當彭博社稱中國惡意植入晶片,已滲透到近30家美國大型公司之後……
一場中美貿易戰還沒消停片刻,美國又變更策略,新開了一場中美網路戰——當上週四,外媒彭博社聲稱中國利用微型晶片滲透到30家美國大型公司之後,由於原文《The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies》太過冗長,我們先挑重點吃一下這個國慶期間的瓜:
這事兒要從2015年說起,亞馬遜為了展開一次潛在收購,對壓縮海量視訊的初創公司Elemental Technologies進行了安全調查,發現後者使用的伺服器是超微組裝的,進而在主機板上發現了微型惡意晶片。
過程如下:
然後亞馬遜就跟美國安全部門報告了。事態嚴重,因此展開了長達三年的絕密調查,繼而鎖定了中國分包商的工廠。彭博社還稱整個事件有相關17人站出來證實超微的硬體存在惡意晶片問題, 由於事件的敏感性,其中很多人要求對其身份進行保密(劃圈)。
然後得出結論:中國間諜利用美國超微電腦股份有限公司(SMCI,以下簡稱超微)提供的伺服器硬體元件(內含中國分包商安裝的微型惡晶片)直接或間接黑進了至少30家大型美國公司的伺服器,公司包括了一家大型銀行,政府承包商還有蘋果等,涉及政府機構包括國防部,美國海軍,國土安全域性,美國國家航空航天局以及美國國會等,不過文章沒說超微的所有計算機都安裝了惡意晶片。而安裝微型晶片的元件能接管伺服器並重寫系統軟體,允許黑客在任何包含改裝機器的網路上建立後門程式。
然後主要相關企業紛紛站了出來:
AWS:文章漏洞百出。我們沒發現惡意晶片,也沒跟相關部門報告過你說的調查。想正常瞭解情況,你還不配合!
蘋果:此瓜來源不明,慎食。總而言之,我們特別安全。
美國超微:我不是,我沒有。寶寶最委屈……
美國國土安全域性:別慌,我相信大家!
關於亞馬遜:
亞馬遜官方釋出通告,首席資訊保安官Steve Schmidt直接站出來表示,當初對Elemental的調查屬於盡職調查,也確實委託過一家,且僅一家外部安全公司進行安全評估,可報告裡除了一些建議修復區域,沒發現啥惡意植入晶片。亞馬遜也在收購完成之前修復了所有關鍵問題。那麼問題來了,我們沒給彭博社看過這份安全報告,並且它也拒絕與我們分享任何其他報告的細節,這份報告哪兒來的?
彭博社的文章裡還提到亞馬遜在瞭解Elemental伺服器中的硬體篡改和惡意晶片問題之後,對超微的主機板進行了全網審計,並在北京的資料中心發現了惡意晶片,所以才“壯士扼腕”,通過把亞馬遜通技術服務(北京)有限公司基於 AWS 雲服務的特定經營性資產(包括不限於伺服器等 IT 裝置)賣給光環新網來擺脫超微。
對於這個說法,亞馬遜表示從未在任何資料中心的伺服器裡找到過這種惡意晶片。並且自從亞馬遜業務在中國推出以來,光環新網一直在運營這些資料中心,他們從一開始就擁有這些資料中心,亞馬遜“出售”的硬體是為了遵守中國法律法規。
再加上,亞馬遜在供應鏈中採用了嚴格的安全標準,在投入生產之前就會調查所有的硬體和軟體,並在內部與供應鏈合作伙伴進行定期安全稽核。還通過為處理器,伺服器,儲存系統和網路裝置等關鍵元件實行自己的硬體設計來進一步強化自身安全性。
關於蘋果:
彭博社在文章裡曾提及蘋果發現惡意晶片因此換掉了7000臺超微的伺服器,然後蘋果在週五表示那是惡意軟體問題,已經解決了。絕不是彭博社報道的大規模硬體篡改。
據路透社報道,蘋果資訊保安副總裁,George Stathakopoulos已經給美國參議院和眾議院商業委員會寫信表示沒發現過報告裡說的惡意晶片和漏洞。而蘋果的專用安全工具也不是吃素的,一直在掃描那些存在惡意軟體的出站流量,結果是啥都沒找到。
蘋果近期退休的法律總顧問,Bruce Sewell則向路透社表示,早在去年聽到彭博社報道超微伺服器植入惡意晶片事件時,他就和當時的FBI法律總顧問James Baker打了電話,對方迴應說,“我從來沒有聽說過這個,但請給我24小時確認。”24小時後電話回覆稱,沒人知道這事的所謂內幕。
關於超微:
超微也已經否認了這套說辭。且不說真假,我想超微都算是被這篇文章害的最慘的一個了,截至週五,退市的超微股價已經下跌了近50%,推特賬號都被封掉了,搞得還挺嚴肅……
吃瓜看法:
這種神操作的入侵方式和規模,除非黑客犯下了一些重大錯誤,否則幾乎不可能被發現,也阻止不了……文章略顯浮誇。
文章重點強調了外包是罪魁禍首,稱目前特朗普政府已將包括主機板在內的計算機和網路硬體作為其對中國最新一輪貿易戰焦點,並且美國官員指出多年來他們不止一次的告知這些美國公司不要將技術供應鏈轉移到其他國家,就是不聽,看看後果多嚴重……(已經有點相信這是貿易戰的新形式了)
目前產生的結果:
彭博商業週刊釋出後,即便聯想集團宣告自己不用超微的產品,股價也下跌了超過15%。中興通訊股價下跌了11%。亞馬遜與蘋果的股價也略有下滑。頓時覺得,這篇文章給美國大型科技公司造成的極大恐慌,後者也可能重新考慮是否在中國開展外包業務。對美國政府而言,效果還是立竿見影的。
【本文版權歸儲存線上所有,未經許可不得轉載。文章僅代表作者看法,如有不同觀點,歡迎新增儲存線上微信公眾號(微訊號:doitmedia)進行交流。】