Издание Bloomberg опубликовало (https://www.bloomberg.com/news/features/2018-10-04/the-big-h...) данные о выявлении на платах Supermicro миниатюрного шпионского чипа, внедрённого для организации утечки госсекретов и коммерческой тайны. Сообщается, что серверное оборудование с шпионскими чипами было продано и успешно внедрено в инфраструктуре 30 компаний из США, среди которых Amazon, Apple и нескольких исполнителей госконтрактов. Bloomberg утверждает, что информация подтверждена шестью неназываемыми источниками из госслужб и 17 анонимными источниками из корпораций.
Отмечается, что чипы были внедрены на этапе производства на заводах Supermicro после оказания давления военным ведомством КНР.
Чипы включали бэкдор, позволяющий после активации скомпрометировать сетевую инфраструктуру. Утверждается, что проблема была выявлена в 2015 году после изучения оборудования компании Elemental Technologies, купленной Amazon.
На серверах, изготовленных Supermicro для данной компании, в материнской плате инженерами Amazon был обнаружен миниатюрный имплант, размером около 2 мм, который не соответствовал оригинальной схеме и был искусно замаскирован под видом разветвителя сигнала. Amazon информировал спецслужбы и оборонное ведомство о находке, после чего началось тайное расследование, которое заняло три года. В 2015 году аналогичные шпионские чипы также были выявлены в платах Supermicro, поставляемых для Apple, что послужило причиной разрыва отношений между
Apple и Supermicro в 2016 году.
Компании Amazon и Apple категорически отвергли (https://www.bloomberg.com/news/articles/2018-10-04/the-big-h...) данную информацию. Amazon сообщил, что выявленные в то время проблемы касались уязвимостей в web-приложении и были устранены. Ни о каких шпионских аппаратных имплантах и модификациях оборудования, выявленных при покупке Elemental, компания не знает и никаких совместных расследований с ФБР не проводилось.
Компания Apple рассказала, что она инициировала аудит оборудования в ответ на поступивший от Bloomberg запрос прокомментировать инцидент. Аудит не выявил никаких доказательств наличия аппаратных имплантов в имеющемся оборудовании Supermicro. Компания Apple также заявила, что никогда не выявляла вредоносные чипы, аппаратные уязвимости серверов или манипуляции с оборудованием, а также не разбирала подобный инцидент с ФБР и другими спецслужбами. Единственным инцидентом с Supermicro было выявление в 2016 году поражённого вредоносным ПО драйвера на сервере в одной из лабораторий Apple. Но это был единичный случай, который не был связан с целенаправленной атакой.Компания Supermicro заявила, что она не была поставлена в известность о проводимом расследовании и никто из спецслужб не связывался с ней по данному поводу. Неофициально высказываются подозрения, что источники Bloomberg целенаправленно ввели издание в заблуждения с целью организации обвала акций Supermicro. После публикации стоимость акций Supermicro снизилась (https://finance.yahoo.com/quote/SMCI/) более чем в два раза с $21.40 до $8.65 за акцию.
URL: https://www.bloomberg.com/news/articles/2018-10-04/the-big-h...
Новость: https://www.opennet.me/opennews/art.shtml?num=49393
Напомнило фильм "День вторжения" 2013
> Напомнило фильм "День вторжения" 2013Там тоже про то, как журно[...человеков...]шек пользуют для прокручивания акций на форексах? Какие странные у Вас развлечения[I]!
Когда есть сомнения, всегда беги!
> акций Supermicro снизилась более чем в два раза с $21.40 до $8.65 за акцию.Ну наконец-то им хоть немного отлилось. А то встраивание бэкдора в BMC с "инженерным паролем" как-то им слишком легко с рук сошло. Теперь все на китайцев, значит, спихнут?
Дырки в IPMI были гораздо проще и эффективнее.
IPMI от supermicro и без дыр по умолчанию, если не подключен ipmi порт в свитч, переключается на первый сетевой интерфейс
> если не подключен ipmi порт в свитч, переключается на первый сетевой интерфейсУ серверов HP начального уровня, сервис процессор не имеет отдельного порта и "шарит" один из встроенных. ;)
Значит надо во второй порт переткнуть?
Хз как этими технологиями пользоваться,хотя программный KVM было бы не плохо иметь.
во-первых - да, переткнуть, а во-вторых, сетевухи от Штеуда лучше вообще выкинуть/отпаять/сжечь лазером.
Особенно беспроводные. Зачем беспроводной сетевке может быть надо мегабайт кода фирмвари? Ну наверное не для реализации беспроводных протоколов - у остальных фирмарь с этим самым раз в 10 компактнее...
Правда, расследование, «длившееся три года», немного смущает в свете последних событий...
каких? А то российские службы уже давно во все колокола звонят, а их приспешниками режима за это называют :)
службы только звонить и могут, они даже не понимают и не хотят понимать, что именно происходит
https://xakep.ru/2011/12/26/58104/
деградация - умом на "парад гелендвагенов" не заработаешь.
Ты ещё петровских времён тугамент отыщи. На волне дырок в проессорах и незаметных аддонов от китайцев даже в утюгах и чайниках пошли усиленные меры на границах. Даже камеры запретили. Не от того, что за коровой следить нельзя, а потому что твою камеру контролируют третьи лица. И сеть через неё организуют и прочая и прочая. И если бы народ хоть капельку демал, то давно бы задумался над ситуацией. Но нет, власти назвать тупыми гораздо легче
Сеть через трекер... У вас в савушкино, или где вы там нынче обитаете, совсем уже плохо?
Может быть люди сами будут решать: давать им доступ к трекеру своей коровы третьим лицам или нет?!
Синдром вахтёра во всей красе.
как это "сами решать"? Не надо им самим ничего решать.
И знать о том, кому именно дают доступ к трекеру - тоже не надо - одна огромная кнопка OK, подразумевающая согласие все о себе сообщать нам (справа внизу есть невидимый пиксель, если ткнуть в который, вы получите уведомление об этом на пятидесяти страницах мелким шрифтом, написанных нечитаемым юридическим языком).
Через чайники можно, а через трекеры нельзя? Хех.Вот тебе конкретный пример из жизни. никаких теорий, голая практика, без никаких страшных неправильных россиянских спецслужб и начальников, потому что живу я не в России. Купили у нас на производство камеры наблюдения китайские, прям с алиэкспресса, меня поставили в известность уже постфактум, камеры поставлены и подключены в сеть. Первое что не понравилось, они данные шлют на свой китайский сервер и единственный способ к ним подключиться - установить приложение в андроид и через qr на камере "зарегистрироваться". Тут же с сетью стали происходить чудеса, трафик на полнуюкатушку, смена правил на роутерах, а потом, когда я посидел, потрекил активность, оказалось, что камеры стучались везде где можно и на роутере изменения проводились тогда, когда подключали хоть одну камеру. При чем когда камеры наводили свой порядок, то через какое-то время они сами переставали работать как камеры вообще. и поток изменялся куда-то в китае, ноуже не на тот сервер, что в начале. Вот такие штуки. Без кровавых медвепутов и смищных трампов.
А вы продолжайте отстаивать свои права засрать страну шпиёнскими устройствами добровольно, от этого каждый такой "правозащитник" становится сразу и умнее и даже чуточку выше над быдлами... Глобальная политика и промышленный шпионаж уже пришли в каждый дом, независимо от того, веришь ты в жучки или нет.
Как это отменяет право человека кушать то, что он предпочитает/ему по карману?! Не умеешь во vlan, ids- смени профессию.Странная забота о гражданине страны, когда даже для записи детей в обыкновенную школьную секцию или кружок эти самые "заботливые" собирают бумажки с гражданина, включая фио, паспортные данные, снилс и образец подписи под разрешением обрабатывать-передавать эти данные по открытым каналам, что у охранников творится на постах с журналами посетителей вообще страшно представить. Откуда у англичан появились бумажки ФМС с анкетами горе-шпионов? Их что мышка приволокла?! Да все госструктуры собирают данные потому что прекрасно знают кому их потом можно продать. И ваша "забота" о трекере коровьего навоза на этом фоне выглядит, как минимум, странно. Но мы же все понимаем рынок персданных - тесный и "службистам" просто не нужны конкуренты и безопасность граждан здесь вовсе не при чём.
То, что в России всё прогнило, меня не удивляет. Но это никак не отменяет факта, что порядок когда-тонадо наводить, как бы смешно, глупо и неправильно зевакам это не выглядело. Страна слесарей Полесовых.
Каким образом к наведению порядка относятся граждане, бдящие за своей буренкой?! Сколько их -хоть 0.001% наберется?!
Может лучше начать с госов, собирающих избыточные персданные, с анкетёров при магазинах, кадровых агентств под видом вакансии, собирающих персданные, с охранников копирущих или записывающих паспорта?! Буквально вчера читал статью в собезе - "более половины руководителей сб не скрывают свой доход от торговли паспортными данными к выборам".
Зайдите на любой сайт рунета, начиная с яндекса и удивитесь зачем им фингерпринт посетителя, зачем мобильник и пр. Да всё там же ответ - ничего личного, только бизнес. И если тот же гугл торгует рекламой, то рунет торгует персданными и конца и края этому не видно.
Ровно такое же, какое имеет любая другая сфера. По ту и по ту сторону баррикад находятся равноправные граждане государства и каждый день каждым своим действием стремятся развалить государство. Обыватели игнорируя закон и пытаясь прикинуться дурачками и исполнительные чиновники делают тоже. Кто из них хуже? От перестановки слагаемых сумма не изменится. Что теперь, вновь как встаре пойти к соседям с поклоном и сказать "правьте нами и владейте, ибо мы безбашенные и сами не можем"? Налетай Китай, русичи поспели.
Это вы сейчас из методички скопипастили или вы действительно так "думаете"?!
Закон "Яровой" что делает?! По сравнению с ним все эти проданные анкеты чепиги детским лепетом покажутся. Это все равно, что перепись стада на волчьей делянке. Дожили- спецслужбы не в состоянии оформить паспорт с произвольной датой выпуска. Все же прекрасно понимают: полный список российских военнослужащих был получен странами нато в тот самый день, когда в минобороны РФ ввели зарплатные банковские карточки. Мало того полный учет учащихся кадетских корпусов и военных училищ на сайтах готовит "отличный" кадровый резерв. Чем больше в коррумпированном государстве собирают данных о своих гражданах, тем больше данных получают иностранные спецслужбы. Отрицать это значит быть совсем поехавшим зрителем первого канала и искренне верить, что кругом враги. Если смотреть на действия родного государства, то все вместе взятые "враги", как вы их именуете, нанесли России вреда меньше чем домашние "ура-патриоты".
Когда человек упород - он упород во всём. Не доволден торговлей паспортными данными но хочешь беспрепятственно покупать технику с вредительскими функциями? Передаются эти данные гражданами страны, работающими в соответствующих заведениях третьим лицам, так?. А для беспроблемной передачи информации нужно что? Нужна безотказная, подконтрольная шпыёнам сеть с выходами в любой точке. Ратуя за своё быдлячье право срать себе на голову ты усугубляешь ситуацию. Страну наводнили все эти жучки. Не только Россию, страть мне на твою Яровую, в моей стране её нет, а жучки есть. Удивительно, правда?
ХЗ, я обычные китайские ip камеры в отдельбную сеть пихаю. Там облачные службы опционально присутствуют, и камеры куплены в России официально, но не доверяю. В принтерах еще закладки и много в чем, везде не подстелишь, не с моим бюджетом, зп и прочим.
> смена правил на роутерахУверен?
Если на роутере бездумно оставить работающей службу upnp, то можно и не такие чудеса выхватить. Кстати, где-то в архивах тут должна найтись пачка новостей с CVE по мотивам UPnP.
Какие умные Петросяны пошли... Нет, небыло никаких upnp оставлено. И админ/адимн небило и 12345 и прочей лабуды. Пролезало через дыры в прошивке, очевидно. Длинковские дыры много раз пролетали в новостях. Да, я (как и абсолютное большинство людей на которых, в довесок к основным, повешена обязанность присматривать сеть, среди всего прочего) И я видел как работают фирмы безопасников. Там лохи почище меня работают, я за ними такое находил...Но даже не в этом дело. Я не должен даже сталкиваться с таким поведением техники купленной на мои деньги. Не упражняться в блокировке надо, а недопускать подобный функционал вообще!
Никакого петросянства, рядовое применение режущего инструмент им. Гильермо Оккама: вероятность события в виде жопорукого админа, совершенно не владеющего ситуацией в вверенной ему области гораздо выше ситуации когда его говноконторку заломают злобные китайсы через троян в камерах.
> смена правил на роутерахОдмин локалхоста первый раз в жизни увидел как работает UPnP?
Проблема таких историй в том, что всё это нафиг никому не упёрлось. Компании пропросту не будут покупать камеры, работающие вовне, а не в корпоративной сети. И такие простые камеры покупаются всякими обычными люди и прочими мелкими фирмами, за которыми нафи никому не упёрлось следить. И вполне возможно, что КНР через такие камеры следит за своими гражданами. Но это вероятней всего не так замудрёно, как это ты описал. Просто камеры работают через серверы компании-производителя. И правительству достаточно получить доступ к этим серверам, без какой-либо необохимости в запутанной схеме.
Да за тобой нашим-то спецслужбам нет нужды следить, а не то,что у китайцев или сша.
Да, не по людски всё это, слишком затянуто. Минут 20 на расследование, максимум.
> Правда, расследование, «длившееся три года», немного смущает в свете последних
> событий...Так это вам не чепыгу раскрыть, тут посложнее будет.
Если дочитать новость до конца, то и расследоваться как бы и нечего...
> Если дочитать новость до конца, то и расследоваться как бы и нечего...Это Вы сейчас про чепыгу?
Если же нет, то задумайтесь - производитель печатных плат разве не мог внедрить чип понезаметнее? Так, чтобы и туннельным микроскопом не найти? Здесь больше похоже на MitM. С другой стороны, это мог быть и закос под MitM для отвода глаз. Если же MitM, то кто? Короче исследовать есть что, особенно если нельзя вспугнуть.
С чепигами же исследовать можно только как они дошли до такого разгильдяйства, чтобы носить в кармане квитанцию на такси от Лубянки. Дальше остается только ходить на задание в буденовке с волочащимся за спиной парашютом.
> С чепигами же исследовать можно только как они дошли до такого разгильдяйстваКто -- те, которые такое пытаются скормить, или те, которые такое ещё и жрут с лопаты? Ну ой, это уже не разгильдяйство, а к психопатологоанатому.
зато у чепиги "анализы в порядке" (монолог А.Райкин)
Настоящая открытая архитектура бэкодра, все на отдельном открытом чипе. Даже не внедряли внутрь кристалов.
Приходите на наши стенды Wiwynn с обзором наших платформ OCP (Open Compute Project).// С ув. дядюшка Ляо
Пролистал по диагонали оригинальную статью не увидел никакой конкретики о том, что конкретно эта железка делает и что могла бы, со своими тремя ногами
https://twitter.com/qrs/status/1047869649113759744
https://twitter.com/qrs/status/1047846156510932992
> со своими тремя ногамиэто ж умный транзистор!
ну это ж блумберг, странно было бы ожидать понимания журналистом технических деталей и траты времени его информаторами на разжевывание.Три ноги вполне достаточно для data in/out/power (ну или in-out,strobe,power), а сильно больше их делать и не стоило, если не хочешь светить лишнюю разводку и лишние микросхемы.
Вообще-то сам чип может быть bga (выводы под чипом), а снаружи видимость транзистора с тремя ногами. Но, имхо, значительно проще чип внедрить под внешние слои печатной платы. Если в этом месте поверх него (снаружи) распаять обычный чип (не bga), то даже на рентгене он в глаза вряд ли бросится.
Спецслужбы нам выдали готовый набор с инструкциям.
так у блумберга и написано, что в более современных версиях они именно между слоями и пихали.
А чем меньше выводов, тем меньше заметно несовпадение с заказанной схемой. Тем более что надо-то по сути один проводник перекрыть с весьма небыстрым протоколом обмена - исполнять подсунутый код потом будут штатные процессоры.но скорее всего на картинке-то банальный транзистор, просто ради демонстрации размеров и вида - вряд ли блумбергу принесли на блюдечке реальную плату.
То, что на картинке, больше похоже на керамическую антенну на диапазон 1 Ггц и выше. И если считать, что в системе появился несанкционированный сетевой интерфейс, не так уж глупо все это звучит.
ну не надо вот так плохо о китайцах - не настолько они е..ты, чтобы фонить микроантеннкой в закрытых помещениях Конторы (любой из). Во-первых, эффективность будет такая, что хорошо если рядом с корпусом удастся уловить что-то - а подойти к нему на близкое расстояние, да еще с хитрой аппаратурой вряд ли так легко и просто. Во-вторых ну появился у тебя сетевой интерфейс - теоретически, да, можно поместить его в такую упаковку - и что? Чтобы что-то через него сливать, нужен софт, хитровзаимодействующий с тем что работает штатно (мы ж из него собрались данные переть, а не серийник платы стыздить, или еще какую муру, легкодоступную для недопроцессоров в bmc) - а вот это туда уже запихнуть сложновато.
А если уже запихнул - то уже и незачем создавать какие-то отдельные палевные интерфейсы - траффик лучше прятать опять же в штатном траффике системы.опять же, если верить блумбергу, именно так эти ребята и поступили - штатно запущенные на такой плате операционки, помимо штатной деятельности коннектились к каким-то внешним хостам, вполне себе через штатные сетевые механизмы.
И отчасти на том и спалились - ну не хватило немножечко у китайцев бабла купить кусочек гитхаба или там гугля, чтобы те соединения потерялись среди неотличимых совершенно легальных с теми же самыми облачными чудо-сервисами. (без которых уже и в nsa наверняка ничего не работает)
> strobeclock что ли? А землю куда?
У кошки четыре ножки -
вход, выход, земля и питание :)
просто строб, зачем такой схеме таймер - она ж сама ничем не управляет, просто сидит в разрыве цепи обмена с памятью bmc или на канале между bmc и шиной, и аккуратно подменяет один паттерн другим, не очень-то даже и большой - годится техника из современных эксплойтов с поиском готовых гаджетов.отдельная земля тут не особо нужна, как и отдельное питание.
чорт, у меня, кажется, готовый проект под сколковское финансирование. (ключ, вроде, нужен меньше чем на 10? Значит, вполне себе нанотехнология. Микросхему закажем, понятно, в китае.)
>data in/out/powerА ground где?
Присмотритесь внимательнее - там 6 ног !
Я бы уверовал в несколько раз сильнее если бы в новости присутствовало фото чипа и схемы, где его нет, например. А пока слабовато как-то.
Ну и самый главный вопрос как защититься, Выпаивать его или заблокировать эти фичи для управления. если бы вопрос действительно стоял, была бы конкретная инва.
Аналогично. У меня бóльшие подозрения вызвала сама статья. Фактической доказательной базы в ней нет, остальное измышления на тему китайских производителей типа того же ZTE. Да и называть Supermicro одним из крупнейших производителей серверного оборудования с доходом в 2.5 миллиарда долларов немного натяжка. Подозреваю, что просто элемент экономической войны с Китаем.
Я просто оставлю это здесь: https://xakep.ru/2011/12/26/58104/
угу. Причем тот деятель так и не признался, с чьими серверами имел дело, следы исчезали где-то в направлении Крафтвэя, клеившего свои шильдики много на что.вполне вероятно, что он успел раньше nsa и fbi, но, увы, было крайне неудачной идеей сдавать свою находку в ФСБ.
> Я просто оставлю это здесь: https://xakep.ru/2011/12/26/58104/Спасибо за ссылку! Получил истинное удовольствие. Шедевриальное графоманство! Я догадывался, что бывает бред сивой кобылы, но чтобы до такой степени!
Например:
"Система, в которой аппаратура виртуализации применялась бы для высокопроизводительных вычислений, не создана до сих пор, а уж в то время я вообще был первопроходцем в этой области."
или
"Применение иностранных криптографических средств с длиной ключа более 40 бит запрещено на территории России законодательно"
эту фигню приносят с завидной регулярностью уже много лет. ну, примерно с момента её официальной публикации. очередной неофит натыкается, у него открываются глаза, и он бежит рассказывать, Как Всё На Самом Деле.
"Применение иностранных криптографических средств с длиной ключа более 40 бит запрещено на территории России законодательно" - это отголосок запрета на экспорт в штатах. ))))
Ну это ж для обмена информацией с госконторами.
Такие руткиты существуют, но определить их тоже можно (что система в виртуалке работает она может определить). Может первые тесты были тогда.
> с $21.40 до $8.65 за акциюНадо брать!
И друзьям предложить, пока цена горячая для выкупа.
Закупился на $5kk
kk - это 10^6 ?
зимбабвийские же, вдруг взлетит
Я уже ищу где можно купить
highly likely
коментарии opennet похоже пишутся в основном людьми, которые сидят дома и складывают свое отношение к миру через ТВ и интернет. поэтому в большинстве их них люди готовы поверить практически любой теории заговора какой бы нереальной она не была
> коментарии opennet похоже [...] готовы поверить практически любой теории заговораДа это прям какая-то теория заговора.
>> коментарии opennet похоже [...] готовы поверить практически любой теории заговора
> Да это прям какая-то теория заговора.Да уж куда ему до Сионских Мудрецов!
Если кодер-фрилансер работает дома, так ему что, и на опеннете не появляться?
Американская поговорка гласит: "обвиняй в том, в чём виноват сам".
Не надо примазывать высказывания Древнего Рима, этой колонии отбросов. (см. Тита Ливия)
А вот и идеологически подкованные историки подтянулись. Шовинизм это у вас, видимо, профессиональное заболевание.
Какое-то неправильное использование слова "шовинизм". Древние Римляне и так всех превосходили.
Разве не очевидно, что он не римский шовинист?
> Разве не очевидно, что он не римский шовинист?38
чип был подключен к цепям BMC-контроллера и имел доступ к системной памяти и сети.звучит не реально для такого мелкого чипа и еще и не заметно
плюс, BMC смотрит в интернет только у полных отморозков.
а вот написать статью чтобы акции по дешевке прикупить - это делать не сложно
А то что Intel ME имеет доступ к стандартной сетевой карте так норм?
Хостеры, продающие дедики как раз IPMI в реальные IP выставляют.
> шестью неназываемыми источниками из госслужб и 17 анонимными источниками из корпораций.чет мало анонимов, попросили бы помощи у анонимов опеннета
> Неофициально высказываются подозрения, что источники
> Bloomberg целенаправленно ввели издание в заблуждение
> с целью организации обвала акций Supermicro.Вот это пока "на ощупь" больше всего и смахивает на правду.
Михаил, я конечно понимаю что у вас американофобия в терминальной стадии, но именно для этого и нужно "импортозамещени", что бы не дядюшка Ляо, ни дядюшка Сэм, не могли продать заказную плату/процессор со своими "изюминками". Вы же сами занимаетесь ПО для эльбрусовского железа, вам бы и не знать...
Как фейковые новости в блймберге связаны с импортозамещением?
Ну очевидно же, используйте своё, а не китайское.
Theranos тоже яростно отрицали доводы в журналистском расследовании. "Мы, да ни за что, да никогда, всё ложь и наветы!". Мы знаем, что было дальше.Ваще, это как-то слишком сложно -- ради неизвестного наверняка падения акций одной компании найти 17 инсайдеров и договориться с ними, чтобы блумбергу говорили одно и то же.
Theranos -- компания, построенная вокруг никогда не существовавшей технологии. Нескольким процентам удаётся создать обещаное, ~90% тихо закрываются, израсходовав средства венчурных инвесторов, а остальные становятся мошенниками и врут об успехах, пока их не поймают. Вполне обычные истории для высокотехнологичных стартапов.Supermicro -- большая устоявшаяся компания, приносящая акционерам миллиардные доходы. Нанять 25 человек, заплатив им как консультантам, обойдётся от сотен тысяч до миллионов. Афера с акциями это вполне окупит. Это если анонимные источники Блумберга реально существуют, а не выдуманы журналистом.
Вышесказанное не помешает Supermicro выпускать платы с бэкдорами. Но в случае обнаружения таких плат было бы тихое расследование и только после серии арестов данные передали бы журналистам. Происходящее сейчас больше похоже на скандал раздутый на пустом месте без доказательств. Мотив сбивания цен на акции выглядит самым правдоподобным.
> найти 17ты их видел этих инсайдеров?
у меня вот есть 123 инсайдера которые говорят, что ты по утрам младенцев ешь.
Ты не Блумберг.
скрипалевщина против китайцев
>После публикации стоимость акций Supermicro снизилась более чем в два раза с $21.40 до $8.65 за акцию.А должен был обвалиться весь рынок, ведь все делают в КНР.
Секретность видимо потому, что АНБ сама юзала. Что странно: если бы был бекдор, причём в серверах корпораций, то кнр бы приложила усилия, чтобы иметь монопольный доступ.
Не исключаю, что бекдор могла встроить сама супермикро под давлением АНБ, но на китайских фабриках. А такой массовый слив "5 источников" потому, что кто-нибудь из другого государства обнаружил и АНБ решила слить, пока её за руку не схватили.
Также не исключаю, что блумберг ломанули с целью зашортить, а текст новости подобран так, чтобы даже если Бл. скажет "ломанули", ей никто не поверит, все подумают на указ от АНБ отрицать.
> Неофициально высказываются подозрения, что источники Bloomberg целенаправленно ввели издание в заблуждения с целью организации обвала акций Supermicro. После публикации стоимость акций Supermicro снизилась более чем в два раза с $21.40 до $8.65 за акцию.Аналитики говорят, что до обвала капитализация была чуть больше ярда, и блум врядли рисковал бы ради такой мелочи.
Блум - это как бы официальный представитель американского режима, они ничем не рискуют.
И а возможно ли антивирусы научить выявлять подобную "химию"?(И еще я слышал, что в свое время в т.ч. и на наши оборонные предприятия попадали такие импортные микросхемы, которые имели и скрытый функционал- искать wi-fi сети, прицепляться к ним и сливать через них кому-то информацию).
нет
Химию лучше не употребляй.
Тянуть желтизну с Bloomberg в 2018?
> Тянуть желтизну с Bloomberg в 2018?В своё время через них всплыли данные о Fuchsia, покупке GitHub, краже пользовательской базы Uber, разных утечек в АНБ. Тогда тоже все удивлялись их бреду, но впоследствии информация подтверждалась. На этот раз либо их очень хитро обвели вокруг пальца, либо Apple с Amazon сговорились. Если дело было бы в подписке о неразглашении, они просто бы отказались от комментариев, как это делается в подобных случаях.
> Если дело было бы в подписке о неразглашении, они просто бы отказались от комментариевненене, дружище. У нас ТОЖЕ есть акции.
хрен с ней, узкоглазой супермикрой, но СВОИ обвалить таким отказом мы не собираемся. Поэтому будем смотреть честными глазами и все отрицать. Но в суд на блумберг, разумеется, ни в коем случае не подадим, пусть узкоглазые подают - им уже все равно терять нечего.
> В своё время через них всплыли данные о Fuchsia, покупке GitHub, краже пользовательской базы Uber, разных утечек в АНБ. Тогда тоже все удивлялись их бреду, но впоследствии информация подтверждалась.АНБ забоится о том, чтобы ее пресс-служба не утрачивала авторитет.
> Apple с Amazon сговорились
Бизнес, ничего личного. Напряженность в отношениях между режимом и крупными компаниями растет. И те, и другие хотят полного и единоличного контроля за данными пользователей.
Нужно опенсорс железо :)
Очень нужно, но вы же понимаете, что это будет еще медленнее, чем open software.
да, канесна, мы удовольствие разместить васа заказ наса освободивсая фабрика.
То-то у опеннетовцев пригорит, когда те же чипы в Librem 5 обнаружатся. Собирать-то все на одних и тех же фабриках одни и те же китайцы будут.
ну ситовы, мы размесять васи заказа на другая, другая фабрика - у нас не одина фабрика, у наса много фабрика.
И чипы у наса тозе многа, мы в васа халосая опензелеза поставим другие, последняя модель специальная любимый покупатель для.
> Нужно опенсорс железо :)Микрософт вам уже сделал же, изучайте матчасть
Но на самом деле - заметьте - гугл начинал с "commodity hardware", а сейчас у него собственное оборудование и подкопоустойчивые датацентры. Может и не зря)
ну гугль-то больше боится саму родную nsa, а не китайцев - он же не хранит государственных секретов, он хранит наши с тобой данные, и если они утекут в китай - какая в том гуглю печаль?А вот если они утекут в родные госструктуры - гугль потеряет шанс их этим самым госструктурам продавать.
шифрование cross-dc траффика оттуда же - никакому китайцу в колодец с гуглевой оптой по тихому не подлезть - и повяжут, и банально не унесет такой объем. А вот у nsa есть и возможность подключаться к кабелю, и свои кабели достаточной толщины, и место, куда все это сложить.
подкУпоустойчивые датацентры?
А-а-а-а-а!!!
Одна сплетня краше другой!!!
...крохотный суперчип размером с рисовое зёрнышко по ночам оживал и ползал по материнской плате, собирая конфиденциальную информацию сотрудников государственных органов, забираясь в ушную раковину и внушая техническому персоналу инструкции, получаемые через квантово запутанные бозоны хиггса напрямую из ГРУ...
Сисадмины гугла, фейсбука и твиттера уже заказали себе футболки с изображением суперчипа и хеш-тегом "#metoo"
>забираясь в ушную раковинуВот это ужас!!! Я хоть и не спецслужащий, но спасибо за информацию.
Получается нужно перед сном вставлять беруши в ухи, одевать противогаз, ложится в ванну и наполнять ее водой, гофрированный гибкий шланг вывести за ванну и набить немного ватой, чтобы этот ползающий суперчип наверняка запутался в ней.
и укрываться фольгой - от пситронов
> Получается нужно перед сном вставлять беруши в ухи...Ну или воспользоваться народным средством - лапша на уши. Только осторожно, сейчас много продается рисовой лапши, сами понимаете она против рисового зернышка не поможет.
>>забираясь в ушную раковину
> Вот это ужас!!! Я хоть и не спецслужащий, но спасибо за информацию.
> Получается нужно перед сном вставлять беруши в ухи, одевать противогаз, ложится в ванну и наполнять ее водой,Зачем ванная? Ножки кровати "обуваем" в банки, банки заливаем водой.
Но клопы, сцуко, умеют еще и по стеночке на потолок, а с потолка - на спящего.
>Зачем ванная? Ножки кровати "обуваем" в банки, банки заливаем водой.Спасибо за идею, в таком случае я еще и ножки ванной обую банками с водой.
Редкий случай, когда каменты на опеннете радуют :)
Торговая война между США и КНР в разгаре. То ли еще будет...
а мы можем блоху подковать и отправить по серверам ползать зато
По сырам и иной пищевой продукции уже поползали. Думаю та гусеничная блоха и по серверам прекрасно сможет ползать.
ты не путай, где вероятный противник, а где невероятный. А то товарищ майор возьмет тебя на карандаш, как политически близорукого.
Гусеницами давить будем проклятые сиськи, деллы и может быть даже супермикры невероятного противника. (отличная идея для новых очень-полезных-нашей-экономике сранкций).Да здравствуют сервера х...э...оченьплохойдороги, произведенные противником вероятным. Ну и импортозаместимся, конечно, по полной - жаль что виденные мной эльбрусы были собраны в тайване и, за вычетом двух огромных тараканов - из тайваньских же ширпотребных деталей.
если что, х...оченьплохая дорога на круг получается всего раза в полтора дороже цискиных, после того как циска падает на -80% от исходной цены (плохая дорога так не умеет)
> жаль что виденные мной эльбрусы были собраны в тайване и, за вычетом двух огромных
> тараканов - из тайваньских же ширпотребных деталей.Вы опять что-то не то курнули -- платы они собирают и набивают здесь, BoM тоже по возможности нашенский (да, не полностью -- те же PHY марвеловские).
вообще-то у меня ровно наоборот вышло - подкованная блоха и ползать тоже не могла.как оно там - "нихерна не видно, нахрен не надо, и работавшая до того вещь работать перестала".
Но я с удовольствием поеду в Сколково - у меня тут в тульской деревне последние двести лет ловить совершенно нечего, блохи и те со скуки попередохли.
> а мы можем блоху подковать и отправить по серверам ползать затоПодкованную нельзя - закоротит чё-нить.
Ну разве только если подковы из нанотехнологичного пластика...
>и нескольких исполнителей госконтрактов.Автор темы, у вас есть названия этих исполнителей госконтрактов? Хотелось бы знать на кого смотреть странно.
Ну, справедливости ради:
https://aws.amazon.com/blogs/security/setting-the-record-str.../
ну и чего? Единственную _проверяемую_ информацию - что китайский амазон продан с потрохами правильной китайской компании - подтвердили "и не продали, а подарили", ага, ага.остальное, понятно, будут отрицать до посинения - зачем им отток дорогущих (учитывая для кого были те elementalовские сервера) клиентов и потери цены акций. Видимо, очень уверены, что никто из информаторов блумберга не рискнет выступить в открытую.
Зачем? Если неустановленная организация действительно такое делает, то рентабельнее ставить эти чипы и в другие платы, а не только в платы одного производителя: дезайн и выпуск чипов стоит денег. Сейчас многие начнут проверять свои серверные платы, а некоторые - даже десктопные, телефонные и ноутбучные, и если что-то найдут, то затронутым организациям непоздоровится вдвойне: и за уязвимость, и за ложь. И возможно что найдут, вангую что в будущем такие вещи будут действительно не навесом, а вместо настоящих пассивных компонентов, а работать будут методом глитчинга, так можно обойти проверку ЭЦП в софте и железе и возможно ломануть даже SGX.
пойми, когда задействуется военная разведка - на рентабельность всем начхать, даже если каждый из этих чипов стоит миллиард - китайские рабы просто съедят сегодня и завтра не две пайки риса, а половину одной, и выйдут на работу не только в четвертую смену, но и в пятую.и да, спалившись - рискуешь что полезут проверять буквально всё и все, и какая-нибудь шибкоглазастая скотина, жирующая в штатах на денежки, не доставшиеся бедным китайцам и латиносам, таки от безделья - найдет.
Поэтому очень правильный ход - запихать те чипы во что-то такое, чего пойти и купить в магазине - не получится - и стоит п-ц дорого, и продается партиями от тысячи штук, и эту партию надо предзаказывать за пол-года.
Но еще вот остается шанс, что китайцы думали как-то иначе, как-то не так проинтуичили поведение белых демонов и, действительно, где-нибудь сейчас что-нибудь интересненькое найдут.
>пойми, когда задействуется военная разведка - на рентабельность всем начхатьНет не начхать. Чип всё равно бы рано или поздно нашли. С одинаковыми последствиями для промышленности КНР. Поэтому тут важно использовать каждый чип по максимуму и поставить внедрение этих закладок на поток. Пока 1 найдут, 5 других выпустят и встроят во всю и вся.
ну вот нашли и даже раззвонили - и где последствия? Хотя бы даже для промышленности отдельно взятой супермикры (мы же не про спекуляции акциями,а про промышленность?) не говоря уже о китайских фабричонках, выполнявших их заказы помимо мильена прочих?
Хоть кто-то отменил заказ (кроме не играющих существенной роли в их доходах аплозонов, которые это сделали давно)? Все верят, что уж в ширпотребных-то серверах такой фигни не будет ;-)и,наверное, правильно верят. Зачем китайцам топить супермикру, она им еще послужит, еще попродает сервера с начинкой кому-то небрезгливому. Но - избирательно. Тогда есть шанс что либо не найдут, либо опять найдут но с опозданием и без последствий.
а жаль - банкротство принесло бы куда больше пользы.
> внедрённого для организации утечки госсекретов и коммерческой тайнысильное завяление
Что, если статья Блумберг, или ее опровержения со стороны Amazon/SuperMicro это свидетельства канарейки. У SMC достаточно странные формулировки, вроде "мы никогда не сообщали нашим клиентам о вредоносных чипах".
это просто гуглотранслейт, которым пользуется пресонал smc, не освоивший языков отличных от mandarin (точнее, освоивший, но по гуглтранслейту же) так странно переводит.
Не зря сравнили с рисовым зёрнышком... Видать его они и нашли, забытое каким нибудь китайцем, обедавшим роллами, в момент сборки платы...
похоже на очередную скрипалевщину
Кругом враги! Пора уже населению западных стран понять, что кругом враги, и единственный путь к спасению — отмена свободы слова (все равно ей пользуются только агенты кремля) и выезд из стран каплагеря строго по визам.
> и выезд из стран каплагеря строго по визам.и выезд, и въезд. Даже в соседнюю капиталистическую - в эсесерии так же делали, и врагов почти не было, в день не больше одного шлепали.
Я бы им еще советовал сперва паспорта обратно ввести,а потом отобрать. Чтоб в соседнюю деревню без мандата от председателя колхоза ни-ни! А то понапривозят потом вредной всякой пропаганды, и сами же за это пострадают.
> Кругом враги! Пора уже населению западных стран понять, что кругом враги, и единственный путь к спасению — отмена свободы слова (все равно ей пользуются только агенты кремля) и выезд из стран каплагеря строго по визам.Что с успехом претворяется в жизнь у нас в России вашим кремлёвским кормчим и ко.
На изображениях из статьи Bloomberg за таинственный "чип" выдаётся что-то очень похожее на обыкновенный балунhttps://hsto.org/getpro/habr/comment_images/3ac/1a4/ba5/3ac1...
Сам по себе он вмешиваться в трафик никак не может. А если там ещё сопутствующая обвязка, то почему Блумберг ни слова про это не говорит?
https://gist.github.com/KOLANICH/2d27d297c7f645428dc363d2f21... - список компаний, в устройствах которых были обнаружены проблемы безопасности, похожие на бекдоры.
Молодец.
похоже кто-то не кисло поднялся на продаже акций
По мне так совершенно очевидно почему Supermicro сделало закладку в виде отдельного чипа. Косвенно это подверждает тот факт что Apple и ряд других компаний публично не признало факт закладки.
типа, аккуратно выпаяли и заменили своим? А им оно,простите, зачем, если эти железки и так стоят в amazon cloud или в серверных огрызка? Они ни разу не ширпотребные.на самом деле я изумляюсь глупости здешнего школоло - одно дело врезаться в понятную и простую последовательную шину данных (у нас давно уже только такие и на eprom, и на связь bmc с мостом) мелким чипиком, другое - полностью воспроизводить сложную схему со своими добавками и ее при этом не сломать, не наделать глюков, при том что схема не твоя, а что там будет в следующей версии прошивки для нее ты и тем более не знаешь.
> типа, аккуратно выпаяли и заменили своим? А им оно,простите, зачем, если эти
> железки и так стоят в amazon cloud или в серверных огрызка?
> Они ни разу не ширпотребные.Нет, его можно аккуратно убрать не нарушая остальной функиональности. Supermicro отлично понимает, что если это вскроется, то весь бизнес, который с таким трудом строили десятки лет, труд тысяч людей, пойдёт прахом.
Как в данном случае можно выполнить требование властей и хоть как-то сохранить отношения с клиентом, сохранив деньги клиента и не потеряв самому? Помоему это единственное решение.
> Нет, его можно аккуратно убрать не нарушая остальной функиональности.хм, играть в игры против китайского _государства_? Я не думаю, что топтопы супермикры такие смелые.
Оно, учти, не "новичком" травит никому не нужного раскрытого двойного агента, перепутав мусорку с ящиком для бомжей, там все гораздо меньше прогнило.
> Как в данном случае можно выполнить требование властей и хоть как-то сохранить отношения с
> клиентом, сохранив деньги клиента и не потеряв самому?самим стучать в АНБ и ФБР, воспользовавшись программой защиты свидетелей - по крайней мере, за тобой будут стоять тоже государственные структуры. Ну или сделать вид что ты ни о чем не подозревал, а акции потихонечку продавать до момента, когда выйдет статья в блумберге. Так, по крайней мере, останешься цел - и хрен уже с ним, с бизнесом и тем более деньгами клиента. Зато печень живьем из тебя не вырежут. И учти - "всякий там гумманизм - это у вас там, на западе изобрели".
> Оно, учти, не "новичком" травит никому не нужного раскрытого двойного агента,
> перепутав мусорку с ящиком для бомжей, там все гораздо меньше прогнило....чем в "государстве" британском, где на фоне брыкзита уже какой только идиотии не несут, приплясывая?..
> И учти - "всякий там гумманизм - это у вас там, на западе изобрели".
Да уж, да уж. "Джентльмен к западу от Суэца не отвечает за то, что сделал джентьмен к востоку от Суэца" было ещё милой идиллией по сравнению с тем антропоядным "гуманизмом", который там изобрели с тех пор.
// продолжаем на сказки отвечать былинами, ага
Помнится, совсем недавно журнализды первого aнaлa крутились возле секретной британской части, куда их, естественно, не пустили. А потом первый aнaл показал в своём эфире репортаж о "фабрике троллей" в якобы этой самой секретной части, типа журнализды разговаривали с сотрудниками части за её пределами. Хотя понятно же, что за такое могут и посадить, и сотрудники попросту не будут говорить с журналидами. Это всем понятно. Но ура-поцреоты с радостью такое хавают.
> хм, играть в игры против китайского _государства_? Я не думаю, что топтопы
> супермикры такие смелые.Китайское государство - это не монолит обладающий единой волей и целью. Там есть интересы военно-политические и экономические. И они уравновешивают и противоречат друг другу. И потеря позиции одного из крупнейших производителей компьютерной техники это против экономических интересов Китая.
Факт в том, что экономический блок государства оказался намного эффективней и успешней военно-политического. Поэтому "там не всё так однозначно..."> самим стучать в АНБ и ФБР, воспользовавшись программой защиты свидетелей - по
> крайней мере, за тобой будут стоять тоже государственные структуры.А зачем? АНБ и ФБР деньги им не заплатят, в отличие от клиентов...
---
pwnie for most over-hyped bugAwarded to the researcher/team who discovered a bug resulting in the most hype on the Internets and in the traditional media. Extra points for bugs that turn out to be impossible to exploit in practice.
Super Micro - The big hack
Credit: Jordan Robertson and Michael Riley of BloombergChina hacked all our computers by implanting a tiny chip on Super Micro’s motherboards.
A top secret probe revealed that this chip, the size of a grain of rice, could allow attackers to create a backdoor into any network that contained one of the altered machines.
The story had every buzzword that make any CISO want to retire: supply chain interdiction, state sponsored, China, Snowden. It was said to affect major banks, government contractors, and even the company they all aspire to be, Apple. This was definitely the computer security story of the year, maybe the decade, except for one small detail.
It seems it was all bullshit.
--- https://pwnies.com/winners/
