片替換成一個(gè)開(kāi)好后門(mén)的、和原裝看起來(lái)完全相同的芯片?”
評(píng)論