Комментарии 168
Т.е. некий эксперт, заинтересованный в повальной проверке поскольку эти зарабатывает, сообщил: что в не названном количестве серверов, на не названной площадке, у не названного клиента, был найден чип не определенного назначения вероятно установленный на производстве, и все это происходило не скажу когда. Да и чип совсем другой, но не важно.
Доказательства огонь.
Доказательства огонь.
Ну если он врёт — то Supermicro может подать на него в суд. А вообще не первая история с закладками у китайцев.
История с закладками не первая и не последняя, и не только и даже не столько у Китайцев.
Одно дело, у нескольких серверов предназначенных для использования, ну например у боинга, нашли аппаратные закладки в сетевых разъемах. Это шпионаж в чистом виде и попасть такие закладки могут в продукцию любого вендора, включая чайники, поскольку защита от гос.шпионажа не является задачей производителя и мер против нее у него нет.
Другое дело когда в массовом продукте исполняются аппаратные модули не санкционированного сбора данных поставляемые всем без разбора и в огромных количествах.
Одно дело, у нескольких серверов предназначенных для использования, ну например у боинга, нашли аппаратные закладки в сетевых разъемах. Это шпионаж в чистом виде и попасть такие закладки могут в продукцию любого вендора, включая чайники, поскольку защита от гос.шпионажа не является задачей производителя и мер против нее у него нет.
Другое дело когда в массовом продукте исполняются аппаратные модули не санкционированного сбора данных поставляемые всем без разбора и в огромных количествах.
В ноутах Леново был шпионский софт в BIOS, поставлялся всем без разбору.
Вернее там всякие LoJack/Computrace были, которые вроде как отключались из БИОСа навсегда, а на деле — нет
то Supermicro может подать на него в суд.уже не может. Стоки упали и их убрали с бирж. Их оборудование сейчас будут спешно выкидывать из серверных (а это был один из крупных third party vendors, недорогой но приличный)
В принципе им конец.
Присмотритесь — там есть маленькая приписочка насчет источника данных о ценах акций: Other OTC
OTC = over the counter, внебиржевые сделки (дословно «торговля из под прилавка»).
Правда с биржи их выперли несколько раньше, чем текущий скандал начался.
OTC = over the counter, внебиржевые сделки (дословно «торговля из под прилавка»).
Правда с биржи их выперли несколько раньше, чем текущий скандал начался.
Кроме стоимости акций есть такое понятие, как деловая репутация.
Но что-то мне подсказывает, что в оригинале выбраны «правильные» формулировки, с помощью которых можно отмазаться в суде. Также, как в нашей стране принято говорить «по моему мнению», прежде чем поливать человека грязью.
И да, ну предвыборная гонка же в разгаре. Эпплбаум сам признается, что такие чипы уже встречал. Просто нужно поднять истерию, т.к. Россию называть «врагом номер один» уже смешно (мы, на мой взгляд, сейчас Польшу 1939-го напоминаем). Нужен враг (против которого дружить), который хотя бы неделю в реальной войне продержаться сможет. Китай — самое оно.
Но что-то мне подсказывает, что в оригинале выбраны «правильные» формулировки, с помощью которых можно отмазаться в суде. Также, как в нашей стране принято говорить «по моему мнению», прежде чем поливать человека грязью.
И да, ну предвыборная гонка же в разгаре. Эпплбаум сам признается, что такие чипы уже встречал. Просто нужно поднять истерию, т.к. Россию называть «врагом номер один» уже смешно (мы, на мой взгляд, сейчас Польшу 1939-го напоминаем). Нужен враг (против которого дружить), который хотя бы неделю в реальной войне продержаться сможет. Китай — самое оно.
Возможно, журналисты Bloomberg решили на этот раз не называть пострадавшую компанию, потому что в прошлый раз все якобы пострадавшие стали отнекиваться. :)
В коннекторах Ethernet самостоятельный чип, такой же как внедряла АНБ — «старый знакомый»…
И надо же такое совпадение, как раз в разгар торговой войны США с Китаем.
Да, бывает же.
Прям как со Скрипалями, сначала «капелька БОВ» (рисовое зернышко), потом обильно смазанная дверная ручка (Ethernet разъем с чипом внутри)… Вангую следующим шагом марлезонского балета будет нахождение шпиона в BMC.
BTW Собрав не один десяток серверов/платформ (Intel/Asus/HP/IBM/SuperMicro) не могу припомнить ни одного сетьевого разъема не в металле.
BTW Собрав не один десяток серверов/платформ (Intel/Asus/HP/IBM/SuperMicro) не могу припомнить ни одного сетьевого разъема не в металле.
НЛО прилетело и опубликовало эту надпись здесь
Вооот.
А Вы разбирали их? Или хотя бы мультиметром проверяли отсутствие чего-либо в них, кроме трансформатора? :)
На самом деле такая реализация выглядит странно, если администратор хотя бы одной из поражённых компаний хоть иногда следит за DHCP-лизами и устройствами в физической сети
А Вы разбирали их? Или хотя бы мультиметром проверяли отсутствие чего-либо в них, кроме трансформатора? :)
На самом деле такая реализация выглядит странно, если администратор хотя бы одной из поражённых компаний хоть иногда следит за DHCP-лизами и устройствами в физической сети
Если за DHCP-лизами следит сам чип, то админу за ними следить бесполезно. И устройство, скорее всего, будет тем же самым. Единственный вариант — делать whitelist исходящих адресов, и под микроскопом изучать идущий не туда трафик.
А тот что идёт туда но тоже от троянца изучать не нужно? Трафик от троянца может быть замаскирован легальным трафиком. Врятли выловишь килобайтный трафик из потока в 10G который генерируется троянцем на тот же CDN куда идёт основной трафик. Это уже как-то надо соединять программный контроль что было отправлено в контроллер и аппаратный что было физически передано по линии. Задача эта нетривиальна…
Количество нетривиальных телодвижений при таком раскладе чтобы получить десятки килобайт (кстати а как вычленить нужную инфу среди гигабайт генерируемой информации в компе?)
Может проще по старинке, с помощью социальной инженерии, по заветам Кевина Митника? Дешевле, и жертва сама принесет нужную инфу в клювике?
Может проще по старинке, с помощью социальной инженерии, по заветам Кевина Митника? Дешевле, и жертва сама принесет нужную инфу в клювике?
Банально — по сигнатурам. Социнженерия не везде работает и фигово масштабируется.
Банально по сигнатурам — это как? Типа сканируем поток на наличие последовательностей «TOP SECRET»? А если это будет текст на языке апачей?
А социнженерия работает всегда, поскольку нацелена на самое слабое звено — человека.
А социнженерия работает всегда, поскольку нацелена на самое слабое звено — человека.
А почему нет? Если будет на другом языке, значит и сигнатура такая же нужна. В конце концов, если система под управлением троянца мы можем любую ПН загрузить и осуществить наиболее актуальный анализ на необходимые нам данные. Целью так же может быть вовсе не кража данных, а наоборот — подлог или вывод системы из строя по сигналу.
Эээ… А нахрена их разбирать? Я конечно понимаю что даже у параноиков бывают враги, но наверное надо быть скромнее в собственной самооценке?! И шлюз между локалкой и интернетом нормальный админ поднять не сможет? И кстати белый лист и сниффер трафика как инструмент админа-параноика никуда не делся. И фильтрацию Dhcp по MAC не настроить?
А где, скажем, брать данные для белого списка? И кто его будет актуализировать? Изучать логи сниффера? Это всё дополнительные расходы, которые могут превысить ущерб от взлома.
И кстати как быть когда нелегальный трафик идёт на один общий CDN с легальным? Блокировка адресов… только легальному трафику проблемы создашь. MAC-адрес вероятней всего будет тем же что у обычного сетевого интерфеса, это же явное палево.
И кстати как быть когда нелегальный трафик идёт на один общий CDN с легальным? Блокировка адресов… только легальному трафику проблемы создашь. MAC-адрес вероятней всего будет тем же что у обычного сетевого интерфеса, это же явное палево.
На то и админ в мыле, чтоб медный таз не требовался. Ну и допомогой ему параноики из службы безопасности.
Любая защита информации должна быть нацелена на то, что время её взлома должно быть таким чтобы она утеряла актуальность.
Любая защита информации должна быть нацелена на то, что время её взлома должно быть таким чтобы она утеряла актуальность.
Тоесть, админа в мыло, а троянский трафик преспокойно себе ходит через доверенное соединение банк-клиента… Нет, в наше время решительно невозможно гарантировать отсутствие каналов утечек. Нет способа контроля хотябы за одним соединением, нет спецификаций на протоколы хотябы одного приложения и всё — никаких гарантий вообще в принципе быть не может.
Инцендент годовой давности. Тот самый нашумевший троянец который поразил огромное количество систем, и как он проник на машины? Через доверенное легальное обновление одной из программ. Причем, обновление с троянцем было за месяц или два до того как он сработал — даже если и были какие-то песочницы и карантинные зоны, они не помогли. Или предлагаете все обновления держать в карантине год? или может для надёжности лучше два?
Инцендент годовой давности. Тот самый нашумевший троянец который поразил огромное количество систем, и как он проник на машины? Через доверенное легальное обновление одной из программ. Причем, обновление с троянцем было за месяц или два до того как он сработал — даже если и были какие-то песочницы и карантинные зоны, они не помогли. Или предлагаете все обновления держать в карантине год? или может для надёжности лучше два?
Что еще интереснее: вся эта история очень уж удачно начала развиваться во время активной фазы торговой войны с Китаем.
Хотя я практически уверен, что китайцы действительно добавляют закладки в свою продукцию, конкретно эта история выглядит очень странно.
Хотя я практически уверен, что китайцы действительно добавляют закладки в свою продукцию, конкретно эта история выглядит очень странно.
И публичных протестов в США связанных с судьями
Это как раз понятно — до этого прятали под ковром (история с 15ого года, между прочим), а когда публике стало интересно и появился спрос и можно прогреметь — сумели вытащить. Публике (и законодателям) далеко не все и всегда интересно, новости это бизнес. Ледяной коктель жарким летом на ура. Лето настало.
Опять же у рассказчика истории возможно истекла NDA — они как раз на два три года. То есть стало можно и без особого риска.
Такие новости нельзя публиковать сразу. Одно дело два три года назад, когда как то пофиксили, другое дело по горячему — рынок обвалится.
А то что китайцы то внедряли — и сомнений нет, было бы глупо если б не делали.
Опять же у рассказчика истории возможно истекла NDA — они как раз на два три года. То есть стало можно и без особого риска.
Такие новости нельзя публиковать сразу. Одно дело два три года назад, когда как то пофиксили, другое дело по горячему — рынок обвалится.
А то что китайцы то внедряли — и сомнений нет, было бы глупо если б не делали.
Главное чтобы потом не оказалось, что под доказательством понимали экранированный Ethernet порт со встроенной гальванической развязкой. Нуачо, «микросхема» же!
Почему-то напомнило судилище SCO над Linux и заимствования вида
Почему-то напомнило судилище SCO над Linux и заимствования вида
for (int i = 0 …)В нарушение принципа Ad hominem покритикую авторов статей о китайских шпионских чипах. Оказывается, в 2014 году Джордан Робертсон (Jordan Robertson) и Майкл Райли (Michael Riley) опубликовали статью о произошедшем в 2008 году взрыве на нефтепроводе в Турции, который, по их мнению, был делом рук российских хакеров:
Mysterious ’08 Turkey Pipeline Blast Opened New Cyberwar — Bloomberg
В параллельной теме я выложил пару ссылок на мнения специалистов об этой статье.
Mysterious ’08 Turkey Pipeline Blast Opened New Cyberwar — Bloomberg
В параллельной теме я выложил пару ссылок на мнения специалистов об этой статье.
/тэг сарказм
Ну это же уважаемый эксперт, это не какие-то там, которые рассказывают про шпионские wifi чипы в утюгах и чайниках…
Ну это же уважаемый эксперт, это не какие-то там, которые рассказывают про шпионские wifi чипы в утюгах и чайниках…
НЛО прилетело и опубликовало эту надпись здесь
Может перестать покупать и заказывать технику в Китае и начать её делать самому?
Так в тексте и написано, что ФБР само изготавливает и устанавливает бекдоры на нужные сервера. Думаю им не сложно будет внедрится в цепочку поставки и модифицировать железо.
Может перестать покупать и заказывать технику в Китае и начать её делать самому?
С одной стороны возврат производства в Штаты — это один из пунктов на которых выиграл выборы президент Трамп, нынешний президент США.
Но в реальности это трудно реализуемо.
Например, вернуть производство iPhone в США.
На одном только заводе работает больше людей чем может предоставить рабочих рук большинство городов США.
Пока работает… Foxconn несколько лет назад имел более миллиона работников. Сейчас хорошо если половина осталась. Ежемесячно увольняется тысячи работников. Роботы рулят, сэр. Сейчас все упирается в то, как бысто производитель роботов сможет поставить нужное их количество. За последние несколько лет роботы ОЧЕНЬ сильно поумнели. И подешивели. Настолько, что Форду сейчас все равно, строить новый завод в Мексике и запускать на сборку мексиканцев, или в США и запускать на сборку роботов.
Так что количество рук на конвеерной сборке сейчас никак не зависит от населения страны.
Так что количество рук на конвеерной сборке сейчас никак не зависит от населения страны.
В свое время Джобс, объясняя Обаме, почему айфоны делают в Китае, утверждал, что в США нет столько инженеров, сколько их нужно на производстве микроэлектроники.
НЛО прилетело и опубликовало эту надпись здесь
Дизайнят продукт они в США, да. Но нужны инженеры на производстве. И роботы тут их вряд ли заменят.
Пруф: www.americanthinker.com/blog/2018/01/obama_vs_steve_jobs.html
Пруф: www.americanthinker.com/blog/2018/01/obama_vs_steve_jobs.html
пару недель назад была статья про то как тесла не справилась с роботами и наняла овер9000 рабочих для сборки трешки. Видимо не так все хорошо с роботами.
Настолько, что Форду сейчас все равно, строить новый завод в Мексике и запускать на сборку мексиканцев, или в США
справедливости ради — Форду далеко не все равно, они как раз желали в Мексике.
Но Трамп, еще не будучи президентом, сказал на встрече с CEO автопромов- если будет завод в Мексике, то став президентом, я подниму вам импортные тарифы на 30%, и те машины у вас никто не купит. Стройте в США, нефиг бегать и лишать американцев работы.
И форд, а так же остальные — внезапно передумали. Сначала отложили, дождавшись результатов выборов, а затем свернули все проекты вывода производства (уже были планы заводов и инвестиций) и увеличили чило рабочих мест в Охайо и других штатах.
И рабочие в штатах о той беседе Трампа знали, до голосования. И видели как он поступает. Чего бы он просто так выйграл выборы. Можно фильм Майкла Мура поглядеть — там об этом говорится.
Выражение
Может лучше пояснить было в тексте про это.
аппаратный дорвейу Вас в тексте — это в статье «hardware implant», как понимаю?
Может лучше пояснить было в тексте про это.
Мне кажется, перепутали дорвей с бэкдором.
В первоисточнике, помимо прочего, употребляются такие термины:
manipulated hardware
tampered hardware
hardware manipulation
hardware implants
suspicious hardware
covert piece of hardware
manipulated hardware
tampered hardware
hardware manipulation
hardware implants
suspicious hardware
covert piece of hardware
вчера на Хабре была опубликована статья о том, что доказательств присутствия шпионских модулей в оборудовании компании Supermicro нет. Ну а сегодня они появились.
То потухнет, то погаснет
Заметил возможное искажение смысла:
Вероятно, вот первоисточник:
New Evidence of Hacked Supermicro Hardware Found in U.S. Telecom — Bloomberg
Перевожу:
Подчеркивание везде мое.
По запросу журналистов Bloomberg свои комментарии дали представители AT&T и Verizon. Оба комментария отрицательны — компании утверждают, что никаких проверок они не устраивали.
Вероятно, вот первоисточник:
New Evidence of Hacked Supermicro Hardware Found in U.S. Telecom — Bloomberg
AT&T Inc. spokesman Fletcher Cook said, «These devices are not part of our network, and we are not affected.» A Verizon Communications Inc. spokesman said "we're not affected."
Перевожу:
Представитель AT&T Флетчер Кук сказал следующее: «В нашей сети такие устройства не используются, так что нас это не затронуло». Представитель Verizon Communications сказал примерно то же самое: «нас это не затронуло».
Подчеркивание везде мое.
НЛО прилетело и опубликовало эту надпись здесь
А если модуль «спящий»?
и мак, и айпишник, и физический порт тот же самый, что и у легального трафика.
Так вроде даже IPMI умеет,
где впрочем закладкам самое место (особенно если у него есть доступ к памяти через PCIe)
где впрочем закладкам самое место (особенно если у него есть доступ к памяти через PCIe)
Ну, source IP и проч. — действительно такие же, а вот destination — должен отличаться, иначе как злодей пакет получит-то?
А если злодей затесался в диапазоне IP-адресов какого-то крупного CDN и сервер с ним взаимодействует легально?
Могут существовать различные цели, порождающие появление таких закладок, как пример — вывод из строя оборудования, никакого трафика просто не будет, будет ждать magic pocket, либо активизация и слив чего-то в определённый момент времени, или реакция на другую часть ПО попавшую в вашу сеть, сценариев много.
Проверять стоит на стороннем оборудовании. Иначе, чип вполне может на время передачи например отключать сетевую карту или имитировать загруженность линии шумом.
А не будет никаких неожиданных IP-адресов. Возможно, он даже не проявляет активности пока К НЕМУ не постучатся, а если и отсылает что-то как его отличить от другого фонового трафика выглядящего не менее подозрительно? Троянец может быть более разумным и не будет ломиться на какой-то фиксированный IP-адрес, а будет вставлять свои пакеты только если есть трафик на какой-то из CDN в надежде попасть на свой управляющий центр, который ответит — и как в таких условиях вычленить трафик от троянца кроме как сравнивая физические характеристики сигнала(амплитуда, длительность фронтов, специфические аналоговые искажения) на порту?
Аналоговые искажения появляются от анальных игрищ, но не от подозрительного траффика.
Аналоговые искажения просто есть. По всей видимости, там нет доступа к контроллеру сетевому напрямую, реализован свой контроллер а значит аппаратная часть своя — отсюда уникальный отпечаток «передатчика» в аналоговой части и по этому признаку уже можно отличить пакеты от штатного контроллера и от жучка. Такое с обычными радиостанциями уже давно делают, и при необходимости аппаратуру можно идентифицировать по отпечатку выходного излучения.
НЛО прилетело и опубликовало эту надпись здесь
Смотря в чем ремонт заключается. Если замена выходного каскада то скорей всего он будет светить по-новому, но ещё остаются характеристики модулирующего генератора — у него могут быть специфические параметры в том числе джиттер. Используя высокостабильный качественный генератор на основе атомных часов можно различать генераторы как людей по голосам, а то и надёжней. Конечно, каждая характеристика в отдельности не даёт возможность идентифицировать с точностью 1 к милиарду, например, а сужает круг до 1 к тысяче. Берёшь характеристики например 3 из 4 совпадающие + предполагаемая геопривязка и можно уже говорить о конкретном экземпляре аппаратуры.
реализован свой контроллер а значит аппаратная часть своя — отсюда уникальный отпечаток «передатчика» в аналоговой части и по этому признаку уже можно отличить пакеты от штатного контроллера и от жучка
Эм, что это даст, если весь этот отпечаток испаряется после первого свича? Как известно, свич прослушивает порт, анализирует пакет и генерирует такой же пакет на другом порту, и вся аналоговая составляющая будет уже от железа свича.
Речь идёт об анализе конкретного пациента, когда он находится под пристальным наблюдением на операционном столе, а значит никаих свичей, прямое подключение оборудования к порту и т.д.
Вы же выше пишите о
что подразумевает что вы не знаете где троянец и тем более какой от него должен быть сигнал. Кроме того, у всех девайсов свой собственный аналоговый «отпечаток», чем один уникальный отпечаток отличается от другого? Тем же, чем один человек с уникальным отпечатком пальца от другого. Вы не можете взять отпечаток произвольно выбранного человека и по нему сказать что-либо об этом человеке, если только у него уже не брали отпечаток и внесли в какую-то базу. Точно так же с девайсами — аналоговые нюансы сигнала ничего не говорят сами по себе. Лишь если вы обнаружили троянца каким-то образом, вы сможете занести девайс в базу затрояненных девайсов, хотя непонятно зачем её вести, так как уже обнаруженный троян должен быть либо обезврежен, либо девайс фтопку. Найти другой девайс с трояном этот девайс никак не поможет. Все отпечатки уникальны.
Итого, в поиске аппаратных троянов в работающий девайсах вы должны использовать традиционный анализ трафика, а не эфемерные аналоговые джиттеры.
как в таких условиях вычленить трафик от троянца
что подразумевает что вы не знаете где троянец и тем более какой от него должен быть сигнал. Кроме того, у всех девайсов свой собственный аналоговый «отпечаток», чем один уникальный отпечаток отличается от другого? Тем же, чем один человек с уникальным отпечатком пальца от другого. Вы не можете взять отпечаток произвольно выбранного человека и по нему сказать что-либо об этом человеке, если только у него уже не брали отпечаток и внесли в какую-то базу. Точно так же с девайсами — аналоговые нюансы сигнала ничего не говорят сами по себе. Лишь если вы обнаружили троянца каким-то образом, вы сможете занести девайс в базу затрояненных девайсов, хотя непонятно зачем её вести, так как уже обнаруженный троян должен быть либо обезврежен, либо девайс фтопку. Найти другой девайс с трояном этот девайс никак не поможет. Все отпечатки уникальны.
Итого, в поиске аппаратных троянов в работающий девайсах вы должны использовать традиционный анализ трафика, а не эфемерные аналоговые джиттеры.
Конечно нельзя. Но когда перед тобой два человека в одной коробке, их отпечатки отличить можно без труда. И если нам один физический интерфейс вдруг начинает отвечать разными отпечатками, то долго гадать не надо.
Эм… Априори у всех людей отпечатки разные. Что даст сравнение разных отпечатков? Троянец управляет тем же самым физическим интерфейсом, что и легальная операционная система. Это как человек с раздвоением личности. Отпечаток пальца один, голова одна, а личностей две. И проверкой отпечатков пальцев вы не выясните, у кого раздвоение личности — вам нужно будет следить за поведением (трафиком).
Болтология. Разумеется, отдельные элементы могут совпадать и отпечатки некоторых людей могут быть похожими, но не совпадать до неразличимости. Нет ни одного задокументированного случая полного совпадения отпечатков пальцев двух людей. Хотя конечно же такая вероятность не нулевая, как и написано в тексте по вашей ссылке:
И так же правильно сказано по вашей же другой ссылке, что заявлять что по отпечаткам пальцев нельзя идентифицировать человека потому что некоторые элементы отпечатка могут совпадать с такими же элементами отпечатка другого — так же нелепо, как заявлять что нельзя идентифицировать по ДНК, ведь она на 99,9% совпадает у разных людей.
Действительно, есть проблема доказательства, что конкретный отпечаток принадлежит конкретному человеку, особенно для частичных отпечатков, потому что информационная ёмкость различных участков отпечатка различна, но это совсем не означает что отпечатки нельзя использовать как доказательство — просто в зависимости от качества отпечатков будет различная вероятность принадлежности отпечатка тому или иному человеку.
Существует 1 на 64 миллиарда шансов, что ваш отпечаток пальцев совпадет с отпечатком другого человека
И так же правильно сказано по вашей же другой ссылке, что заявлять что по отпечаткам пальцев нельзя идентифицировать человека потому что некоторые элементы отпечатка могут совпадать с такими же элементами отпечатка другого — так же нелепо, как заявлять что нельзя идентифицировать по ДНК, ведь она на 99,9% совпадает у разных людей.
Действительно, есть проблема доказательства, что конкретный отпечаток принадлежит конкретному человеку, особенно для частичных отпечатков, потому что информационная ёмкость различных участков отпечатка различна, но это совсем не означает что отпечатки нельзя использовать как доказательство — просто в зависимости от качества отпечатков будет различная вероятность принадлежности отпечатка тому или иному человеку.
Судя по описанию из общего у них разве что трансформатор развязывающий. В том вся фишка — троянец сидит полностью в РАЗЪЁМЕ. И скорей всего не ошибусь, подключен он как ещё один отвод трансформатора. Получается уже не раздвоение личности, а как две головы на одном теле.
Нет, в таком случае при попытке передачи трояном информации во время работы сетевого интерфейса возникла бы коллизия. К тому же дополнительная аналоговая часть значительно увеличила бы его размеры. Троянец может лишь сидеть на входе сетевого интерфейса, передавая данные ему на шину, в двоичном виде.
Если бы в сетевой разъём можно было впихнуть всю аналоговую часть, так бы и делали, но чип сетевой ставят не в него, а на материнку.
Ну и троянец на анимации блумберга находится таки не в разъёме, а на плате.
Если бы в сетевой разъём можно было впихнуть всю аналоговую часть, так бы и делали, но чип сетевой ставят не в него, а на материнку.
Ну и троянец на анимации блумберга находится таки не в разъёме, а на плате.
Анимация, это по поводу уже другого троянца.
Коллизии вовсе не помеха для передачи данных, сетевые карты умеют детектировать коллизии и им это не помеха — данные всеравно будут переданы. Пока троянец проявляет малую активность, коллизии заметить внешне очень трудно. Если трафик от троянца сравняется с пропускной способностью карты, тогда коллизии будут такие что не заметить будет сложно но ведь и троянец не тупой — или не будет гнать огромные объёмы данных через интерфейс если возникают массовые коллизии либо просто будет ждать окна отсутствия активности основного интерфейса.
Кстати, раньше была вполне доступная информация по пассивным эзернет-разветвителям, позволяющим соединить 3 компьютера без активного коммутатора. На большом расстоянии пассивный разветвитель работает гораздо хуже чем роутер, но у нас же тепличные условия — расстояние в сантиметр-другой(а уж темболее если есть непосредственный доступ в развязывающий трансформатор) поэтому всё может прекрасно работать.
Коллизии вовсе не помеха для передачи данных, сетевые карты умеют детектировать коллизии и им это не помеха — данные всеравно будут переданы. Пока троянец проявляет малую активность, коллизии заметить внешне очень трудно. Если трафик от троянца сравняется с пропускной способностью карты, тогда коллизии будут такие что не заметить будет сложно но ведь и троянец не тупой — или не будет гнать огромные объёмы данных через интерфейс если возникают массовые коллизии либо просто будет ждать окна отсутствия активности основного интерфейса.
Кстати, раньше была вполне доступная информация по пассивным эзернет-разветвителям, позволяющим соединить 3 компьютера без активного коммутатора. На большом расстоянии пассивный разветвитель работает гораздо хуже чем роутер, но у нас же тепличные условия — расстояние в сантиметр-другой(а уж темболее если есть непосредственный доступ в развязывающий трансформатор) поэтому всё может прекрасно работать.
И всё равно, остаётся непонятным — зачем весь этот геморрой с дублированием аналоговой части сетевого интерфейса, обработка коллизий и всё такое, если можно просто послать нужные данные в не преобразованном, цифровом виде на вход родного интерфейса.
Скрытность. Если будет лишний чип, который шлёт данные прямо на родной интерфейс, это будет обнаружено а на полноценный чип-спрятанный-в-разъёме никто и не обратит внимания. Впрочем, много троянов не бывает — чем их больше тем больше вероятность что какой-то из них не заметят. В чипсете и так сидит троянище, который потенциально всю систему может держать как СВОЮ виртуалку и никто кроме производителя(китай) не знает что там работает.
Обработка коллизий это часть базового алгоритма доставшегося в наследство от старых интерфейсов, выполняется в железе и практически ничего не стоит — оно уже разработано, отлажено и все косяки вылизаны 20 лет назад посему передирается вместе с железом в новые системы.
Обработка коллизий это часть базового алгоритма доставшегося в наследство от старых интерфейсов, выполняется в железе и практически ничего не стоит — оно уже разработано, отлажено и все косяки вылизаны 20 лет назад посему передирается вместе с железом в новые системы.
НЛО прилетело и опубликовало эту надпись здесь
Если там вообще нет связи с внешним миром — то никак. Но он может просматривать трафик который приходит из внешнего мира на ЧУЖИЕ запросы, и если это запросы скажем на китайские сервера они могут добавлять в ответ полезную нагрузку для троянцев, где будет содержаться команда «выйди на связь, управляющий центр такой-то». Троянец просматривает входящий трафик и вылавливает свои сигнатуры во входящих ответах на чужие запросы, ответ получен, задача выполнена. Возможно даже они могут модифицировать ответы добавляя лишнюю нагрузку к уходящим IP-пакетам.
НЛО прилетело и опубликовало эту надпись здесь
В качестве бреда: Термоядерное оружие чертовски сложное, дорогое как в разработке так в производстве и обслуживании, однако есть факт того что оно разработано, построено и обслуживается. Вопрос в том кто принимает решения и как они мыслят.
Каждой бочке своя затычка. Может и не зайдёт, конечно. Поэтому берут числом. Если у клиента сотня серверов в датацентре, один из них окажется уязвим и через него получается доступ к внутренней сети где как правило уже никакого контроля…
Помню еще год назад все обсуждали «закладки» в процессорах и это казалось параноидальным.
Ну в процессоре это действительно сделать гораздо сложнее. На материнку можно просто припаять ещё один чип, а в процессоре придётся перелопатить кристалл. Но это только если говорить о закладках, не предусмотренных на этапе проектирования.
НЛО прилетело и опубликовало эту надпись здесь
Второй кристал вызовет очень большие вопросы у всяких любителей поковырять железо. И тем более у организаций формата «от столба и до обеда»
По наглому впихнуть отдельный кристалл сравнимый по сложности и размерам с основным — конечно нет, спалятся сразу. Но на современных процессорах, вместе чипом на одной с ним подложке размещается (часто с обратной стороны) куча вспомогательных элементов типа SMD конденсаторов и резисторов.
С современными технологиями простенький чип вполне можно замаскировать под подобную мелочь. Конечно просто впаять вместо изъятого штатного не получится, нужно будет спроектировать и изготовить собственную подложку с измененной схемой, но это задача на порядки проще чем «клонирование» современного процессора+его редизайн с добавлением закладок и потом изготовление модифицированных кристаллов.
С современными технологиями простенький чип вполне можно замаскировать под подобную мелочь. Конечно просто впаять вместо изъятого штатного не получится, нужно будет спроектировать и изготовить собственную подложку с измененной схемой, но это задача на порядки проще чем «клонирование» современного процессора+его редизайн с добавлением закладок и потом изготовление модифицированных кристаллов.
Кое-что можно сделать микрокодом, в таком случае все шансы, что никто не заметит аппаратную часть закладки, если микрокод поставлять только кому следует
В процессорах закладки не делают, они делают недоразумения (как Spectre)
Закладки не закладки, но в FPGA вполне есть бэкдоры. Сделанные производителем (jtag) и обходящие всю защиту и крипто сверхкриптованного чипа. Вот статья (кстати русский парень) который это нашел в чипе который идет преимуществено на войну, показал как вскрывать за секунды — и… на том влетел. Потому как против ветра.
Если посмотреть видео от Bloomberg, там они комментируют, что предполагали, что Amazon / Microsoft / Apple будут отрицать уязвимости, так как это заденет их финансовую сторону. Но в то же время «обладают» железными доказательствами. В то же время, эти жучки нацелены не на consumer data, а на long-term стратегию по краже государственных тайн.
ИМХО: похоже на давление американской администрации президента на Китай через Блумберг, но непонятно, когда будут доказательства или иск в суд от SEC.
ИМХО: похоже на давление американской администрации президента на Китай через Блумберг, но непонятно, когда будут доказательства или иск в суд от SEC.
НЛО прилетело и опубликовало эту надпись здесь
ИМХО: похоже на давление американской администрации президента на Китай через Блумберг, но непонятно, когда будут доказательства или иск в суд от SEC.
Основной бизнес Блумберга финансовые софт, данные и услуги, включая терминал с годовой подпиской за 24000. Оборот компании 9В. И все это держится на репутации. Вы серьезно думаете, что Блумберг будет так рисковать?
Ну и википедия пишет, что он поменял цвет и стал демократом в этом году.
Рисковать может не Блумберг, а один журналист, а теперь они его еще больше будут покрывать, чтобы не навредить репутации.
С другой стороны, в Блумберг и там много неоднозначно трактуемых статей, возможно это просто вывалилась за пределы только экономики и получила такой резонанс.
С другой стороны, в Блумберг и там много неоднозначно трактуемых статей, возможно это просто вывалилась за пределы только экономики и получила такой резонанс.
Основной бизнес Блумберга финансовые софт, данные и услуги, включая терминал
Отсылка к авторитету? Но ведь сначала они утверждали, что всех их источники это офицеры спецслужб и сотрудники Amazon и Apple и даже дали фотографию "закладки".
Теперь источник не несколько, а один, работает он в совершенно другом месте, и закладка совсем не там, плюс еще выявлена только по косвенным данным, банально разобрать разьём предъявить чип никто не смог? Все это мы должны забыть и помнить что это огромная компания и она не может ошибаться?
Блумберг один из крупнейших в мире брокеров, любые горячие новости порождающие движение рынка непосредственно превращаются для них в живые деньги. Так что возможно и не было никакого звонка из президентской администрации, а они самостоятельно почувствовали горячую тему и начал ее разыгрывать. Даже местная аудитория не сомневается что Китайцы виновны хотя сами инфицированных чипов никогда не видели, так что говорить о большинстве трейнеров которые пользуются услугами Блумберга.
Не трейнеров а трейдеров конечно…
Даже местная аудитория не сомневается что Китайцы виновны хотя сами инфицированных чипов никогда не видели, так что говорить о большинстве трейнеров которые пользуются услугами Блумберга.Тут такое дело, что при игре на волатильности не особо важна вера. Существует три вариант: китайцы поставили чипы, это новый виток торговой войны и инфу сфабриковали в белом доме/госдепе/пентагоне, это откровенная ложь придуманная в редакции Бизнесуик. В последнее верится намного меньше чем в остальное, а первые два варианта одинаково плохи для SMCI, так что движение рынка вполне предсказуемо.
Ну а про брокера и манипуляции рынком я уже написал, слишком высока цена — можно потерять все.
Расслабились американцы, вот и клюнула их кое-куда утка по-пекински. Будут теперь учить слово Importozameschenie.
За американцев не беспокойтесь, у них есть и технологии, и производство. Конечно, скорее всего дороже китайского, но в критических приложениях, будьте уверены, у них стоит всё своё проверенное отечественное.
Да кто бы спорил с тем, что у американцев лучшие технологии и производство? И уж понятно, что АЭС и ЯО и всякое такое у них всё на своём, по десять раз проверенном. А в датацентрах, которые крупный и некрупный бизнес всего мира обслуживают, тоже своё? Или всё-таки импорт из страны, где компартия рулит, и портреты Ленина и Мао по праздникам вывешивают?
В первых сообщениях было упоминание о полном контроле «зараженной» системы. Я немножечко не понимаю, как можно получить полный контроль, путем установки аппаратуры на физический уровень eth. По сути, добавляется еще один компьютер _рядом_ с зараженным. Можно выяснить структуру сети, можно пробросить туннель в эту сеть, можно что ни будь по-перехватывать, а для получения контроля придется пользовать какие то более другие уязвимости.
Я бы понял, если бы «шпион» стоял на шине spi bios. На лету вносил некоторые изменения — «добавлял» уязвимость, например. А так, эта суета выглядит странно.
Я бы понял, если бы «шпион» стоял на шине spi bios. На лету вносил некоторые изменения — «добавлял» уязвимость, например. А так, эта суета выглядит странно.
А если процессор, содержащий американскую закладку, поставить на материнскую плату, содержающую китайскую закладку — кто чьи данные будет передавать?
доказательстваДоказательств как раз не появилось, появилось только имя у анонимного источника. Ни фото чипа, ни мат. плат, которые можно дать независимым экспертам.
Более того, теперь уже и «чип» описывается иначе. В прошлый раз заявлялось, что он в цепи управления BMC, а теперь он уже в Ethernet-порт встроен.
Три специалиста по информационной безопасности рассказали о том, что они проверили работу Эпплбаума и определили то, как ПО компании Sepio смогло локализовать аппаратный бэкдор.
marks, пожалуйста, не добавляйте «отсебятину», особенно в критических местах. В оригинале никто ничего не проверял, только лишь "confirmed that the way Sepio's software detected the implant is sound." — «Ну да, можно посмотреть трафик и проверить наличие постороннего».
Если потребление больше, пускай и на малую толику, чем должно быть, то это уже повод задуматься
Аналогично, "analog signals — such as power consumption — that can indicate the presence of a covert piece of hardware." — если у вас чип питается от сигнальных линий Ethernet — это может быть достаточно заметно, но нужно иметь с чем сравнивать, потому что стандарт допускает напряжение от 2.2В до 2.8В. Если оно ниже «на малую толику», чем у другой идентичной системы, то это, как раз, мало о чём говорит.
если у вас чип питается от сигнальных линий Ethernet
… то о гигабите (а тем более — о 10) на этой линии можно забыть.
Ну нельзя оттуда добыть достаточно энергии (для рабора гигабитного потока этот шпионо-чип должен достаточно много потреблять) и не завалить напрочь параметры сигнала.
Ну что? Пришло время разрабатывать ПО, которое может надежно работать на протрояненном насквозь оборудовании?
Можно просто доступ ограничить на фаерволе. Даже если машина пришла с предустановленным жучком, то если у неё нет доступа к интернетушке, то жучок этот никому ничего не сможет передать, разве что засветится у меня в логах. Подавляющему большинству серверных тачек доступ нужен только за апдейтами ходить. Можно держать апдейты локально, а доступ закрыть. Мои тачки даже default gateway получают с единственной целью зафиксировать попытку к нему обратиться :-), а единственный разрешенный траффик — между серверами в сегменте и фаерволом, плюс друг с другом.
Если говорить о корпоратах, то скорее предъявлять более жесткие требования к специалистам, и тем кто сеть строит, и тем, кто эксплуатирует, ну и предлагать более высокие зарплаты тем, кто сможет им соответствовать.
С частниками не понятно, как далеко могут продвинутся хакеры в изучении подобных закладок, которые могут присутствовать и на обычных компах. Одно дело отреверсить хитрый алгоритм, и совсем другое — это выцарапать данные для анализа из микрухи, а потом еще и понять, что же ты получил.
С частниками не понятно, как далеко могут продвинутся хакеры в изучении подобных закладок, которые могут присутствовать и на обычных компах. Одно дело отреверсить хитрый алгоритм, и совсем другое — это выцарапать данные для анализа из микрухи, а потом еще и понять, что же ты получил.
Довольно забавно наблюдать, как из тривиальнейшего события возникает такая медийная движуха. Сегодня разве что ленивый, ну, или просто далекий от темы еще может всерьез сомневаться в реальности подобных железных закладок разной степени скрытности, вредоносности и в самых неожиданных местах. Не далее, как на прошлое или позапрошлое Рождество мне лично, среди прочего сувенирного хлама, досталась китайская USB LED-светилка, в которой был обнаружен загрузчик, ломившийся в Виндовс (но обломавшийся, т.к. на ноуте был Линукс). Правда, там чип не прятался, а наоборот, нагло и цинично прикидывался регулятором тока. Я всю эту радость пореверсил из любопытства, а потом отправил в мусорник вместе со всеми вещдоками… Эх, если бы я тогда только догадался позвонить в Блумберг и представиться «анонимным источником»))
Было бы очень интересно почитать статью с подробным описанием «реверса», на фотографии устройства взглянуть.
Так что там было то? На virustotal выложил? Может там драйвера управления яркостью фонарика были? И что значит «ломился», autorun.inf что ли обычный?
То есть под линуксом регулятор тока не запустился. Не думаю, что эта новость заинтересовала бы финансистов.
Загрузчик? ломился в виндовс? что за регулятор тока? Вы точно его реверсили? Может, это был банальный светильник со встроенной флешкой, на которую попал(случайно или нет?) банальный троянец-автораннер?
Ждём развития сюжета! Нам очень интересно узнать, тем более, что
Я всю эту радость пореверсил из любопытства
Увы, для подробной статьи я слишком ленив, да и материалов давно нет, но, чтоб снять нервное напряжение в зале: я не реверсил топологию чипа, это не входит в число моих любимых хобби… только поковырял самого зловреда и не нашел ничего сенсационного)) Подробности, которые помню: распознан был поганец по надписи на черном экране «Butting from disk...» (если это был авторский лингвистический юмор, то я его оценил). Дальше — больше: после Ctr-Alt-Del на экране без перезагрузки появлялось подобие меню NTLDR, которого на ноуте с линуксом ну никак не могло быть. Мне стало любопытно, разобрал железяку, ожидая увидеть простенький регулятор на мосфете, но нашел внутри чип в TSSOP-20 корпусе без маркировки, с минимальной обвеской, на который были заведены все жилы с USB разъема. Чип на 20(!) ног для регулировки тока LED в копеечной светилке, серьезно? Я, конечно, тоже сразу подумал про драйвера с блекджеком и куртизанками, или, что оно может заряжать аккумуляторы от USB, но нет — ничего такого даже не заявлялось. Железяка хоть и прикидывалась флешкой на 16GB, в MBR там был обычный бутстрап, который грузил некое подобие бутлодера… в слитом дампе этого чуда техники, которое лишь частично декомпилировала Ида, была тупая проверка версии винды на первом разделе первого жесткого диска, и если это не 7, выдавалось псевдоменю NTLDR, выйти из которого можно было только холодным ресетом, а если 7, должно было загрузиться некое другое нечто, прямо по абсолютным секторам, без затей. Но в них ничего не было, в основном заполнено FF и каким-то мусором, а выше 1ГБ вообще ничего не читалось. Я почесал репу, да и отправил это все в мусорник )) Фейковое меню (тоже без изысков, все строки просто поXORины, чтоб не бросаться в глаза) и странный бутлодер указывали на то, что это какая-то довольно примитивная закладка, тупо заточенная на 7 винду, но ковырять глубже и фантазировать, что бы оно там такое делало, если бы взлетело, у меня не хватило ни любопытства, ни времени. Это, конечно, странное произведение китайской инженерной мысли, но, если честно, мне попадались и страннее.
P.S. Если кому интересно, нашел в инете фотку похожей светилки.
P.S. Если кому интересно, нашел в инете фотку похожей светилки.
Или хотябы фоторграфию подобного девайса найти в интернете, чтобы другие смогли поискать.
НЛО прилетело и опубликовало эту надпись здесь
Совершенно не имею цели доказывать, что Китай не вставляет «жучки» — очень вероятно, что вставляет, но кричать «Волки! Волки!» лучше всё же при наличии волков, иначе такие крики только наносят ущерб всей индустрии.
А точно это не IPMI via LOM1?
Очень подозрительная формулировка "instead of the usual plastic ones". Обычно, как раз, коннекторы в металлическом корпусе в сервера ставят, могут и с контактом под STP — незачем экономить.
Обычно такие громкие заявления делают на презентации, где подробно (желательно, с фотографиями) расписывают все нюансы и поясняют, почему пришли именно к таким выводам. Тут фирма, которая предоставляет единственную услугу — поиск неавторизованных устройств в сети (причём, судя по скриншоту на их сайте, банально по второму MAC-адресу на порту коммутатора), делает такое громкое заявление без малейших доказательств. Они даже не говорят, что вскрыли ту металлическую крышку и что-то там нашли — нет, их софт увидел трафик, который показался подозрительным, а клиенту указали на металлический корпус разъёма. NDA разрешает описывать фирму-производителя серверов и детали, вроде металлической оболочки разъёма, но ничего по-существу? Очень странно.
In the case of the telecommunications company, Sepio's technology detected that the tampered Supermicro server actually appeared on the network as two devices in one. The legitimate server was communicating one way, and the implant another, but all the traffic appeared to be coming from the same trusted server, which allowed it to pass through security filters.
А точно это не IPMI via LOM1?
Appleboum said one key sign of the implant is that the manipulated Ethernet connector has metal sides instead of the usual plastic ones. The metal is necessary to diffuse heat from the chip hidden inside, which acts like a mini computer.
Очень подозрительная формулировка "instead of the usual plastic ones". Обычно, как раз, коннекторы в металлическом корпусе в сервера ставят, могут и с контактом под STP — незачем экономить.
Обычно такие громкие заявления делают на презентации, где подробно (желательно, с фотографиями) расписывают все нюансы и поясняют, почему пришли именно к таким выводам. Тут фирма, которая предоставляет единственную услугу — поиск неавторизованных устройств в сети (причём, судя по скриншоту на их сайте, банально по второму MAC-адресу на порту коммутатора), делает такое громкое заявление без малейших доказательств. Они даже не говорят, что вскрыли ту металлическую крышку и что-то там нашли — нет, их софт увидел трафик, который показался подозрительным, а клиенту указали на металлический корпус разъёма. NDA разрешает описывать фирму-производителя серверов и детали, вроде металлической оболочки разъёма, но ничего по-существу? Очень странно.
НЛО прилетело и опубликовало эту надпись здесь
Ерунда опять написана.
1. Блумберг не специализируется на безопасности и не способен объективно оценить качество источника информации. Его специализация — финансовая информация, и ему зачем — то надо данную тему прокачивать. Все остальные, сколько нибудь авторитетные товарищи о supermicro молчат.
2. Судя из описания текущей закладки, она принципиально отличается от описанной раньше, и, как максимум, можно говорить о еще одной закладке в серверах из Китая, но ни как не о подтверждении информации из прошлых сообщений.
3. Если имплант на материнке еще имел шанс на доступ к каким-то «интересным» данным, то сделать это с уровня сетевой карты их почти, а скорее всего — совсем, нет. Данные к сетевой карте попадают шифрованными, в тех случаях, когда это важно.
4. Пока искал информацию об Эпплбауме, нашел такой источник.
5. Вот что сам Блумберг сообщает об Эпплбаум. Возможно опечатка, но написано «Ms. Yossi Appleboum», тоесть, специалист не он, а она, но не это главное, в конце указано, что товарисч имел отношение к IDF, что может означать и Israel Defense Forces, и тогда вопрос, а этот персонаж гражданский, или все еще дружит с военными, учитывая специализацию?
1. Блумберг не специализируется на безопасности и не способен объективно оценить качество источника информации. Его специализация — финансовая информация, и ему зачем — то надо данную тему прокачивать. Все остальные, сколько нибудь авторитетные товарищи о supermicro молчат.
2. Судя из описания текущей закладки, она принципиально отличается от описанной раньше, и, как максимум, можно говорить о еще одной закладке в серверах из Китая, но ни как не о подтверждении информации из прошлых сообщений.
3. Если имплант на материнке еще имел шанс на доступ к каким-то «интересным» данным, то сделать это с уровня сетевой карты их почти, а скорее всего — совсем, нет. Данные к сетевой карте попадают шифрованными, в тех случаях, когда это важно.
4. Пока искал информацию об Эпплбауме, нашел такой источник.
5. Вот что сам Блумберг сообщает об Эпплбаум. Возможно опечатка, но написано «Ms. Yossi Appleboum», тоесть, специалист не он, а она, но не это главное, в конце указано, что товарисч имел отношение к IDF, что может означать и Israel Defense Forces, и тогда вопрос, а этот персонаж гражданский, или все еще дружит с военными, учитывая специализацию?
Вышел комментарий от автора «исследования»: www.servethehome.com/yossi-appleboum-disagrees-bloomberg-is-positioning-his-research-against-supermicro
Тезисно, то, что мне бросилось в глаза:
Ещё раз, логично предположить, что закладки возможны в том или ином виде, просто вот этот конкретный источник — последний, кому стоит верить на слово без малейших доказательств с его стороны — у него весь бизнес на страхи перед аппаратными закладками завязан.
Тезисно, то, что мне бросилось в глаза:
Закладки везде, в оборудовании всех производителей, их тысячи! Практически все — в сетевых интерфейсах.
Хотелось бы хоть каких-нибудь доказательств. Если единственное доказательство — их программа, которая MAC-и на коммутаторах считает, то стоит, для начала, проверить код.We are spending $100B on software related attacks, but near zero for hardware attacks. That is irresponsible and that is the problem that we need to fix.
По стечению обстоятельств, его фирма как раз предлагает такую услугу (и больше никаких).Ветерану Моссад очень неприятно общаться с прессой, и он согласился общаться только по-телефону и только с «единомышленником»
… который не задал ни одного вопроса по существу «исследования». Видимо, теперь это будет причиной, почему мы не услышим никаких технических подробностей, так как поверить в тысячи NDA, ниодин из которых не позволяет сказать хоть что-то по-существу, мне лично сложно.Блумберг всё повернул в русло своей атаки на Supermicro, хотя закладки у всех-всех и Supermicro ни при чём. На самом деле всё не на заводе делается, а на этапе поставок
… как в документах Сноудена. С одной стороны, если США так действует (если верить Сноудену), то почему остальным действовать как-то иначе? С другой, если поймали на громком сомнительном заявлении, лучше цитировать источники, которым доверяют, чем выдумывать самому, даже если это противоречит сказанному ранее.
Ещё раз, логично предположить, что закладки возможны в том или ином виде, просто вот этот конкретный источник — последний, кому стоит верить на слово без малейших доказательств с его стороны — у него весь бизнес на страхи перед аппаратными закладками завязан.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Вне зависимости от правдивости сообщения, необходимо отметить, что китайцы нервно курят в сторонке по сравнению с тем, что творит Intel в своём Management Engine
А Windows — это вообще самый крупный в мире Botnet.
Помните, ходила картинка «он дропнул базу и не делал бекапы»? Если авторы исследования не отмажутся, эту картинку можно будет перерисовывать «мне показалось, что нашел бекдор, но мне показали, что такое настоящий бекдор».
картинка
НЛО прилетело и опубликовало эту надпись здесь
1. Западающая педаль газа в Тойотах.
2. Дизельгейт от ГазенВаген.
3. Шпионские чипы от Супермикро.
Что-то мне это напоминает.
2. Дизельгейт от ГазенВаген.
3. Шпионские чипы от Супермикро.
Что-то мне это напоминает.
Нам вот купили вместо HP эти Supermicro
развернули на них ПО для безопасников
говорить им теперь или нет не знаю
развернули на них ПО для безопасников
говорить им теперь или нет не знаю
неплохо звучит, как начало интересной истории. :-)
Безопасники, если они настоящие, сами придут к нужным выводам наблюдая за трафиком на внешнем порту(если верить словам что троянец что-то отправляет на какие-то сервера). Весь вопрос заключается в том упростить им работу или не стоит… Просто включить систему без установленного проца, например, или без памяти и подключить к интернету — если трафик пойдёт то троянец точно есть.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Появились доказательства присутствия шпионских чипов в серверах Supermicro