Nagy bombát robbantott a Bloomberg legújabb nyomozós cikkével. Az amerikai lap azt állítja nevük elhallgatását kérő, nemzetvédelmi területen dolgozó forrásokra hivatkozva, hogy a Kínában összeszerelt Supermicro szerverek egy része egy olyan apró csipet is tartalmazott, amely sebezhetővé tette a szervereket a külső behatolással szemben. Magyarul és kevésbé megfontoltan: a kínaiak megoldották, hogy lehallgathatóvá tegyék a legnépszerűbb szerverekben használt alaplap gyártójának termékeit.
Az apró, egy másik alkatrésznek álcázott csip részben a szerverek távmenedzsment lehetőségeit használták ki. Ez azonban nem teszi kisebb fegyverténnyé a támadást. A csip behelyezésével a támadók teljes uralmat nyertek a gép felett, jelszót változtathattak távolról, letilthattak frissítéseket, ellophattak titkosítókulcsokat. A lehetőségeknek csak a képzelet szab határt. Ekkora és ennyire sikeres hardverhekk eddig nem volt.
A hardveres támadásnak megvan az az előnye, hogy a megpiszkált berendezéseket vissza lehet követni a forrásig. Az amerikai elhárítás nyomozása négy, a Supermicrónak bedolgozó kínai összeszerelő üzemig követte a nyomokat. A nyomozók végül arra jutottak, hogy a Kínai Népi Felszabadító Hadsereg hardveres támadásokért felelős egysége – amelynek korábban a létezéséről sem tudtak – áll az ügy mögött.
Tagadások és terelések
A kínai kormány a maga részéről természetesen tagadja, hogy bárki hozzányúlt volna a Supermicro szerverekhez. A kínai külügyminisztérium nyilatkozata szerint, és ezt nehéz nevetés nélkül idézni:
„Kína a kiberbiztonság elszánt védelmezője.”
Még érdekesebb, hogy a Bloomberg cikke szerint a támadásnak áldozatul esett két cég is erősen tagad. Az Apple tőle szokatlan módon kemény hangú közleményt adott ki, amely szerint a Bloomberg forrásainak állításaival szemben egyetlen hardveres hekket tartalmazó gépet sem találtak az adatközpontjaikban. Sem korábban, sem azután, hogy a Bloomberg erre vonatkozó kérdésekkel kezdte el őket bombázni a cikk megjelenéséhez vezető 12 hónapos munka során.
Az Amazon, amelynek a fél világot kiszolgáló AWS nevű felhőszolgáltatásában voltak Supermicro szerverei, egy kicsit visszafogottabbnak bizonyult. Ők csak azt cáfolták, hogy tudtak arról, hogy az elmúlt években eladott kínai AWS-adatközpontban hekkelt szerverek lettek volna. Emellett az sem igaz a cég szerint, hogy az Amazon tudott volna a szerverhekkelésről vagy együttműködött volna az FBI-jal a nyomozásban.
Végül a Supermicro teszi fel a cseresznyét a süti tetejére, amely nem tud arról, hogy bármilyen nyomozás folyna bármely kormányszerv részéről az ügyükben. És tagadják azt is, hogy bármely kormányszervvel kapcsolatban állnának hekkelt szerverek ügyében.
Az igazság odaát
Időbe telik, míg letisztul, hogy ki téved vagy ki hazudik az ügyben. A Bloomberg cikkében vázolt forgatókönyv nem elképzelhetetlen, szándékosan becsempészett szoftveres sebezhetőséget tartalmazó eszközöket viszonylag gyakran fognak, és a korábbi amerikai Huaweii és ZTE kitiltási botránya is eszünkbe villanhat. Ez utóbbi során pont azzal gyanúsították meg a két kínai mobileszköz- és mobilhálózati hardvergyártót, hogy összejátszanak a kínai hírszerzéssel. A hardveres sebezhetőség ritkább, de a hardveres, csip szintű biztonsággal foglalkozó Joe FiztPatricknak a témával foglalkozó cikke szerint nem állít megvalósíthatatlan dolgokat a Bloomberg.
A Lawfare blog szerint a rejtély megoldásához két módon visz közelebb a Bloomberg cikke. Egyrészt a lap a törésben érintett harminc cég közül csak kettőt nevezett meg, viszont most a cikk hatására várhatóan mindenki elkezdi átnézni a Supermicro gyártotta szervereit. Elég, ha csak egy megerősítés megjelenik, hogy újabb lendületet kapjon a cikk. Másrészt pedig eddig az FBI vagy az NSA nem figyelmeztethette azokat a cégeket sem, akikről tudták, hogy áldozatul estek, mert a saját nyomozásukat buktatták volna le ezzel. Most, hogy az információ publikus, már elkezdhetik a károk felszámolását.
Másvalaki problémája – kövesse a Magyar Narancs technológiai-társadalmi kérdésekkel foglalkozó blogját!
Másvalaki problémája – Magyar Narancs
Nem látod, pedig ott van, és téged is érint. A Magyar Narancs új, technológiai-társadalmi kérdésekkel foglalkozó blogja.