Door Bloomberg genoemde expert twijfelt over chip-verhaal
Een expert die in het chip-verhaal van Bloomberg Businessweek wordt genoemd heeft zijn twijfels over het verhaal. Bloomberg berichtte vorige week dat een eenheid van het Chinese leger malafide microchips had ontwikkeld en had toegevoegd aan moederborden van Supermicro. Deze moederborden werden vervolgens gebruikt in servers die bij Apple, Amazon en andere bedrijven werden aangetroffen.
Supermicro, Amazon en Apple ontkenden het verhaal. Bloomberg laat in het artikel weten dat het zich baseert op 17 anonieme bronnen. De enige partij die bij naam wordt genoemd is Joe Fitzpatrick, een expert op het gebied van hardwarebeveiliging. Hij had sinds halverwege 2017 geregeld contact met één van de Bloomberg-journalisten die het artikel schreven. Bij het lezen van het artikel voelde Fitzpatrick zich echter "ongemakkelijk", zo laat hij in een interview met journalist Patrick Gray weten.
Fitzpatrick heeft tijdens verschillende beveiligingsconferenties presentaties over hardware-implantaten gegeven. De expert vertelde de Bloomberg-journalist hoe dergelijke implantaten precies werken. Veel van de details in het Bloomberg-artikel lijken afkomstig te zijn van hypothetische voorbeelden die door Fitzpatrick werden gegeven. De expert stelt dat het artikel niet alleen weinig technische details bevat, maar dat de wel aanwezige details van hem afkomstig lijken te zijn.
"Wat me opviel is dat alle details die ook maar een beetje technisch zijn, afkomstig lijken van de gesprekken die ik had over hoe hardware-implantaten in theorie werken en hoe de apparaten werkten die ik twee jaar geleden tijdens de Black Hat-conferentie liet zien", zegt Fitzpatrick. De expert merkt op dat hij alleen maar hardware-implantaten voor de lol ontwikkelt om tijdens conferenties te demonstreren. Hij is niet iemand die dit voor zijn werk doet.
Toch werden alle theoretische scenario's die Fitzpatrick schetste door de anonieme bronnen van de Bloomberg-journalisten in het artikel bevestigd. "Of ik heb voorspellende gaven of er is iets anders aan de hand", merkt de expert op. Daarnaast maakte Fitzpatrick aan één van de Bloomberg-journalisten zijn twijfels duidelijk toen hij meer details over het verhaal kreeg. "Ik hoorde het verhaal en ik kon er niets van maken, wat ik hem ook vertelde." Volgens de expert zouden aanvallers die een dergelijke aanval willen uitvoeren veel eenvoudigere manieren tot hun beschikking hebben. De aanval die Bloomberg omschrijft noemt Fitzpatrick niet schaalbaar en onlogisch.
"Weet je zeker dat het klopt?"
De beveiligingsexpert liet zijn twijfels over het verhaal ook merken aan de journalist. "De hele opzet slaat nergens op. Het slaat nergens op om de hoeveelheid tijd en geld te investeren in wat je beschrijft. Weet je zeker dat degene die de analyse heeft uitgevoerd echt kennis over en verstand van hardware heeft? Er zijn veel mensen op internet die van alles over gebackdoorde hardware beweren, die eigenlijk engineering-oplossingen voor problemen vinden", zo schrijft Fitzpatrick in een e-mail aan de Bloomberg-journalist. Vervolgens geeft hij verschillende voorbeelden van zogenaamde backdoors die geen backdoors bleken te zijn en herhaalt de vraag of de journalist zeker weet dat de analyse klopt. "Ik begrijp wat je zegt, maar ben zeer sceptisch", sluit de expert zijn e-mail af.
De Bloomberg-journalist erkende in een reactie dat het allemaal vreemd klonk, maar stelde dat hij meerdere bronnen had die het verhaal bevestigden. Daarop vroeg Fitzpatrick om foto's van de aangepaste Supermicro-moederborden, maar die had de journalist niet. Verder blijkt dat de expert de journalist wees naar een klein technisch onderdeel. Foto's van dit specifieke onderdeel zijn in het Bloomberg-artikel terug te vinden, ook al zou het niet logisch zijn om dit onderdeel op een moederbord te plaatsen, aangezien die meestal niet op moederborden worden gebruikt, gaat Fitzpatrick verder. Hij zegt dan ook aan het verhaal te twijfelen. De Bloomberg-journalist werd nog gevraagd om een reactie, maar die liet weten dat Bloomberg niet op het verhaal reageert.
Het is interessant hoe Bloomberg hierop gaat reageren. Degelijke nieuwsmedia nemen zo'n voorval bloedserieus, die zien niet graag dat hun reputatie schade oploopt omdat een journalist stunts gaat uithalen. Die onderzoeken zo'n voorval dus en als blijkt dat een journalist dingen uit zijn duim heeft gezogen dan laten ze die vallen als een baksteen. Zoiets komt niet vaak voor maar het gebeurt wel. De reactie erop is een van de dingen waaraan je de kwaliteit van een nieuwsorganitie kan beoordelen. Gezien de internationale reputatie die Bloomberg heeft zou ik raar staan te kijken als dit geen vervolg krijgt.
Backdoors op harddisks (software en hardware) zijn een grotere zorg. Ik heb niet de middelen om dit te controleren als particulier.
De goedkope toetsenborden Made in China zou ik ook openmaken. De electronica is overzichtelijk en nog te begrjipen.
Ik niet, gezien het veel te kleine aantal aansluitingen van de chip die in het artikel getoond werd.
[..]
De goedkope toetsenborden Made in China zou ik ook openmaken. De electronica is overzichtelijk en nog te begrjipen.
Je ziet een zwarte blob (al dan niet met een nummer erop) en neemt maar aan dat de enige functie daarvan 'keyboard controller' moet zijn ?
Ik zie eigenlijk geen manier om als particulier een enigszins geavanceerde hardware aanval te herkennen.
Ik kan best een 'onlogisch' add-on dochterbordje herkennen, maar als de primaire chip gewoon een extra functie heeft, of zelfs alleen maar andere firmware weet ik niet hoe ik dat kan betrappen. Als je in je Wifi router de antenne in een vierkant stukje plastic met veel pootjes ziet gaan, waar Realtek (of Broadcom, of Atheros) op staat, wat heb je dan eigenlijk voor zekerheid gekregen ?
Je kunt het complot een andere kant op trekken - het artikel heeft de beurskoersen van de betrokken bedrijven best een zetje gegeven.
Het is eerder (geprobeerd) , met een paniek verhaal de koers omlaag duwen.
CTS labs, AMD : https://www.wired.com/story/amd-backdoor-cts-labs-backlash/
En een gewaarschuwd mens telt voor 2.
China is een groot land waar zeker rekening meegehouden moet worden, omdat de meeste electronica daarginder goedkoop geproduceerd en naar Europa geexporteerd wordt. En met al die achterdeurtjes en lekjes die voorbij komen.. scary..
Zelfs de NAVO laat het niet onberoerd. Lees dit artikeltje maar: https://www.thedailybeast.com/huawei-chinas-shadowy-telecom-giant-wants-a-foothold-in-europe
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.