向右滑动:上一篇 向左滑动:下一篇 我知道了
广告

彭博称发现中国硬件植入美国服务器新证据

时间:2018-10-10 作者:EETimes China 阅读:
《彭博商业周刊》上周四的一则中国植入间谍芯片的报道,引起苹果、亚马逊和超威(Super Micro)严厉反驳,业内人士也纷纷从技术角度打脸。然而面对舆论压力,《彭博社》依然坚持他们判断,昨晚他们称发现了“中国篡改发往美国的关键科技零组件的新证据”……

 《彭博商业周刊》上周四的一则间谍芯片报道,牵动中美硬件股大跌,然后随后涉事的苹果、亚马逊和超威(Super Micro)纷纷发表声明厉声驳斥,不少业内专家也从技术角度分析这是天方夜谭。然而面对舆论压力,《彭博社》依然坚持他们判断。oSfEETC-电子工程专辑

这回是报料人实名举证

美国东部时间10月9日中午11时,彭博社再度发表报道指,美国一家电信的网络中,发现被黑的超威(Super Micro)硬件。有别于上周报导大量引述不具名消息人士,这次具名的消息来源增添了该报导的可信度,Super Micro股价即再暴跌两成。oSfEETC-电子工程专辑

20181010-spy-chip-bloomberg.PNGoSfEETC-电子工程专辑

彭博引述美国某家大型电信公司工作的一位安全专家透露,今年8月他应一家电信公司客户的要求,检测来自 Super Micro 服务器的异常通信,并在检测过程中,发现以太网连接器中植入的异常组件并将其移除。但基于保密协议,Appleboum 无法泄露此客户名。oSfEETC-电子工程专辑

彭博称这是“中国篡改发往美国的关键科技零组件的新证据” ,表示中国黑客继续不断地透过关键的技术组件骇入美企,以及美国政府部门。oSfEETC-电子工程专辑

这位名为Yossi Appleboum的安全专家提供了文件、分析和相关发现的其他证据,详细说明了中国情报官员如何在2013到2015年两年里要求Super Micro在其生产的服务器主板中放置恶意芯片。在这些主板被提供给美国政府和公司之后,可以向中国偷偷传输信息。oSfEETC-电子工程专辑

Appleboum还称不仅Super Micro,在其他供应商的计算机硬件上也看到类似的纂改,这些硬件都是中国承包商生产的。“Super Micro是受害者,其他美国企业也是如此,”他说。oSfEETC-电子工程专辑

“这是中国供应链的问题”

Appleboum 分析,这家美国电信公司的服务器在中国制造工厂被窜改,美国情报局判断是在中国广州的 Super Micro 分包商处制造,距离有中国“硬件硅谷”之称的深圳很近,腾讯和华为等中国科技巨头总部也在这。据了解,该电信公司设有大量的 Super Micro 服务器,技术人员无法完全找出哪种数据正通过受感染的服务器传输。目前还不知道 FBI 是否接收到该客户的通报。oSfEETC-电子工程专辑

Appleboum 曾在以色列国防部技术部门工作,现任美国马里兰州盖瑟斯堡 Sepio Systems 首席执行官,他的公司专注于硬件安全、并受雇用侦查检测美国电信公司的几个大型数据中心。Sepio Systems的董事会成员包括以色列国防机构以色列摩萨德的前任主席Tamir Pardo,其顾问委员会包括美国中央情报局前首席信息安全官Robert Bigman。oSfEETC-电子工程专辑

20181010-spy-chip-2.jpgoSfEETC-电子工程专辑

Sepio Systems 受雇于侦查检测美国电信公司的几个大型数据中心。(图:Sepio Systems 官网)oSfEETC-电子工程专辑

Appleboum表示,他担心的是,在中国供应链中有无数个节点可以让操纵者介入篡改,防不胜防。“这是中国供应链的问题,”他说。oSfEETC-电子工程专辑

硬件植入是非常高端的间谍技术

彭博社报道中表示,“间谍硬件的嵌入非常难检测出来,这就是美国情报机构投入数十亿美元进行破坏式检查的原因。据美国前中央情报局员工爱德华·斯诺登(Edward Snowden)透露,众所周知,美国拥有世界一流的间谍技术,可以根据需要向外国出口的设备中植入间谍设施。但中国似乎正利用对全球电子产品制造供应链的控制,积极发展自己的间谍技术。”oSfEETC-电子工程专辑

据悉,还有另外三名安全专家分析了美国国防部提供的“外国硬件植入物”,证实了Sepio软件检测植入间谍芯片的方式是合理的。他们认为,识别可疑硬件的几种方法之一是查看最低级别的网络流量。这些不仅包括正常的网络传输,还包括模拟信号——例如功耗,它可以指示是否存在隐藏的硬件。oSfEETC-电子工程专辑

就这家电信公司而言,Sepio的技术检测到被篡改的Super Micro服务器实际上作为两个设备出现在网络中。合法服务器正在以一种方式进行通信,“另一台”则用另一种方式,但所有流量似乎都来自同一个可信服务器,这使得它可以通过安全防火墙。oSfEETC-电子工程专辑

Appleboum表示,硬件植入的一个关键标志是,其操纵的以太网连接器有金属侧面而不是通常的塑料侧面。金属是内部隐藏芯片散热所必需的,这就像一台迷你电脑。 “该模块看起来非常人畜无害、高质量和'原创',但它被植入进来,并成为了供应链攻击的一部分,”他说。oSfEETC-电子工程专辑

硬件植入的目标是在敏感网络中建立一个隐蔽的临时区域,这就是Appleboum和他的团队在这种情况下得出的结论。他们认为这是一个严重的安全漏洞,同时还在网络上检测到多个流氓电子组件,并在8月向客户的安全团队发出警报,然后将其移除进行分析。一旦识别出植入物并移除了服务器,Sepio的团队就无法对芯片进行进一步的分析。oSfEETC-电子工程专辑

来自硬件植入物的威胁“非常真实”,2016年时任国家情报局局长办公室首席网络官的Sean Kanuck说。他现在是华盛顿国际战略研究所未来冲突和网络安全主管。硬件植入可以为攻击者提供软件所没有的能力。oSfEETC-电子工程专辑

“忽视这一隐忧,就是忽视了一个潜在的严重问题,” Kanuck说, “有能力的网络设备制造参与者,就像中国的情报和安全服务部门一样,可以在多个点上访问IT供应链,从而造成先行和持久性的破坏。”oSfEETC-电子工程专辑

任何成功的硬件攻击,关键之一就是让那些组件拥有充足电源,这对于主板走线来说是一个艰巨的挑战。这就是为什么像键盘和鼠标这样的外围设备也是情报机构长期以来监控的目标,Appleboum说。oSfEETC-电子工程专辑

各方回应

美国的四大电信公司对此报导响应如下:AT&T 发言人 Fletcher Cook 提到,这些服务器设备不属于我们的网络,我们不会受到影响。Verizon 亦回应未受影响的声明,而 T-Mobile 和 Sprint 截稿前尚未做出任何评论。oSfEETC-电子工程专辑

Super Micro则发表声明:“客户的安全和产品的完整性是业务和公司价值观的核心。重视在整个制造过程中确保产品的完整性,供应链安全性是我们行业讨论的重要话题。我们仍然不知道存在任何未经授权的组件,且未有任何客户通知发现此类组件。遗憾的是, 彭博只向我们提供了有限的信息,没有文件,且只给半天时间来响应这些新的指控。”oSfEETC-电子工程专辑

Super Micro股价在上周四暴跌4成后,虽然周一反弹19%,但彭博报道一出,股价即暴跌27.2%。oSfEETC-电子工程专辑

20181010-spy-chip-1.jpgoSfEETC-电子工程专辑

 oSfEETC-电子工程专辑

qrcode_EETCwechat_120.jpgoSfEETC-电子工程专辑

关注最前沿的电子设计资讯,请关注“电子工程专辑微信公众号”oSfEETC-电子工程专辑

本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
EETimes China
EETimes China 综合报道专栏。
您可能感兴趣的文章
  • 从ST和NXP的策略动向看国内MCU厂商的市场机会 ST专注增长最快的工业自动化和智能制造应用,NXP在聚焦汽车高端市场的同时开始开发“跨界”微处理器。在工业、汽车市场,国内MCU厂商还有哪些机会?为什么说AIoT是国内MCU的大机遇?另附30家国内MCU厂商清单。
  • 六大技术支柱, 英特尔开启多元化计算时代的一把秘钥 只用了不到半年的时间,Agilex FPGA就成为“六大技术支柱”落地的最佳载体,英特尔强大的系统研发和整合能力可见一斑。
  • 新型双条件玻璃破碎检测方案 玻璃破碎检测方案已经发展一定年头,主要用来检测家庭住宅或商业楼宇门窗玻璃的破损情况。此类方案也可归类为一种监控设备,用以提高家庭或商业环境的安全性,避免非法进入。贝能国际以此需求为牵引,开发出全新双条件玻璃破碎检测方案,同时检测敲击玻璃时发出的低频声音、玻璃破碎时发出的高频声音以及玻璃破碎时带来的压力变化,一举解决市面上现有方案的缺陷。
  • 低功耗和高性能计算+高速闪存+多协议无线网络是构成AI 2019 IoT技术论坛的设计亮点:智能音箱、TWS真无线耳机和智能门锁等应用引领AIoT潮流;低功耗和高性能计算、高速闪存、多协议无线网络支持是IoT智能硬件设计的三大要素。
  • AI是如何听懂声音大幅延长设备的正常运行时间? 任何深谙设备维护必要性的人都知道,设备发出的声音和振动有多重要。通过声音和振动进行适当的设备健康监测,可以将维护成本降低一半,使用寿命延长一倍。实现实时声学数据和分析是另一种重要的基于状态的系统监测 (CbM) 方法。本文讨论了声音或振动特性的是如何被设计出来的、如何从这些特性了解其代表的意义,以及在持续学习中如何不断改变和改进 OtoSense,用于执行愈加复杂的诊断,且结果更为精准。
  • 如何在3美元的WiFi设备上安装安全的嵌入式Web服务器 1美元即可买到ESP8266芯片,但我建议使用带USB接口的线路板。更新固件需要USB接口。如果没有搭载USB接口,则需要额外的步骤,比如使用USB-TTL转换器。一个带USB接口的ESP8266线路板只需3美元即可买到。嵌入式开发可能既困难又昂贵,但本文展示如何在30分钟内,在一种成本超低的设备上安装好安全的嵌入式Web服务器,以便在WiFi芯片上运行FreeRTOS和lwIP TCP/IP堆栈。同时将解释如何在ESP8266上编译和运行Minnow Server。 Minitow服务器和参考示例在GitHub上可以找到。
相关推荐
    广告
    近期热点
    广告
    广告
    广告
    可能感兴趣的话题
    广告