Comments 134
Всего было атаковано около 30 америсканских компаний из сферы финансов и технологий.
Каких?
… Микрочип, к примеру, мог отключать проверки паролей пользователей, так что атакующие могли без проблем установить на сервер любой код...
Не чип, а волшебная палочка какая-то…
Сами-то верите в эти шпионские бредни англосаксов?
Кто в 2018 ставит Windows на сервера и зачем?
Ну в 2018 году на серверах все же еще есть и иные задачи, кроме web-сайтиков. И немало таких.
Можно ставить Windows Hyper-V Server, например.
Да и bare metal нужно иногда. Например, специфический софт под Windows. В РФ я бы привел в пример терминальный сервер для 1С. В США наверняка есть что-то свое, требующее Windows.
Да и bare metal нужно иногда. Например, специфический софт под Windows. В РФ я бы привел в пример терминальный сервер для 1С
Ну, терминальный сервер 1С прекрасно работает в виртуалке под ESXi. И хаспы через проброс с хоста кушает. Более жизненный пример bare metal — медиа-серверы систем бекапа, когда нужна максимальная throughput и больше там в принципе ничего не выживет по причине близкой к 100 % загрузки сети и дисков.
Оркестратор (управляющий сервер) — виртуалка, а данные вообще льются прямо с СХД на другую СХД.
И сколько серверов (в %) на нашей планете работает с отдельными СХД, по вашему?
Вас удивит, если вы узнаете что в подавляющем большинстве проектов вообще используется ровно один сервер?
Да, кластер, СХД, master-slave — да, да, да. Только это удел очень даже немногих компаний. В подавляющем большинстве фирм — компьютеры это то же что и бытовая техника, не более того.
Без проблем заводится gpo? Без проблем на линуксе можно всюду распространить апдейты вместо wsus? Без проблем sso, авторизации? Без проблем можно раскатать софт, сертификаты, монтирование шар? Что там с DFS?
Все вот эти «без проблем» обычно я слышу от тех кто не сталкивался с более/менее крупной инфраструктурой, не 1-5-10 компов в мелком офисе, а 10-50-70-100 тысяч и 1000+ серверов.
Есть такое понятие как «целесообразность». Кто при вашем «без проблем на линуксе» осуществит поддержку крупной инфраструктуры если что пойдёт не так? По какому SLA? Знаю случай когда для очень крупной в РФ конторы Microsoft шустро выпустила патч для AD, чтобы увеличить лимит уровня вложенности. Вы подобное сами будете делать и «без проблем»? 24х7х365 в случае чего осуществите поддержку с четким SLA по времени реакции?
Надо понимать, что кроме сайтов есть другие виды бизнеса, где IT решает прикладные задачи, и IT для почти всех компаний это услуга. У услуги есть цена.И зачастую TCO(совокупная стоимость владения) у многих платных продуктов будет ниже чем у opensource в силу ряда причин.
Увы, сейчас не только в серверах, но и в обычных системах есть BMC (Base Motherboard Controller), который имеет огромные привилегии, и при этом содержит закрытый никем не проверенный софт. Вполне логично атаковать именно его.
Я также читал никем не проверенную версию, что Эппл и Амазон эту закладку обнаруживали то ли из-за подозрительного сетевого трафика, то ли из-за проблем с прошивкой ROM (считываемые данные не совпадали с записываемыми).
Предлагаете перечитать все 175 комментариев, чтобы не повторяться.
А ещё лучше сделать цитату того поста, чтобы даже кликать не надо было, вам бы за это ещё в карму кто нибудь плюсанул.
Справедливости ради supermicro не единственный у кого так устроено, но он лидирует в госзакупках.
Была такая статья, вы правы.
Увы, не могу вспомнить ничего, что помогло бы ее найти.
Предположительно, 6-контактный чип размещался на пути между IPMI-контроллером и его ROM с SPI интерфейсом
Давай считать.
2 контакта вход/выход для DO линии — подмена выходных данных.
3 контакта в режиме сниффера CS, CLK, DI — необходимы для внутренней эмуляции подмены внешнего чипа.
2 контакта питания.
И того в сумме 7 контактов!!! — вопрос, как оно работало?
— www.supermicro.com/newsroom/pressreleases/2018/press181004_Bloomberg.cfm (англ.)
— www.supermicro.com/newsroom/pressreleases/2018/press181004_Bloomberg_Russian.html (рус)
> Компания Supermicro никогда не находила в составе своего оборудования никаких шпионских чипов и не получила от каких-либо клиентов информации об обнаружении подобных устройств.
> Ни одно американское или зарубежное государственное агентство ни разу не обращалось к Supermicro в связи с подобными обвинениями.
> Supermicro — не единственная компания, производящая материнские платы в Китае. Это стандартная отраслевая практика. Практически все поставщики систем используют аналогичную модель контрактного производства. Supermicro проводит жёсткий отбор, квалификационный анализ и сертификацию каждого подрядчика, а также регулярно инспектирует производственные базы и тщательно отслеживает все технологические процессы.
Это бредни журналистов, а вот "англосаксы" -это древнегерманские племена. Старайтесь не транслировать новояз из методички, это убивает русский язык.
англоса́ксы
мн.
1.
Общее название германских племен — англов, саксов, ютов и фризов, положивших начало английскому народу.
2.
Название англичан и американцев.
3.
Представители этих племен.
Толковый словарь Ефремовой. Т. Ф. Ефремова. 2000.
Подчеркивание мое.
Выгодно китайцам — получать ценные разведывательные данные из военных структур США. Ну и нам кстати тоже было бы выгодно.
А че, компьютер с секретными данными подключен к интернету?
Файрволлов нет, админов нет… В Одноклассники (шучу, в Фейсбук конечно) доступ с рабочих компьютеров военных не закрыт…
Ну разумеется, все эти системы полностью изолированы от интернета, и совершенно безопасны. Не было ни одного случая проникновения, нечего и пытаться.
Кстати, если мне не изменяет память, то в интеловских сетевых чипах есть зомби пакет при получении которого сетевушка вешает комп. И вроде на хабре была такая статья.
Экономическая война, новый виток, зуб даю (молочный).
Не первый раз «лучшие друзья»-китайцы попадаются на встраивании анальных зондов в электронику. Пора бы уже обучиться.
Не в пользу информации Bloomberg также свидетельствует излишнее усложнение атаки: при доступе к производству вместо отдельного и заметного чипа надёжнее было бы интегрировать бэкдор прямо в SPI Flash и поставлять на платах неотличимый от оригинала модифицированный чип.
Кстати, тут фото даже есть этого чипа. И это оригинальная ссылка на статью, а не как в этом переводе просто на издание ссылка.
Странный автор статьи тут — ошибку в тексте в первом комменте указал, автор ее исправил и не написал про это в ответ…
А вообще выглядит как защита ESD или фильтр помех
Если бы я ставил его на плату, то такую крохотульку засунул бы под любой разъем — места там достаточно, а еще есть другой вариант — сейчас конденсаторы ставят прямо под BGA-чипы — никогда не найдёте.
А вообще выглядит как защита ESD или фильтр помех
Не. Это либо балун, либо coupler, у них очень характерный вид и очень характерное применение — только в радиочастотных цепях. И это привет журналистам Блумберга, которые где-то услышали слова «signal conditioning device», вбили их в гугль, попали в прайс Digikey, где балуны зачем-то проходят в разделе signal conditioning, и взяли первую картинку оттуда.
Короче, учёные опять изнасиловали журналистов.
Реальный чип так выглядеть не мог именно из-за характерного вида, да и из-за конструкции тоже — неудобно как-то в керамику паковать микроконтроллер.
А вот чёрная LGA'шная блоха типа такой (снималось мной в подвалах ГРУ, чек на такси прилагается) или чуть крупнее была бы к месту, таких чипов на современных материнках пачки, никто их не считает и не замечает.
Что-то ахинейка написана. Что есть SPI Flash? SPI это вроде протокол, Flash тип памяти.
Итого, если заменить прошивку во флэше, америкосы это увидят СРАЗУ, т.к. авторы прошивки амеры, а не китайцы.
Если имелось в виду «модифицировать SPI-контроллер», то каким образом он поможет спрятать изменения когда америкосы соберутся перешить прошивку? Сразу всё вскроется.
Ну и моя версия — что данный чип наоборот отключал пиндосские трояны в IME никак не расвенчана :D
Что-то ахинейка написана. Что есть SPI Flash? SPI это вроде протокол, Flash тип памяти.Ахинейкой это становится когда не способен понять что это "Flash память с интерфейсом SPI". Впрочем, сложно ожидать чего-то другого от человека использующего слова "америкосы", "амеры", "пиндосские"…
Bloomberg Reports China Infiltrated the Supermicro Supply Chain We Investigate
First and foremost, I think we need to call for an immediate SEC investigation around anyone who has recently taken short positions or sold shares in Supermicro. With the accompanying Supermicro stock price hit that was foreseeable prior to the story, if anyone knew the story would be published, and acted on that non-public or classified information, the SEC needs to take action. There seems to have been over 20 people that knew about this.
Если вкратце, автор статьи Патрик Кеннеди (Patrick Kennedy) призывает Комиссию по ценным бумагам и биржам США незамедлительно провести расследование в отношении тех, кто продал акции Supermicro или открыл короткие позиции по ним незадолго до публикации статьи на сайте Bloomberg.
P.S. Помнится, одного любителя Марса недавно оштрафовали на 20 миллионов долларов за позитивную, но оказавшуюся не вполне достоверной новость о своей компании.
А не проверить бы Патрика Кеннеди на получение денежных переводов в юанях? Вроде как такая схема с «экспертами» уже отработана...
The bad news is that BMC's are extremely dangerous. They are also pervasive with a few points under 100% of servers having them these days. The Bloomberg article cites the well-known Supermicro BMC/ IPMI vulnerabilities. Supermicro is not alone. Every Dell EMC PowerEdge server (edit: 13th generation and older, the new 14th generation has a fix to prevent this) has a local and remote exploit available that the company can mitigate with patches, but cannot fix. We broke this story with iDRACula. If you think you are safe with HPE or Lenovo servers, here are BMC vulnerabilities for other vendors.
The security community, as a whole, knows that BMCs are both useful if not mandatory in today's infrastructure. As a result, the security community, and major hyper-scale vendors are putting a lot of effort in researching security solutions.
One of the more interesting bits is that if it is a BMC vulnerability or anything that «phones home» over a network interface, one would expect that security researchers would have seen it. There are companies that put boxes on networks just to see what network traffic they create. Supermicro tends to build common designs that it ships to multiple customers. It would be slightly interesting if only some Supermicro servers, e.g. for certain customers were impacted. If China did not do this, it would have been caught earlier. If China did limit to a few customers, it would be difficult to target them at PCB. As we will show shortly, Supermicro PCBs are used across products.
Bottom line, if this Supermicro attack vector is to the BMC, then the Bloomberg story is no bigger than the Dell EMC PowerEdge iDRACula story or any others. Saying there is a vulnerability in a BMC is like saying the sun is hot.
Where the Bloomberg Piece Makes No Sense
There is one area where the Bloomberg piece makes no sense. Supermicro servers are procured for US Military contracts and use to this day. Supermicro's government business is nowhere near a large as some other vendors, but there are solutions providers who sell Supermicro platforms into highly sensitive government programs.
If the FBI, or other intelligence officials, had reason to believe Supermicro hardware was compromised, then we would expect it would have taken less than a few years for this procurement to stop.
Assuming the Bloomberg story is accurate, that means that the US intelligence community, during a period spanning two administrations, saw a foreign threat and allowed that threat to infiltrate the US military. If the story is untrue, or incorrect on its technical merits, then it would make sense that Supermicro gear is being used by the US military.
Патрик Кеннеди высказывает сомнение касательно надежности обвинений в адрес китайцев, в частности, по двум причинам:
1) Проведение целенаправленной атаки против конкретной компании или конкретного ведомства подобным способом — весьма затруднительное дело. А если бы китайцы массово встраивали подозрительный чип в материнские платы, то исследователи-безопасники, наверное, обнаружили бы его раньше.
2) Серверы с такими материнскими платами уже не первый год используются американскими военными. А ведь, по идее, всё, что поставляется военным, проходит тщательную проверку.
Американские ведомства и антивирь Касперского одно время использовали.
В чем суть скандала с «Лабораторией Касперского» и АНБ | Блог Лаборатории Касперского
Если что, мотороллер не мой.
Очередное "Предъявите ваши доказательства! Этот антивирус не наш, и вообще он уволился месяц назад." Тем не менее глава «Лаборатории Касперского» Евгений Касперский признал факт загрузки на сервера своей компании секретной информации Агентства национальной безопасности (АНБ) США.
Кстати заметили, что по странному совпадению утечки из ведомств США примерно год как прекратились?
— А правда, что антивирус Касперского собирает данные с компьютеров?
Да, правда, но это не личные данные наподобие документов и фотографий. В наших продуктах, как и в антивирусах большинства других компаний, есть облачная защита. Она помогает реагировать на появление новых угроз и защищать всех наших пользователей буквально в течение минуты. У нас она называется Kaspersky Security Network (KSN). В рамках работы KSN антивирус действительно может передавать в облако файлы, но это касается только вредоносных или подозрительных файлов. Подробнее про это написано здесь.
Разумеется, как же может быть иначе :)
Kaspersky and the Third Major Breach of NSA’s Hacking Tools – emptywheel
Мое внимание привлек этот скептический комментарий к статье.
Richard Steven Hack says:
October 8, 2017 at 4:30 am
I totally doubt most of this story. Simply because of the “Russia, Russia, Russia” hysteria – most of it based on zero evidence – which led the US government to start messing with Kaspersky.
Now we have this “convenient” story – backdated two years for credibility apparently – that suggest – again without ANY evidence or even a DIRECT accusation – which would hold the WSJ out for a lawsuit if proven wrong – that Kaspersky was helping Russian intelligence.
I call BS. I suspect that most of the infosec community does not believe Kaspersky is working with the Russian government to spy on its users or even some of it users. If it were true, it would likely have been detected years ago (and not just two years ago directly by the NSA.)
The story also raises a lot of questions about NSA security policy. The NSA guy was supposedly using his home PC to develop new malware. So what? He puts this new malware on his own host machine which runs KAV and doesn’t use a VM for development? So KAV detects his new malware and immediately grabs it to send it up to Kaspersky who immediately recognizes it as NEW NSA malware and calls Russian intelligence?
Is this NSA guy a moron to be developing classified software – malware at that – on a home PC which is connected to the Internet AND running “phone home” software on it? Is this how they train their people? Would Ed Snowden have done this? Or is the NSA willing to blow what little is left of their credibility just to mess with a Russian AV company?
Or is it more likely that – like the NSA undoubtedly does in the US – Russian intelligence is hoovering up all Internet streams, especially including AV – and other “phone home” – software for intelligence? The problem of phone home software has been known for years. Presumably both the NSA and the Russian government – and probably many others – know and use that for intelligence collection. So do we assume Kaspersky is the culprit or the wholesale collection of the Internet by government?
How do we know that Russian intelligence doesn’t know EXACTLY who this NSA employee or contractor is and has been hoovering up his Internet connection for years? Or that the NSA has been hoovering up his Internet stream and the Russians have tapped that?
As usual with “Russia, Russia, Russia”, a lot of people are jumping to conclusions based on a vague and faulty mainstream media report.
Кстати, откуда вы знаете, что утечки из АНБ прекратились?
ой я это сказал вслух ???
Это было бы безусловно дороже, зато возможно и делать он мог бы гораздо больше ввиду большего объема и точек входа
Другое дело, что мне тоже непонятно, зачем такие сложности с чипом между SoC и SPI Flash, когда можно прямо саму микросхему SPI Flash модифицировать.
Но вообще, история крайне мутная, на мой вкус…
Как-то встраиваться и так надо, плату, если установка этого чипа не планировалась изначально, придётся слегка переразвести, перемычки будут выглядеть топорно и SMD-монтаж не прокатит, а значит будет плохо выглядеть и быстро найдут.
Если это BMC, я бы впаивал просто другие BMC с такой же маркировкой, но с двумя разными SoC-контроллерами внутри, одним обычным, а одним «каким надо», и сделал бы чтобы второй активировался только при соблюдении каких-то редких условий :)
в SoC нет прошивки
… исключительно ради удобства и возможности раскирпичить окирпиченный при перепрошивке SoC выпаиванием и перепрошивкой микросхемы с чуть меньшим количеством ног.
Размеры и количество ног, кстати, в основном зависят от задачи. Кристалл i8080 на техпроцессе 6 микрон был размером около 5х5 мм. На техпроцессе 20 нм в 5х5 мм помещается почти в 100 тысяч раз больше транзисторов. Хорошо, пусть будет в 10 тысяч раз больше транзисторов. Это значит, что там хватит места на пентиум II, всю периферию, память и еще останется. А наружу можно вывести питание и 4 провода Ethernet (упс, те самые 6 контактов на фотографиях из Блумберга...). И да, если копнуть чуть глубже, чем ассортимент чип и дипа, то обнаруживается, что многие SoC выпускаются и в варианте со всей встроенной памятью для прошивки, и флэш, и RAM.
Дополнительный кристалл 5х5 мм можно поместить в примерно любой корпус примерно любой BGA микросхемы на матери. (Есть тонкости и особенности, и это, если сделано «в лоб», ловят на приемке...)
Почти все BMC строятся на чипах Aspeed.
SPI flash BMC почти всегда две.
Довольно часто они в кроватках, их не надо выпаивать.
Наружу надо вытащить не 4 провода и питание, а много питания, много пинов для памяти и чуть более, чем 4 линии для Eth Phy.
И я не понимаю, зачем второй "свой" SoC.
и чуть более, чем 4 линии для Eth Phy.
Ну хорошо. Не эзернет. LVDS по 4 проводам даст нам 672 мегабита в секунду полного дуплекса. Более чем достаточно для занятия примерно чем угодно.
много питания, много пинов для памяти
Как я сказал сразу, память _вся_ _внутри_. Зачем SoC, который занимается «нехорошими делами», будет что-то хранить во внешней памяти? Это ж можно подпаяться проводочками и узнать, что он там на самом деле внутри себя делает!
Питание — два BGA контакта на напряжении 5В дают нам до 2 Вт электричества (хотя да, нужно следить за температурным режимом). 2 Вт электричества в наше время — это больше 20 ядер ARM, например, A35 на гигагерце! 20 ядер ARM достаточно для примерно всего, что могут нафантазировать спецслужбы, лет на 20 вперед.
График на картинке для привлечения внимания представляет собой прекрасный пример того, как не нужно строить графики.
Визуально стоимость акций упала примерно в 20 раз.
Держите правильный, не обрезанный график, с нулём:
На котором виден тренд за последние 3,5 года.
Хоть кто-то написал про нуль на графике. А то инвестиционные блоги обычно полны "драматических" графиков, которые скорее пугают.
Авторам поста за такой график, конечно, порицание.
Какой-то у Вас ноль неправильный.
Правильный ноль проходит по нижней границе диаграммы.
А у Вас визуально акции не в два раза обвалились, а гораздо меньше
Но вот заливать всю эту область (представляющую собой отдельный график с собственной шкалой, так сказать график в графике) тем же цветом что основной график? Чтобы визуально все слилось в одно?!..
Это либо сильная криворукость или попытка манипулировать в обратную сторону.
А вот заливку заливать не до нуля (конца/начала графика), а «до дна» — явная криворукость. Стандарт — всегда заливать до нуля, т.к. заливка под линией графика это не просто «украшение», а визуализация данных. Например если график не цены, а объема продаж/производства — то площадь этой заливки это суммарный объем за период.
Интересного кого — дизайнера («ну так же красивее выглядит») или веб-программера.
Да, забавно вышло, только сейчас заметил.
В комментариях на HN писали, что никаких доказательств нет, что Bloomberg мутит воду, что они миллион раз писали Apple, что якобы у тех утечка данных, Apple проводила расследования, ничего не находила, и до сих пор не нашла.
Короче, это какие-то мутные политико-экономические игры, возможно, единственная цель которых — обвалить акции Supermicro.
Доказательств, как всегда, нет ни одного, только общие рассуждения: «спецслужбы нашли», «на китайских заводах», «размером с рисовое зернышко», «хайли лайкли», «олмост сёртайнли». Где-то мы это уже слышали...
Я заметил, что за сутки публикации этой статьи (и с времени публикации похожей статьи, упомянутой выше, которую я увидел только сегодня) почему-то никто не догадался пойти на сайт Supermicro и посмотреть, есть ли там какая-то реакция на публикацию в Bloomberg.
Ответ находится по ссылке: www.supermicro.com/newsroom/pressreleases/2018/press181004_Bloomberg.cfm
Кратко процитирую его здесь.
Supermicro Refutes Claims in Bloomberg Article
(Supermicro along with Apple and Amazon refute claims in Bloomberg story)
SAN JOSE, Calif., October 4, 2018 — Super Micro Computer, Inc. (SMCI), a global leader in enterprise computing, storage, networking solutions and green computing technology, strongly refutes reports that servers it sold to customers contained malicious microchips in the motherboards of those systems.
In an article today, it is alleged that Supermicro motherboards sold to certain customers contained malicious chips on its motherboards in 2015. Supermicro has never found any malicious chips, nor been informed by any customer that such chips have been found.
Each company mentioned in the article (Supermicro, Apple, Amazon and Elemental) has issued strong statements denying the claims:
Apple stated on CNBC, “We are deeply disappointed that in their dealings with us, Bloomberg's reporters have not been open to the possibility that they or their sources might be wrong or misinformed. Our best guess is that they are confusing their story with a previously reported 2016 incident in which we discovered an infected driver on a single Supermicro server in one of our labs. That one-time event was determined to be accidental and not a targeted attack against Apple."
Последнее предположение про инфицированный драйвер как раз подводит к мысли о случае «ученый изнасиловал журналиста».
Так же, эта история и обсуждения на этом сайте показывают, что достаточно легко сделать «псевдо-научную» статью, которую все, кроме хороших специалистов, не смогут адекватно оценить. Это не хорошо и не плохо, это просто закон природы.
Бред написать достаточно легко, а что бы его опровергнуть — надо быть хорошим специалистов. Т.к. количество людей, генерирующих бред и число специалистов различается на порядки (не говоря даже о том, что на опровержения нужно потратить силы/время без гарантии, что вас поймут), то засирание информационного пространства бредом — это закономерный процесс.
Существование теорий плоской земли — прямое следствие этого закона. Кстати, вот хороший иллюстративный пример: youtu.be/mQj2qUulog0?t=9m41s
Можно, конечно, ржать над роликом про плоскую землю, но люди верят… И это только относительно простой пример. Будь затронута тема, которая чуть в стороне от базовых знаний, 99,99% процентов читателей Хабра не заметят подвоха. Кстати, к ролику РенТВ отношения не имеет.
Сегодня, как раз, вышла интересная заметка на эту тему: Три экспериментатора рассказали, как публиковали в научных журналах фейки.
Выводы упомянутого исследования достаточно просты:
… Как признаются Линдси, Богоссян и Плакроуз, своим экспериментом они хотели показать, что в сфере общественных и гуманитарных дисциплин идеологические установки, как правило, превалируют над требованиями научности...
Справедливости ради, это не противоречит новости от Блумберг. Супермикро не находил вредных чипов, и не получал репортов от клиентов. Это не исключает возможности их наличия, если они добавлены без ведома Supermicro.
Отрицание статьи Амазоном можно объяснить, если предположить, что Амазон получил требование о неразглашении данных секретного расследования.
> That one-time event was determined to be accidental and not a targeted attack against Apple
Производитель случайно установил зараженные драйвера…
Блумберг утверждает, что они проверяли данные у разных источников:
> In addition to the three Apple insiders, four of the six U.S. officials confirmed that Apple was a victim. In all, 17 people confirmed the manipulation of Supermicro’s hardware and other elements of the attacks.
Не исключено, конечно, что это какой-то координированный вброс дезинформации властями.
Ваша отсылка к Линдси, Богоссян и Плакроузу ничего не подтверждает и не опровергает.
Отрицание статьи Амазоном можно объяснить, если предположить, что Амазон получил требование о неразглашении данных секретного расследования.
Если вы решили развести конспирологию, то я заведомо в проигрышной ситуации, т.к. конспирологией можно объяснить абсолютно все, что угодно.
Если смотреть на факты, то со стороны Bloomberg есть неизвестные секретные источники. А с противоположной стороны — официальные заявления от компаний и конкретные имена: Bruce Sewell, James Baker, Tavis Ormandy и т.д.
Тут предполагается, что закладку встроили китайские «партнеры» по требованию китайского государства, а Супермикро не знал об этом. Расскажите, как вы завалите их исками в китайском суде.
Акции Supermicro обвалились на фоне расследования о внедрении в серверы компании китайских шпионских чипов