“恶意芯片门”主角正式回应!苹果、亚马逊、超微、美国国土安全部齐齐打脸彭博社

iot101君
编辑整理

 
2018-10-09 11:04:42 来源:

上周四,美国《彭博商业周刊》发出一篇震惊中美科技圈的封面报道,名为《大黑客:中国如何利用微型芯片入侵美国公司》。10月8日,“恶意芯片门”主角——美国超微公司(SuperMicro)在其官网发布声明,强烈驳斥了有关其售给客户的服务器产品的主机板上含有恶意微型芯片的报道。同时,苹果、亚马逊、美国国土安全部亦发布声明,打脸彭博社。

640.webp.jpg


10月8日,闹得沸沸扬扬的“恶意芯片门”主角终于正式发声——美国超微公司(SuperMicro)在其官网发布声明,强烈驳斥有关其售给客户的服务器产品的主机板上含有恶意微型芯片的报道。

640.webp (1).jpg

图:超微官网声明

声明表示,公司从未发现任何恶意芯片,从未收到任何客户发现此类恶意芯片的报告,且任何国内或国外政府机构从未就恶意芯片指控联系超微公司。

声明指出,超微非常重视安全问题,将在产品安全方面持续投资;在中国生产主板并非超微所独有,而是一种标准的行业惯例;几乎所有的系统供应商都使用相同的合同制造商;超微对于所有制造商进行资格认证,并定期检查其设施和工艺。

中国利用微型芯片入侵美国公司?全球科技股大地震

上周四,美国《彭博商业周刊》发出一篇震惊中美科技圈的封面报道,名为《大黑客:中国如何利用微型芯片入侵美国公司》(The Big Hack: How China Used a Tiny Chip to Infiltrate U.S.Companies)。

文中援引了17位匿名情报机构和公司消息人士的话称,中国间谍通过在SuperMicro(超微,美国最大服务器生产商之一)的服务器芯片中植入了一枚超级微小的芯片,进而实现对包括苹果和亚马逊等大约30家美国公司和多个美国政府机构的信息进行窃取。

文章详细分析了黑客攻击的过程:

640.webp (2).jpg

图转自“硅星人”

这次的硬件攻击可谓史无前例。大部分人理解中的黑客都是通过软件的漏洞进行攻击,而像这样的硬件攻击,少之又少。它的精彩之处在于追溯到了生产过程很靠前的阶段,在元器件采购时就植入了“木马”;在之后整个生产、组装和校验的,多方参与的漫长过程中,都没有暴露。

据彭博社报道,这一“间谍芯片”之所以被发现,是源于2015年亚马逊的一次收购。

2015年,亚马逊为发展其流媒体视频服务,意图收购一家名为ElementalTechnologies的初创公司。在收购前期的尽职调查过程中,亚马逊方面发现了一些问题,故而将Elemental 的几台服务器送往加拿大安大略省,供第三方安全公司进行测试。在这次测试中,测试人员发现了一个不大于一粒大米的微芯片,它不是主板原始设计的一部分。

这一情况让人“不寒而栗”:Elemental的服务器可以在国防部的数据中心、中情局的无人机操作以及海军军舰的机载网络中找到。随即,这一发现被上报到美国情报部门。情报部门经过三年调查,发现这是中国军方一从未公开出现的特殊部门利用超微在华的代工厂所为。

报道还称,2015年夏天,苹果也在超微的服务器主板上发现了恶意芯片,并于2016年终止了与超微的合作。

640.webp (3).jpg

该篇报道矛头直指超微,彭博社甚至在报道中特意强调:超微公司雇佣了大量来自中国大陆和台湾的工程师。这些工程师们彼此用普通话沟通、开会,而这些会议常常比用英文召开的会议更加高效,因此,“这种沟通状态,很有可能为中国方面窃取情报提供了方便。”

受此报道影响,超微股价狂跌5成;苹果、亚马逊股价下跌超过1%;联想遭遇2009年1月以来最大跌幅;中兴、中芯科技、华虹半导体等国内公司也遭受重创;台湾芯片股华新科技和国巨接近跌停;中美科技股顿时哀嚎遍野。

涉事企业和机构齐齐发布声明,打脸彭博

针对这篇报道,涉事企业纷纷发布声明,打脸彭博。

苹果:关于苹果,《商业周刊》搞错了什么?

彭博商业周刊错误地报道了苹果于2015年在其网络服务器上发现了“恶意芯片”。但正如苹果公司在过去12个月里反复向彭博记者和编辑解释的那样,这些说法是不真实的。

在彭博商业周刊的报道发表之前,苹果向其提供了以下声明:在过去的一年里,彭博曾多次与我们联系,声称有涉及到苹果公司的安全事件有些问题含糊不清,有些问题非常细致。每次,我们都根据他们的说法进行了严格的内部调查,但我们也从未发现有任何证据得以支持他们的描述。我们不断地提供事实性反馈,记录在案,几乎驳斥了彭博关于苹果报道的方方面面。

在这一点上,我们可以非常清楚地说:苹果从未在服务器上发现过恶意芯片、“硬件操纵”或有意植入的漏洞。苹果也从未与FBI或其他机构对此类事件进行过接触。我们不知道FBI的任何调查,也没有与我们的执法部门进行联系。

我们深感失望的是,彭博记者在与我们打交道时,并没有意识到其消息来源可能是错误的或被误导的。我们对此的猜测是,他们是对此前报道的2016年事件产生了误解,当时我们在实验室的一台Super Micro服务器上发现了一个受到感染的驱动程序。但该事件被认定是意外,而不是针对苹果的攻击。

亚马逊:关于《彭博商业周刊》不真实报道的事实澄清

在任何时候,过去或现在,我们都没有在任何Elemental或亚马逊系统的SuperMicro主板中发现与修改的硬件或恶意芯片有关的任何问题。我们也没有与政府进行调查。

这篇文章有很多不准确之处,因为它与亚马逊有关,很难计算。我们在这里仅举几个例子。首先,当亚马逊考虑收购Elemental时,我们和自己的安全团队进行了大量的尽职调查,并委托一家外部安全公司为我们进行安全评估。该报告未发现修改后的芯片或硬件存在任何问题。与大多数这些审核一样,它提供了一些建议的修复区域,我们在收购完成之前修复了所有关键问题。这是委托的唯一外部安全报告。彭博确实从未见过我们委托的安全报告或任何其他报告(并且拒绝与我们分享任何据称的其他报告的任何细节)。

该文章还声称,在了解了Elemental服务器中的硬件修改和恶意芯片后,我们对SuperMicro主板进行了全网审计,并在北京数据中心发现了恶意芯片。这种说法同样是不真实的。第一个也是最明显的原因是我们从未在Elemental服务器中找到修改过的硬件或恶意芯片。除此之外,我们从未在任何数据中心的服务器中找到修改过的硬件或恶意芯片。而且,我们将中国的硬件和数据中心卖给我们的合作伙伴Sinnet,因为说我们想摆脱SuperMicro服务器是荒谬的。自从我们在中国推出以来,Sinnet一直在运营这些数据中心,他们从一开始就拥有这些数据中心,

亚马逊在我们的供应链中采用严格的安全标准 ——在投入生产之前调查所有硬件和软件,并在内部和我们的供应链合作伙伴进行定期安全审核。我们通过为处理器,服务器,存储系统和网络设备等关键组件实施自己的硬件设计,进一步加强了我们的安全态势。

美国国土安全部:目前没有理由怀疑这些公司否认该报道的声明

10月6日,美国国土安全部(DHS)官网表示,没有理由怀疑苹果、亚马逊和超微否认本周早些时候彭博发布报道中的指控。

“美国国土安全部了解媒体关于技术供应链妥协的报道。就像我们在英国的合作伙伴国家网络安全中心一样,目前我们没有理由怀疑故事中提到的公司的陈述。信息和通信技术供应链安全是DHS网络安全使命的核心,我们致力于保护美国和世界各地越来越多的技术的安全性和完整性。就在本月——全国网络安全意识月——我们启动了几项政府-行业计划,开发短期期和长期解决方案,以管理全球供应链日益复杂挑战所带来的风险。”

不少国外媒体认为,这则回应实际上否认了彭博“间谍芯片”的报道。英国国家网络安全中5日也曾表示,没有理由怀疑苹果和亚马逊公司对该报道提出的质疑。

“间谍芯片”门,疑点重重

一个不足米粒大小的芯片,有可能在服务器上为黑客开启一扇“隐形门”吗?

华为海思某芯片研发人员表示:“有可能实现,但不可能偷偷实现。”一位在美国某云计算企业工作8年并曾在亚马逊任职的创业者同样认为,报道的真实性值得商榷。“它这个写的有点像科幻小说了。如果不是彭博社,这篇报道不会有人相信。”

援引寻找中国创客(ID:xjbmaker)在《中国间谍芯片渗透美国公司?四大疑点违背常识》一文中说法,通过与相关技术人员交流,从流程和技术角度,报道中至少有四点违背工程界常识,解释不通。

首先是问题主板的发现契机。根据报道,问题芯片是亚马逊在一次收购前的尽调中发现的,但据应对过无数次第三方安全机构审查以及FBI 的轮番造访的业内人士表示,在类似亚马逊收购 Elemental 这样的并购案中,尽调流程中检查服务器主板上的元器件还闻所未闻,因为检查主板元器件无论是工作流程还是技术实现都太过天方夜谭。

其次,如果芯片要达到文中所说的“允许攻击者在任何包含更改过的机器的网络中创建一个隐形门”,就需要合适的供电和逻辑控制单元。也就是说,在主板上加一个芯片并不是直接粘贴上去这么简单,而是需要改变主板设计原理图,改变供电走线。而主板级别的电路板上,最简单的电路设计都有4-6层,如果要增加一个电源线,需要改动无数线路。“已经设计好的主板,很难在不被发现的情况下插进去一个芯片。”

第三,退一步讲,“就算整个主板电路团队全被买通了,也不容易实现攻击。”一是高安全级别的系统会与外网进行物理隔离,也就是说其他计算机无法通过远程操控进行控制;二是无论亚马逊、苹果还是美国安全部门,操作系统各不相同,很难通过一块主板搞定所有系统。三是即便是硬件攻击,也需要在软件层面进行信息传输,而以苹果、亚马逊的安全防范机制,在软件层面很难放过异常现象。

最后,由于文章中没有更多数据,难以对芯片需要的体积进行评估,但现有的 CPU 都比文中描述的大。华为海思芯片研发人员表示,“直观来看,我也认为米粒大小的东西也难做成这件事。”

目前,这桩科技界的“罗生门”尚未有定论。

喜欢这篇文章?分享给更多人看吧!

iot101君

物联网领域学霸君

关注物联网智网智库,让你烧脑烧到吃不下饭。

她的相关文章

友情链接