Информационная безопасность
Комментарии 168
+82
Т.е. некий эксперт, заинтересованный в повальной проверке поскольку эти зарабатывает, сообщил: что в не названном количестве серверов, на не названной площадке, у не названного клиента, был найден чип не определенного назначения вероятно установленный на производстве, и все это происходило не скажу когда. Да и чип совсем другой, но не важно.

Доказательства огонь.
+2

Ну если он врёт — то Supermicro может подать на него в суд. А вообще не первая история с закладками у китайцев.

+2
История с закладками не первая и не последняя, и не только и даже не столько у Китайцев.

Одно дело, у нескольких серверов предназначенных для использования, ну например у боинга, нашли аппаратные закладки в сетевых разъемах. Это шпионаж в чистом виде и попасть такие закладки могут в продукцию любого вендора, включая чайники, поскольку защита от гос.шпионажа не является задачей производителя и мер против нее у него нет.

Другое дело когда в массовом продукте исполняются аппаратные модули не санкционированного сбора данных поставляемые всем без разбора и в огромных количествах.

+5

В ноутах Леново был шпионский софт в BIOS, поставлялся всем без разбору.

0
Вернее там всякие LoJack/Computrace были, которые вроде как отключались из БИОСа навсегда, а на деле — нет
0
ЕМНИП, там был не настоящий Computrace, а именно какой-то их собственный дроппер, который работал по аналогичной схеме (копировался из BIOS в системную папку), но вместо агента отслеживания устанавливал всяческие непотребства типа «системного оптимизатора».
0
А, точно, это я про T500 вспомнил, а уже потом вылез SailFish (или как его там, с сертификатом своим корневым)
0
то Supermicro может подать на него в суд.
уже не может. Стоки упали и их убрали с бирж. Их оборудование сейчас будут спешно выкидывать из серверных (а это был один из крупных third party vendors, недорогой но приличный)
В принципе им конец.
0
Присмотритесь — там есть маленькая приписочка насчет источника данных о ценах акций: Other OTC

OTC = over the counter, внебиржевые сделки (дословно «торговля из под прилавка»).

Правда с биржи их выперли несколько раньше, чем текущий скандал начался.
0
Nasdaq их исключил из листинга еще в августе по другим причинам.
-2
Кроме стоимости акций есть такое понятие, как деловая репутация.
Но что-то мне подсказывает, что в оригинале выбраны «правильные» формулировки, с помощью которых можно отмазаться в суде. Также, как в нашей стране принято говорить «по моему мнению», прежде чем поливать человека грязью.

И да, ну предвыборная гонка же в разгаре. Эпплбаум сам признается, что такие чипы уже встречал. Просто нужно поднять истерию, т.к. Россию называть «врагом номер один» уже смешно (мы, на мой взгляд, сейчас Польшу 1939-го напоминаем). Нужен враг (против которого дружить), который хотя бы неделю в реальной войне продержаться сможет. Китай — самое оно.
+2
Возможно, журналисты Bloomberg решили на этот раз не называть пострадавшую компанию, потому что в прошлый раз все якобы пострадавшие стали отнекиваться. :)
+9

В коннекторах Ethernet самостоятельный чип, такой же как внедряла АНБ — «старый знакомый»…
И надо же такое совпадение, как раз в разгар торговой войны США с Китаем.
Да, бывает же.

-1
Прям как со Скрипалями, сначала «капелька БОВ» (рисовое зернышко), потом обильно смазанная дверная ручка (Ethernet разъем с чипом внутри)… Вангую следующим шагом марлезонского балета будет нахождение шпиона в BMC.
BTW Собрав не один десяток серверов/платформ (Intel/Asus/HP/IBM/SuperMicro) не могу припомнить ни одного сетьевого разъема не в металле.
0
Так и доказательства из серии хайлилайки, пусть уже сразу такие экзперды шапочку из фольги напяливают, из титана, а то с геостационара неизвестно чем его облучают.
0
Вот когда на первом канале устроят ток-шоу с участием всей четверки — Брширова, Петрова, Чепиги и Мишуткина, тогда посмеемся над британцами вместе. А пока их highly likely подкрепленные фотографиями любителей шпилей выглядят убедительнее заявлений «Это не мы» не подкрепленные ничем. Ну и история с устранением Яндарбиева явно не идёт на пользу.
0
Первое: Где Скрипали? Где граждане РФ, ведь от гражданства они не отказывались?
Второе: Чтоже вы Литвиненко и Березовского забыли?
Третье: Если это было боевое отравляющее вещество то почему остались в живых домашние питомцы?
0
Вооот.
А Вы разбирали их? Или хотя бы мультиметром проверяли отсутствие чего-либо в них, кроме трансформатора? :)

На самом деле такая реализация выглядит странно, если администратор хотя бы одной из поражённых компаний хоть иногда следит за DHCP-лизами и устройствами в физической сети
0
Если за DHCP-лизами следит сам чип, то админу за ними следить бесполезно. И устройство, скорее всего, будет тем же самым. Единственный вариант — делать whitelist исходящих адресов, и под микроскопом изучать идущий не туда трафик.
0
А тот что идёт туда но тоже от троянца изучать не нужно? Трафик от троянца может быть замаскирован легальным трафиком. Врятли выловишь килобайтный трафик из потока в 10G который генерируется троянцем на тот же CDN куда идёт основной трафик. Это уже как-то надо соединять программный контроль что было отправлено в контроллер и аппаратный что было физически передано по линии. Задача эта нетривиальна…
+2
Количество нетривиальных телодвижений при таком раскладе чтобы получить десятки килобайт (кстати а как вычленить нужную инфу среди гигабайт генерируемой информации в компе?)
Может проще по старинке, с помощью социальной инженерии, по заветам Кевина Митника? Дешевле, и жертва сама принесет нужную инфу в клювике?
0
Банально — по сигнатурам. Социнженерия не везде работает и фигово масштабируется.
0
Банально по сигнатурам — это как? Типа сканируем поток на наличие последовательностей «TOP SECRET»? А если это будет текст на языке апачей?
А социнженерия работает всегда, поскольку нацелена на самое слабое звено — человека.
0
А почему нет? Если будет на другом языке, значит и сигнатура такая же нужна. В конце концов, если система под управлением троянца мы можем любую ПН загрузить и осуществить наиболее актуальный анализ на необходимые нам данные. Целью так же может быть вовсе не кража данных, а наоборот — подлог или вывод системы из строя по сигналу.
-1
Эээ… А нахрена их разбирать? Я конечно понимаю что даже у параноиков бывают враги, но наверное надо быть скромнее в собственной самооценке?! И шлюз между локалкой и интернетом нормальный админ поднять не сможет? И кстати белый лист и сниффер трафика как инструмент админа-параноика никуда не делся. И фильтрацию Dhcp по MAC не настроить?
+1
А где, скажем, брать данные для белого списка? И кто его будет актуализировать? Изучать логи сниффера? Это всё дополнительные расходы, которые могут превысить ущерб от взлома.
И кстати как быть когда нелегальный трафик идёт на один общий CDN с легальным? Блокировка адресов… только легальному трафику проблемы создашь. MAC-адрес вероятней всего будет тем же что у обычного сетевого интерфеса, это же явное палево.
0
На то и админ в мыле, чтоб медный таз не требовался. Ну и допомогой ему параноики из службы безопасности.
Любая защита информации должна быть нацелена на то, что время её взлома должно быть таким чтобы она утеряла актуальность.
0
Тоесть, админа в мыло, а троянский трафик преспокойно себе ходит через доверенное соединение банк-клиента… Нет, в наше время решительно невозможно гарантировать отсутствие каналов утечек. Нет способа контроля хотябы за одним соединением, нет спецификаций на протоколы хотябы одного приложения и всё — никаких гарантий вообще в принципе быть не может.
Инцендент годовой давности. Тот самый нашумевший троянец который поразил огромное количество систем, и как он проник на машины? Через доверенное легальное обновление одной из программ. Причем, обновление с троянцем было за месяц или два до того как он сработал — даже если и были какие-то песочницы и карантинные зоны, они не помогли. Или предлагаете все обновления держать в карантине год? или может для надёжности лучше два?
+5
Что еще интереснее: вся эта история очень уж удачно начала развиваться во время активной фазы торговой войны с Китаем.

Хотя я практически уверен, что китайцы действительно добавляют закладки в свою продукцию, конкретно эта история выглядит очень странно.
+2
Это как раз понятно — до этого прятали под ковром (история с 15ого года, между прочим), а когда публике стало интересно и появился спрос и можно прогреметь — сумели вытащить. Публике (и законодателям) далеко не все и всегда интересно, новости это бизнес. Ледяной коктель жарким летом на ура. Лето настало.

Опять же у рассказчика истории возможно истекла NDA — они как раз на два три года. То есть стало можно и без особого риска.

Такие новости нельзя публиковать сразу. Одно дело два три года назад, когда как то пофиксили, другое дело по горячему — рынок обвалится.

А то что китайцы то внедряли — и сомнений нет, было бы глупо если б не делали.
+10
Главное чтобы потом не оказалось, что под доказательством понимали экранированный Ethernet порт со встроенной гальванической развязкой. Нуачо, «микросхема» же!

Почему-то напомнило судилище SCO над Linux и заимствования вида for (int i = 0 …)
0
В нарушение принципа Ad hominem покритикую авторов статей о китайских шпионских чипах. Оказывается, в 2014 году Джордан Робертсон (Jordan Robertson) и Майкл Райли (Michael Riley) опубликовали статью о произошедшем в 2008 году взрыве на нефтепроводе в Турции, который, по их мнению, был делом рук российских хакеров:
Mysterious ’08 Turkey Pipeline Blast Opened New Cyberwar — Bloomberg

В параллельной теме я выложил пару ссылок на мнения специалистов об этой статье.
0
/тэг сарказм
Ну это же уважаемый эксперт, это не какие-то там, которые рассказывают про шпионские wifi чипы в утюгах и чайниках…
0
Полностью согласен. Бред чистой воды. И внедрить мог кто угодно, ни суда не следствия — но во всем виноваты Китайцы. Это же «очевидно».
+2
Может перестать покупать и заказывать технику в Китае и начать её делать самому?
+5
Так в тексте и написано, что ФБР само изготавливает и устанавливает бекдоры на нужные сервера. Думаю им не сложно будет внедрится в цепочку поставки и модифицировать железо.
+7
А может этот специалист «свои» а не китайские бэкдоры нашёл?
0
Именно. Может он какой-то трафик от американского ipmi увидел?
-2
Может перестать покупать и заказывать технику в Китае и начать её делать самому?


С одной стороны возврат производства в Штаты — это один из пунктов на которых выиграл выборы президент Трамп, нынешний президент США.

Но в реальности это трудно реализуемо.

Например, вернуть производство iPhone в США.
На одном только заводе работает больше людей чем может предоставить рабочих рук большинство городов США.
+5
Пока работает… Foxconn несколько лет назад имел более миллиона работников. Сейчас хорошо если половина осталась. Ежемесячно увольняется тысячи работников. Роботы рулят, сэр. Сейчас все упирается в то, как бысто производитель роботов сможет поставить нужное их количество. За последние несколько лет роботы ОЧЕНЬ сильно поумнели. И подешивели. Настолько, что Форду сейчас все равно, строить новый завод в Мексике и запускать на сборку мексиканцев, или в США и запускать на сборку роботов.
Так что количество рук на конвеерной сборке сейчас никак не зависит от населения страны.
+1
В свое время Джобс, объясняя Обаме, почему айфоны делают в Китае, утверждал, что в США нет столько инженеров, сколько их нужно на производстве микроэлектроники.
0
Самое интересное то, что инженеры как раз сидят в США — именно поэтому и написано на корпусе «Designed in California», а в Китае только производство и сборка.
+1
пару недель назад была статья про то как тесла не справилась с роботами и наняла овер9000 рабочих для сборки трешки. Видимо не так все хорошо с роботами.
0
Там они на живую всё тестили и разрабатывали процессы. Тут можно вначале всё разработать, потом проверить и уже после построить как надо. Хотя хз, будет ли так делать дешевле. Первопроходчество всегда дорого стоит.
0
Настолько, что Форду сейчас все равно, строить новый завод в Мексике и запускать на сборку мексиканцев, или в США

справедливости ради — Форду далеко не все равно, они как раз желали в Мексике.
Но Трамп, еще не будучи президентом, сказал на встрече с CEO автопромов- если будет завод в Мексике, то став президентом, я подниму вам импортные тарифы на 30%, и те машины у вас никто не купит. Стройте в США, нефиг бегать и лишать американцев работы.
И форд, а так же остальные — внезапно передумали. Сначала отложили, дождавшись результатов выборов, а затем свернули все проекты вывода производства (уже были планы заводов и инвестиций) и увеличили чило рабочих мест в Охайо и других штатах.


И рабочие в штатах о той беседе Трампа знали, до голосования. И видели как он поступает. Чего бы он просто так выйграл выборы. Можно фильм Майкла Мура поглядеть — там об этом говорится.

0
Выражение
аппаратный дорвей
у Вас в тексте — это в статье «hardware implant», как понимаю?
Может лучше пояснить было в тексте про это.
+3
вчера на Хабре была опубликована статья о том, что доказательств присутствия шпионских модулей в оборудовании компании Supermicro нет. Ну а сегодня они появились.

То потухнет, то погаснет

0
То потухнет, то погаснет


То, как зверь, она завоет,
То заплачет, как дитя.
+6
Заметил возможное искажение смысла:
По запросу журналистов Bloomberg свои комментарии дали представители AT&T и Verizon. Оба комментария отрицательны — компании утверждают, что никаких проверок они не устраивали.

Вероятно, вот первоисточник:
New Evidence of Hacked Supermicro Hardware Found in U.S. Telecom — Bloomberg
AT&T Inc. spokesman Fletcher Cook said, «These devices are not part of our network, and we are not affected.» A Verizon Communications Inc. spokesman said "we're not affected."

Перевожу:
Представитель AT&T Флетчер Кук сказал следующее: «В нашей сети такие устройства не используются, так что нас это не затронуло». Представитель Verizon Communications сказал примерно то же самое: «нас это не затронуло».

Подчеркивание везде мое.
+2
в любое оборудование можно добавить «шпиона», которого просто невозможно обнаружить обычными методами, нужно специальное ПО, знания и опыт в этой сфере

написано так, как будто прошерстить трафик на предмет неожиданных ip-адресов в каком-нибудь wireshark это что-то сложное.

0
и мак, и айпишник, и физический порт тот же самый, что и у легального трафика.
0
Так вроде даже IPMI умеет,
где впрочем закладкам самое место (особенно если у него есть доступ к памяти через PCIe)
+2
Ну, source IP и проч. — действительно такие же, а вот destination — должен отличаться, иначе как злодей пакет получит-то?
+1
А если злодей затесался в диапазоне IP-адресов какого-то крупного CDN и сервер с ним взаимодействует легально?
0

Могут существовать различные цели, порождающие появление таких закладок, как пример — вывод из строя оборудования, никакого трафика просто не будет, будет ждать magic pocket, либо активизация и слив чего-то в определённый момент времени, или реакция на другую часть ПО попавшую в вашу сеть, сценариев много.

0
Речь шла о том, что
как будто прошерстить трафик на предмет неожиданных ip-адресов в каком-нибудь wireshark это что-то сложное.

Я и говорю — предотвратить слив закладкой инфы куда-либо несложно. Ваши варианты — да, но мы их и не осбуждали.
0
Проверять стоит на стороннем оборудовании. Иначе, чип вполне может на время передачи например отключать сетевую карту или имитировать загруженность линии шумом.
0
А не будет никаких неожиданных IP-адресов. Возможно, он даже не проявляет активности пока К НЕМУ не постучатся, а если и отсылает что-то как его отличить от другого фонового трафика выглядящего не менее подозрительно? Троянец может быть более разумным и не будет ломиться на какой-то фиксированный IP-адрес, а будет вставлять свои пакеты только если есть трафик на какой-то из CDN в надежде попасть на свой управляющий центр, который ответит — и как в таких условиях вычленить трафик от троянца кроме как сравнивая физические характеристики сигнала(амплитуда, длительность фронтов, специфические аналоговые искажения) на порту?
0

Аналоговые искажения появляются от анальных игрищ, но не от подозрительного траффика.

0
Аналоговые искажения просто есть. По всей видимости, там нет доступа к контроллеру сетевому напрямую, реализован свой контроллер а значит аппаратная часть своя — отсюда уникальный отпечаток «передатчика» в аналоговой части и по этому признаку уже можно отличить пакеты от штатного контроллера и от жучка. Такое с обычными радиостанциями уже давно делают, и при необходимости аппаратуру можно идентифицировать по отпечатку выходного излучения.
0
при необходимости аппаратуру можно идентифицировать по отпечатку выходного излучения.

И после ремонта тоже?
0
Смотря в чем ремонт заключается. Если замена выходного каскада то скорей всего он будет светить по-новому, но ещё остаются характеристики модулирующего генератора — у него могут быть специфические параметры в том числе джиттер. Используя высокостабильный качественный генератор на основе атомных часов можно различать генераторы как людей по голосам, а то и надёжней. Конечно, каждая характеристика в отдельности не даёт возможность идентифицировать с точностью 1 к милиарду, например, а сужает круг до 1 к тысяче. Берёшь характеристики например 3 из 4 совпадающие + предполагаемая геопривязка и можно уже говорить о конкретном экземпляре аппаратуры.
+1
реализован свой контроллер а значит аппаратная часть своя — отсюда уникальный отпечаток «передатчика» в аналоговой части и по этому признаку уже можно отличить пакеты от штатного контроллера и от жучка

Эм, что это даст, если весь этот отпечаток испаряется после первого свича? Как известно, свич прослушивает порт, анализирует пакет и генерирует такой же пакет на другом порту, и вся аналоговая составляющая будет уже от железа свича.
0
Речь идёт об анализе конкретного пациента, когда он находится под пристальным наблюдением на операционном столе, а значит никаих свичей, прямое подключение оборудования к порту и т.д.
0
Вы же выше пишите о
как в таких условиях вычленить трафик от троянца

что подразумевает что вы не знаете где троянец и тем более какой от него должен быть сигнал. Кроме того, у всех девайсов свой собственный аналоговый «отпечаток», чем один уникальный отпечаток отличается от другого? Тем же, чем один человек с уникальным отпечатком пальца от другого. Вы не можете взять отпечаток произвольно выбранного человека и по нему сказать что-либо об этом человеке, если только у него уже не брали отпечаток и внесли в какую-то базу. Точно так же с девайсами — аналоговые нюансы сигнала ничего не говорят сами по себе. Лишь если вы обнаружили троянца каким-то образом, вы сможете занести девайс в базу затрояненных девайсов, хотя непонятно зачем её вести, так как уже обнаруженный троян должен быть либо обезврежен, либо девайс фтопку. Найти другой девайс с трояном этот девайс никак не поможет. Все отпечатки уникальны.

Итого, в поиске аппаратных троянов в работающий девайсах вы должны использовать традиционный анализ трафика, а не эфемерные аналоговые джиттеры.
0
Конечно нельзя. Но когда перед тобой два человека в одной коробке, их отпечатки отличить можно без труда. И если нам один физический интерфейс вдруг начинает отвечать разными отпечатками, то долго гадать не надо.
0
Эм… Априори у всех людей отпечатки разные. Что даст сравнение разных отпечатков? Троянец управляет тем же самым физическим интерфейсом, что и легальная операционная система. Это как человек с раздвоением личности. Отпечаток пальца один, голова одна, а личностей две. И проверкой отпечатков пальцев вы не выясните, у кого раздвоение личности — вам нужно будет следить за поведением (трафиком).
0
Болтология. Разумеется, отдельные элементы могут совпадать и отпечатки некоторых людей могут быть похожими, но не совпадать до неразличимости. Нет ни одного задокументированного случая полного совпадения отпечатков пальцев двух людей. Хотя конечно же такая вероятность не нулевая, как и написано в тексте по вашей ссылке:
Существует 1 на 64 миллиарда шансов, что ваш отпечаток пальцев совпадет с отпечатком другого человека

И так же правильно сказано по вашей же другой ссылке, что заявлять что по отпечаткам пальцев нельзя идентифицировать человека потому что некоторые элементы отпечатка могут совпадать с такими же элементами отпечатка другого — так же нелепо, как заявлять что нельзя идентифицировать по ДНК, ведь она на 99,9% совпадает у разных людей.
Действительно, есть проблема доказательства, что конкретный отпечаток принадлежит конкретному человеку, особенно для частичных отпечатков, потому что информационная ёмкость различных участков отпечатка различна, но это совсем не означает что отпечатки нельзя использовать как доказательство — просто в зависимости от качества отпечатков будет различная вероятность принадлежности отпечатка тому или иному человеку.
0
Судя по описанию из общего у них разве что трансформатор развязывающий. В том вся фишка — троянец сидит полностью в РАЗЪЁМЕ. И скорей всего не ошибусь, подключен он как ещё один отвод трансформатора. Получается уже не раздвоение личности, а как две головы на одном теле.
0
Нет, в таком случае при попытке передачи трояном информации во время работы сетевого интерфейса возникла бы коллизия. К тому же дополнительная аналоговая часть значительно увеличила бы его размеры. Троянец может лишь сидеть на входе сетевого интерфейса, передавая данные ему на шину, в двоичном виде.
Если бы в сетевой разъём можно было впихнуть всю аналоговую часть, так бы и делали, но чип сетевой ставят не в него, а на материнку.
Ну и троянец на анимации блумберга находится таки не в разъёме, а на плате.
0
Анимация, это по поводу уже другого троянца.
Коллизии вовсе не помеха для передачи данных, сетевые карты умеют детектировать коллизии и им это не помеха — данные всеравно будут переданы. Пока троянец проявляет малую активность, коллизии заметить внешне очень трудно. Если трафик от троянца сравняется с пропускной способностью карты, тогда коллизии будут такие что не заметить будет сложно но ведь и троянец не тупой — или не будет гнать огромные объёмы данных через интерфейс если возникают массовые коллизии либо просто будет ждать окна отсутствия активности основного интерфейса.
Кстати, раньше была вполне доступная информация по пассивным эзернет-разветвителям, позволяющим соединить 3 компьютера без активного коммутатора. На большом расстоянии пассивный разветвитель работает гораздо хуже чем роутер, но у нас же тепличные условия — расстояние в сантиметр-другой(а уж темболее если есть непосредственный доступ в развязывающий трансформатор) поэтому всё может прекрасно работать.
0
И всё равно, остаётся непонятным — зачем весь этот геморрой с дублированием аналоговой части сетевого интерфейса, обработка коллизий и всё такое, если можно просто послать нужные данные в не преобразованном, цифровом виде на вход родного интерфейса.
0
Скрытность. Если будет лишний чип, который шлёт данные прямо на родной интерфейс, это будет обнаружено а на полноценный чип-спрятанный-в-разъёме никто и не обратит внимания. Впрочем, много троянов не бывает — чем их больше тем больше вероятность что какой-то из них не заметят. В чипсете и так сидит троянище, который потенциально всю систему может держать как СВОЮ виртуалку и никто кроме производителя(китай) не знает что там работает.
Обработка коллизий это часть базового алгоритма доставшегося в наследство от старых интерфейсов, выполняется в железе и практически ничего не стоит — оно уже разработано, отлажено и все косяки вылизаны 20 лет назад посему передирается вместе с железом в новые системы.
0
А как к нему стучаться, если он, скажем, за NAT'ом сидеть будет?
0
Если там вообще нет связи с внешним миром — то никак. Но он может просматривать трафик который приходит из внешнего мира на ЧУЖИЕ запросы, и если это запросы скажем на китайские сервера они могут добавлять в ответ полезную нагрузку для троянцев, где будет содержаться команда «выйди на связь, управляющий центр такой-то». Троянец просматривает входящий трафик и вылавливает свои сигнатуры во входящих ответах на чужие запросы, ответ получен, задача выполнена. Возможно даже они могут модифицировать ответы добавляя лишнюю нагрузку к уходящим IP-пакетам.
0
Слишком сложно, слишком много «если». Если появляется зависимость от того, куда ходит «клиент», то появляется и возможность, что он никогда не зайдет туда, куда надо.
0

В качестве бреда: Термоядерное оружие чертовски сложное, дорогое как в разработке так в производстве и обслуживании, однако есть факт того что оно разработано, построено и обслуживается. Вопрос в том кто принимает решения и как они мыслят.

0
Каждой бочке своя затычка. Может и не зайдёт, конечно. Поэтому берут числом. Если у клиента сотня серверов в датацентре, один из них окажется уязвим и через него получается доступ к внутренней сети где как правило уже никакого контроля…
0
Помню еще год назад все обсуждали «закладки» в процессорах и это казалось параноидальным.
0
Ну в процессоре это действительно сделать гораздо сложнее. На материнку можно просто припаять ещё один чип, а в процессоре придётся перелопатить кристалл. Но это только если говорить о закладках, не предусмотренных на этапе проектирования.
+1
придётся перелопатить кристалл

— если она не заложена в него на стадии проектирования
— еслди не принимать во внимание возможность установки закладки отдельным чипом, но в корпус процесора (там обычно есть место)
+2
Второй кристал вызовет очень большие вопросы у всяких любителей поковырять железо. И тем более у организаций формата «от столба и до обеда»
0
По наглому впихнуть отдельный кристалл сравнимый по сложности и размерам с основным — конечно нет, спалятся сразу. Но на современных процессорах, вместе чипом на одной с ним подложке размещается (часто с обратной стороны) куча вспомогательных элементов типа SMD конденсаторов и резисторов.

С современными технологиями простенький чип вполне можно замаскировать под подобную мелочь. Конечно просто впаять вместо изъятого штатного не получится, нужно будет спроектировать и изготовить собственную подложку с измененной схемой, но это задача на порядки проще чем «клонирование» современного процессора+его редизайн с добавлением закладок и потом изготовление модифицированных кристаллов.
0
Кое-что можно сделать микрокодом, в таком случае все шансы, что никто не заметит аппаратную часть закладки, если микрокод поставлять только кому следует
0
В процессорах закладки не делают, они делают недоразумения (как Spectre)
0
Закладки не закладки, но в FPGA вполне есть бэкдоры. Сделанные производителем (jtag) и обходящие всю защиту и крипто сверхкриптованного чипа. Вот статья (кстати русский парень) который это нашел в чипе который идет преимуществено на войну, показал как вскрывать за секунды — и… на том влетел. Потому как против ветра.
0
Если это FPGA с секретной частью, то там эта самая секретная часть не доступна даже через JTAG. А если обычная… то разработчики лоханулись назвав её секретной.
0
Плюсую, если в интел(альтеру) зашить закриптованную прошивку, то появляется возможность выставить в OTP биты, которые не то, что JTAG прибьют, а вообще уберут возможность загрузки некриптованной прошивки.
+4
Если посмотреть видео от Bloomberg, там они комментируют, что предполагали, что Amazon / Microsoft / Apple будут отрицать уязвимости, так как это заденет их финансовую сторону. Но в то же время «обладают» железными доказательствами. В то же время, эти жучки нацелены не на consumer data, а на long-term стратегию по краже государственных тайн.
ИМХО: похоже на давление американской администрации президента на Китай через Блумберг, но непонятно, когда будут доказательства или иск в суд от SEC.
+2
ИМХО: похоже на давление американской администрации президента на Китай через Блумберг, но непонятно, когда будут доказательства или иск в суд от SEC.

Основной бизнес Блумберга финансовые софт, данные и услуги, включая терминал с годовой подпиской за 24000. Оборот компании 9В. И все это держится на репутации. Вы серьезно думаете, что Блумберг будет так рисковать?
Ну и википедия пишет, что он поменял цвет и стал демократом в этом году.
0
Рисковать может не Блумберг, а один журналист, а теперь они его еще больше будут покрывать, чтобы не навредить репутации.
С другой стороны, в Блумберг и там много неоднозначно трактуемых статей, возможно это просто вывалилась за пределы только экономики и получила такой резонанс.
+1
Статья с обложки Бизнесуик будет проходить редакторскую проверку. Более вероятно, что им просто слили откровенную ложь без посвящения, если это действительно ложь.
+1
Основной бизнес Блумберга финансовые софт, данные и услуги, включая терминал

Отсылка к авторитету? Но ведь сначала они утверждали, что всех их источники это офицеры спецслужб и сотрудники Amazon и Apple и даже дали фотографию "закладки".
Теперь источник не несколько, а один, работает он в совершенно другом месте, и закладка совсем не там, плюс еще выявлена только по косвенным данным, банально разобрать разьём предъявить чип никто не смог? Все это мы должны забыть и помнить что это огромная компания и она не может ошибаться?

+1
Отсылка к авторитету?
Нет. Просто, в здравом уме никто не станет рисковать репутацией поставщика информации, если бизнес ворочает миллиардами на этой репутации.
+1
Блумберг один из крупнейших в мире брокеров, любые горячие новости порождающие движение рынка непосредственно превращаются для них в живые деньги. Так что возможно и не было никакого звонка из президентской администрации, а они самостоятельно почувствовали горячую тему и начал ее разыгрывать. Даже местная аудитория не сомневается что Китайцы виновны хотя сами инфицированных чипов никогда не видели, так что говорить о большинстве трейнеров которые пользуются услугами Блумберга.
-1
Даже местная аудитория не сомневается что Китайцы виновны хотя сами инфицированных чипов никогда не видели, так что говорить о большинстве трейнеров которые пользуются услугами Блумберга.
Тут такое дело, что при игре на волатильности не особо важна вера. Существует три вариант: китайцы поставили чипы, это новый виток торговой войны и инфу сфабриковали в белом доме/госдепе/пентагоне, это откровенная ложь придуманная в редакции Бизнесуик. В последнее верится намного меньше чем в остальное, а первые два варианта одинаково плохи для SMCI, так что движение рынка вполне предсказуемо.
Ну а про брокера и манипуляции рынком я уже написал, слишком высока цена — можно потерять все.
0
Вы забываете о том, что брокер зарабатывает на комиссии на каждой сделке, независимо от направления движения рынка и его предсказуемости.
Их интересует непосредственно само движение. Это даже если забыть о шортах и всякой такой не совсем честной и законной игре.
+1
Это наивно. Бомбить фейковой статьей, чтобы поднять объемы торгов на одном отдельно взятом тикере, при этом заранее известно, что эта активность будет размазана по всем брокерам. Ну вы серьезно сейчас?
-22
Расслабились американцы, вот и клюнула их кое-куда утка по-пекински. Будут теперь учить слово Importozameschenie.
+13
За американцев не беспокойтесь, у них есть и технологии, и производство. Конечно, скорее всего дороже китайского, но в критических приложениях, будьте уверены, у них стоит всё своё проверенное отечественное.
0
Да кто бы спорил с тем, что у американцев лучшие технологии и производство? И уж понятно, что АЭС и ЯО и всякое такое у них всё на своём, по десять раз проверенном. А в датацентрах, которые крупный и некрупный бизнес всего мира обслуживают, тоже своё? Или всё-таки импорт из страны, где компартия рулит, и портреты Ленина и Мао по праздникам вывешивают?
+3
В первых сообщениях было упоминание о полном контроле «зараженной» системы. Я немножечко не понимаю, как можно получить полный контроль, путем установки аппаратуры на физический уровень eth. По сути, добавляется еще один компьютер _рядом_ с зараженным. Можно выяснить структуру сети, можно пробросить туннель в эту сеть, можно что ни будь по-перехватывать, а для получения контроля придется пользовать какие то более другие уязвимости.
Я бы понял, если бы «шпион» стоял на шине spi bios. На лету вносил некоторые изменения — «добавлял» уязвимость, например. А так, эта суета выглядит странно.
0
Теоретически такой чип может работать в связке с какой-то еще закладкой.
0
В данной статье определённо рассказывается про другой кейс, не тот, про который писал блумберг.
+1
А если процессор, содержащий американскую закладку, поставить на материнскую плату, содержающую китайскую закладку — кто чьи данные будет передавать?
0

Чип с китайской закладкой может иметь plug and play к американской закладке

+14
доказательства
Доказательств как раз не появилось, появилось только имя у анонимного источника. Ни фото чипа, ни мат. плат, которые можно дать независимым экспертам.

Более того, теперь уже и «чип» описывается иначе. В прошлый раз заявлялось, что он в цепи управления BMC, а теперь он уже в Ethernet-порт встроен.
0
Очень интересно, откуда этот «чип» получает питание. От светодиодов состояния соединения?
И что, чип вот так, с легкостью, анализирует весь проходящий него трафик (а он может быть и гигабитным) и более сложное — как-то в него вмешивается, или кому-то передает?
0
Светодиод рулится GND(например), анод к +3.3 постоянно, на экране GND постоянно. Оппа и готово.
+2
Три специалиста по информационной безопасности рассказали о том, что они проверили работу Эпплбаума и определили то, как ПО компании Sepio смогло локализовать аппаратный бэкдор.

marks, пожалуйста, не добавляйте «отсебятину», особенно в критических местах. В оригинале никто ничего не проверял, только лишь "confirmed that the way Sepio's software detected the implant is sound." — «Ну да, можно посмотреть трафик и проверить наличие постороннего».

Если потребление больше, пускай и на малую толику, чем должно быть, то это уже повод задуматься

Аналогично, "analog signals — such as power consumption — that can indicate the presence of a covert piece of hardware." — если у вас чип питается от сигнальных линий Ethernet — это может быть достаточно заметно, но нужно иметь с чем сравнивать, потому что стандарт допускает напряжение от 2.2В до 2.8В. Если оно ниже «на малую толику», чем у другой идентичной системы, то это, как раз, мало о чём говорит.
+2
если у вас чип питается от сигнальных линий Ethernet

… то о гигабите (а тем более — о 10) на этой линии можно забыть.
Ну нельзя оттуда добыть достаточно энергии (для рабора гигабитного потока этот шпионо-чип должен достаточно много потреблять) и не завалить напрочь параметры сигнала.
-1
При том, что PoE на гигабите существует, и влияния на дальность не оказывает. Правда в этом случае остается вопрос о том, как эту самую закладку питать, либо супермикро должны инжектить питание (что есть бредовая идея), либо сервер надо в PoE коммутатор подключить
0
Ну что? Пришло время разрабатывать ПО, которое может надежно работать на протрояненном насквозь оборудовании?
+1
Можно просто доступ ограничить на фаерволе. Даже если машина пришла с предустановленным жучком, то если у неё нет доступа к интернетушке, то жучок этот никому ничего не сможет передать, разве что засветится у меня в логах. Подавляющему большинству серверных тачек доступ нужен только за апдейтами ходить. Можно держать апдейты локально, а доступ закрыть. Мои тачки даже default gateway получают с единственной целью зафиксировать попытку к нему обратиться :-), а единственный разрешенный траффик — между серверами в сегменте и фаерволом, плюс друг с другом.
0
чем дальше, тем труднее хорошо изолировать даже корпоративную сеть от интернета. Попробуйте, например, кубернетес поставить в изолированной сети.
0
Зависит от условий. Если безопасность стоит на первом месте в списке приоритетов, то примеры решений, когда это невозможно, не в кассу.
0
А если управляющий центр жучка расположен на CDN амазона и сервер с ним работает вплотную? отрубить весь амазон?
0
Можно просто Амазону про это рассказать — по моему опыту, они на такие предъявы очень быстро реагируют.
0
О чём мы спорим — о том, что надо работать, иначе сломают? Это козе понятно.
0
Если говорить о корпоратах, то скорее предъявлять более жесткие требования к специалистам, и тем кто сеть строит, и тем, кто эксплуатирует, ну и предлагать более высокие зарплаты тем, кто сможет им соответствовать.
С частниками не понятно, как далеко могут продвинутся хакеры в изучении подобных закладок, которые могут присутствовать и на обычных компах. Одно дело отреверсить хитрый алгоритм, и совсем другое — это выцарапать данные для анализа из микрухи, а потом еще и понять, что же ты получил.
+4
Довольно забавно наблюдать, как из тривиальнейшего события возникает такая медийная движуха. Сегодня разве что ленивый, ну, или просто далекий от темы еще может всерьез сомневаться в реальности подобных железных закладок разной степени скрытности, вредоносности и в самых неожиданных местах. Не далее, как на прошлое или позапрошлое Рождество мне лично, среди прочего сувенирного хлама, досталась китайская USB LED-светилка, в которой был обнаружен загрузчик, ломившийся в Виндовс (но обломавшийся, т.к. на ноуте был Линукс). Правда, там чип не прятался, а наоборот, нагло и цинично прикидывался регулятором тока. Я всю эту радость пореверсил из любопытства, а потом отправил в мусорник вместе со всеми вещдоками… Эх, если бы я тогда только догадался позвонить в Блумберг и представиться «анонимным источником»))
+5
Было бы очень интересно почитать статью с подробным описанием «реверса», на фотографии устройства взглянуть.
+4
Так что там было то? На virustotal выложил? Может там драйвера управления яркостью фонарика были? И что значит «ломился», autorun.inf что ли обычный?
+1

То есть под линуксом регулятор тока не запустился. Не думаю, что эта новость заинтересовала бы финансистов.

+2
Загрузчик? ломился в виндовс? что за регулятор тока? Вы точно его реверсили? Может, это был банальный светильник со встроенной флешкой, на которую попал(случайно или нет?) банальный троянец-автораннер?
0
Ждём развития сюжета! Нам очень интересно узнать, тем более, что
Я всю эту радость пореверсил из любопытства
0
Увы, для подробной статьи я слишком ленив, да и материалов давно нет, но, чтоб снять нервное напряжение в зале: я не реверсил топологию чипа, это не входит в число моих любимых хобби… только поковырял самого зловреда и не нашел ничего сенсационного)) Подробности, которые помню: распознан был поганец по надписи на черном экране «Butting from disk...» (если это был авторский лингвистический юмор, то я его оценил). Дальше — больше: после Ctr-Alt-Del на экране без перезагрузки появлялось подобие меню NTLDR, которого на ноуте с линуксом ну никак не могло быть. Мне стало любопытно, разобрал железяку, ожидая увидеть простенький регулятор на мосфете, но нашел внутри чип в TSSOP-20 корпусе без маркировки, с минимальной обвеской, на который были заведены все жилы с USB разъема. Чип на 20(!) ног для регулировки тока LED в копеечной светилке, серьезно? Я, конечно, тоже сразу подумал про драйвера с блекджеком и куртизанками, или, что оно может заряжать аккумуляторы от USB, но нет — ничего такого даже не заявлялось. Железяка хоть и прикидывалась флешкой на 16GB, в MBR там был обычный бутстрап, который грузил некое подобие бутлодера… в слитом дампе этого чуда техники, которое лишь частично декомпилировала Ида, была тупая проверка версии винды на первом разделе первого жесткого диска, и если это не 7, выдавалось псевдоменю NTLDR, выйти из которого можно было только холодным ресетом, а если 7, должно было загрузиться некое другое нечто, прямо по абсолютным секторам, без затей. Но в них ничего не было, в основном заполнено FF и каким-то мусором, а выше 1ГБ вообще ничего не читалось. Я почесал репу, да и отправил это все в мусорник )) Фейковое меню (тоже без изысков, все строки просто поXORины, чтоб не бросаться в глаза) и странный бутлодер указывали на то, что это какая-то довольно примитивная закладка, тупо заточенная на 7 винду, но ковырять глубже и фантазировать, что бы оно там такое делало, если бы взлетело, у меня не хватило ни любопытства, ни времени. Это, конечно, странное произведение китайской инженерной мысли, но, если честно, мне попадались и страннее.
P.S. Если кому интересно, нашел в инете фотку похожей светилки.
image
0
Зря вы этот артефакт выкинули, зря… Можно было бы подсунуть ему виртуалку с правильной виндой, да и посмотреть, чего ему надо…
0
Или хотябы фоторграфию подобного девайса найти в интернете, чтобы другие смогли поискать.
+8
В прошлый раз показывали фотографии балуна в цепи SPI Flash. Теперь будут показывать фото апертурных сердечников-трансформаторов в Ethernet разъемах?
0
Для сравнения придётся в каком-нибудь музее украсть разъем без трансформатора :-)
0
Теперь нужно фотку ферритового фильтра который на провода цепляется.
+5
Совершенно не имею цели доказывать, что Китай не вставляет «жучки» — очень вероятно, что вставляет, но кричать «Волки! Волки!» лучше всё же при наличии волков, иначе такие крики только наносят ущерб всей индустрии.

In the case of the telecommunications company, Sepio's technology detected that the tampered Supermicro server actually appeared on the network as two devices in one. The legitimate server was communicating one way, and the implant another, but all the traffic appeared to be coming from the same trusted server, which allowed it to pass through security filters.

А точно это не IPMI via LOM1?

Appleboum said one key sign of the implant is that the manipulated Ethernet connector has metal sides instead of the usual plastic ones. The metal is necessary to diffuse heat from the chip hidden inside, which acts like a mini computer.

Очень подозрительная формулировка "instead of the usual plastic ones". Обычно, как раз, коннекторы в металлическом корпусе в сервера ставят, могут и с контактом под STP — незачем экономить.

Обычно такие громкие заявления делают на презентации, где подробно (желательно, с фотографиями) расписывают все нюансы и поясняют, почему пришли именно к таким выводам. Тут фирма, которая предоставляет единственную услугу — поиск неавторизованных устройств в сети (причём, судя по скриншоту на их сайте, банально по второму MAC-адресу на порту коммутатора), делает такое громкое заявление без малейших доказательств. Они даже не говорят, что вскрыли ту металлическую крышку и что-то там нашли — нет, их софт увидел трафик, который показался подозрительным, а клиенту указали на металлический корпус разъёма. NDA разрешает описывать фирму-производителя серверов и детали, вроде металлической оболочки разъёма, но ничего по-существу? Очень странно.
0
Возможно, это намеренная обфускация деталей, чтобы по ним нельзя было вычислить то что находится под NDA.
0
Вообще-то на материнской плате ethernet socket, в него втыкается ethernet connector на кабеле, который может быть в металлической оболочке для STP. Что они там имели ввиду понять невозможно, пока не будет фото конкретных устройств можно считать что это муть, возможно попытка отвлечь внимание от какого-то очередного PRISM.
+6
Supermicro сам коннекторы не делает. Их клепает Foxconn, или дядюшка Ляо в подвале, ну или упоминаемый в статье китайский товарищ майор, добавляющий туда закладки. Дальше эти разъемы покупает Supermicro, и они нарочно не придумают, что в таком месте ВНЕЗАПНО может быть что-то плохое. Я сомневаюсь, что кто-то сидит и каждую партию компонентов расковыривает, ища косяки — это еще военные могут, но точно не те, кто делает ширпотреб.
В данном случае чувак просто решил попиарить свою контору, пользуясь хайпом, и у него отлично получилось — статью по всему миру растащили совершенно бесплатно. Я не удивлюсь, если он сейчас сидит и крафтит хитрые разъемы с чипом, чтобы потом тихонько припаять на плату и показывать на пресс-конференциях «доказательства»…
+5
Ерунда опять написана.
1. Блумберг не специализируется на безопасности и не способен объективно оценить качество источника информации. Его специализация — финансовая информация, и ему зачем — то надо данную тему прокачивать. Все остальные, сколько нибудь авторитетные товарищи о supermicro молчат.
2. Судя из описания текущей закладки, она принципиально отличается от описанной раньше, и, как максимум, можно говорить о еще одной закладке в серверах из Китая, но ни как не о подтверждении информации из прошлых сообщений.
3. Если имплант на материнке еще имел шанс на доступ к каким-то «интересным» данным, то сделать это с уровня сетевой карты их почти, а скорее всего — совсем, нет. Данные к сетевой карте попадают шифрованными, в тех случаях, когда это важно.
4. Пока искал информацию об Эпплбауме, нашел такой источник.
5. Вот что сам Блумберг сообщает об Эпплбаум. Возможно опечатка, но написано «Ms. Yossi Appleboum», тоесть, специалист не он, а она, но не это главное, в конце указано, что товарисч имел отношение к IDF, что может означать и Israel Defense Forces, и тогда вопрос, а этот персонаж гражданский, или все еще дружит с военными, учитывая специализацию?
+1
Вышел комментарий от автора «исследования»: www.servethehome.com/yossi-appleboum-disagrees-bloomberg-is-positioning-his-research-against-supermicro

Тезисно, то, что мне бросилось в глаза:
  • Закладки везде, в оборудовании всех производителей, их тысячи! Практически все — в сетевых интерфейсах.
    Хотелось бы хоть каких-нибудь доказательств. Если единственное доказательство — их программа, которая MAC-и на коммутаторах считает, то стоит, для начала, проверить код.
  • We are spending $100B on software related attacks, but near zero for hardware attacks. That is irresponsible and that is the problem that we need to fix.

    По стечению обстоятельств, его фирма как раз предлагает такую услугу (и больше никаких).
  • Ветерану Моссад очень неприятно общаться с прессой, и он согласился общаться только по-телефону и только с «единомышленником»
    … который не задал ни одного вопроса по существу «исследования». Видимо, теперь это будет причиной, почему мы не услышим никаких технических подробностей, так как поверить в тысячи NDA, ниодин из которых не позволяет сказать хоть что-то по-существу, мне лично сложно.
  • Блумберг всё повернул в русло своей атаки на Supermicro, хотя закладки у всех-всех и Supermicro ни при чём. На самом деле всё не на заводе делается, а на этапе поставок

    … как в документах Сноудена. С одной стороны, если США так действует (если верить Сноудену), то почему остальным действовать как-то иначе? С другой, если поймали на громком сомнительном заявлении, лучше цитировать источники, которым доверяют, чем выдумывать самому, даже если это противоречит сказанному ранее.


Ещё раз, логично предположить, что закладки возможны в том или ином виде, просто вот этот конкретный источник — последний, кому стоит верить на слово без малейших доказательств с его стороны — у него весь бизнес на страхи перед аппаратными закладками завязан.
0
Ну слава Хабру, люди просыпаются) Китай что-то там куда-то получает, главное что бы на роутерах не прописали все Китайские сети, а то инфаркт может схватить, от того что сисадмин какой или директор увидит, сколько туда улетает трафика ежесекундно, при том, что, к примеру с Китайскими сайтами вообще никто не работает.
Я к чему, к тому что эти апаратные закладки это даже не вершина айсберга, это кусочек маленького пика, в их сторону столько трафика летит, что я бы смело делал предположения, что виной этому совсем не трояны с вирусами, а видимо вполне легальное ПО с закладками или делающие их в системе.
0
Абсолютно уверен, что разведки всех стран поставщиков оборудования «шалят». Просто, если есть возможность поставить жучок, то его надо ставить. Так было всегда. Разве что-то изменилось со времен холодной войны?
+2
Вне зависимости от правдивости сообщения, необходимо отметить, что китайцы нервно курят в сторонке по сравнению с тем, что творит Intel в своём Management Engine
0
Помните, ходила картинка «он дропнул базу и не делал бекапы»? Если авторы исследования не отмажутся, эту картинку можно будет перерисовывать «мне показалось, что нашел бекдор, но мне показали, что такое настоящий бекдор».
картинка
image
0
Я вполне могу допустить, что хорошенькая героиня, спасаясь бегством, может оказаться на извилистой и опасной горной тропе. Менее вероятно, но все же возможно, что мост над пропастью рухнет как раз в тот момент, когда она на него ступит. Исключительно маловероятно, что в последний момент она схватится за былинку и повиснет над пропастью, но даже с такой возможностью я могу согласиться. Совсем уж трудно, но все-таки можно поверить в то, что красавец ковбой как раз в это время будет проезжать мимо и выручит несчастную. Но чтобы в этот момент тут же оказался оператор с камерой, готовый заснять все эти волнующие события на пленку, — уж этому, увольте, я не поверю!

Нильс Хенрик Давид Бор

Тем временем: SP500 ~-3.30%

0
1. Западающая педаль газа в Тойотах.
2. Дизельгейт от ГазенВаген.
3. Шпионские чипы от Супермикро.

Что-то мне это напоминает.
0
Нам вот купили вместо HP эти Supermicro
развернули на них ПО для безопасников
говорить им теперь или нет не знаю
0
Безопасники, если они настоящие, сами придут к нужным выводам наблюдая за трафиком на внешнем порту(если верить словам что троянец что-то отправляет на какие-то сервера). Весь вопрос заключается в том упростить им работу или не стоит… Просто включить систему без установленного проца, например, или без памяти и подключить к интернету — если трафик пойдёт то троянец точно есть.
Только полноправные пользователи могут оставлять комментарии. , пожалуйста.