Акции Supermicro обвалились на фоне расследования о внедрении в серверы компании китайских шпионских чипов



    Издание Bloomberg Businessweek опубликовало большой материал о шпионском микрочипе, который был разработан китайскими спецслужбами. Его в тайне встраивали в конструкцию материнских плат для серверов Supermicro, производимых в Китае. С помощью микрочипа атакующие получали возможности удаленного контроля сервера. Всего было атаковано около 30 американских компаний из сферы финансов и технологий.

    Расследование вызвало огромный резонанс, в результате чего акции Supermicro обвалились более чем на 50% за день.

    Предыстория


    В 2015 году Amazon начала процесс оценки бизнеса стартапа Elemental Technologies для возможной покупки. Команда Elemental занималась разработкой софта для компрессии видео и его форматировании для работы на различных мобильных устройствах. Amazon нужен был этот продукт для использования в собственных видеостриминговых сервисах.

    Помимо прочего, среди заказчиков Elemental Technologies были и государственные органы США, что также укладывалось в стратегию развития Amazon – компания занимается созданием облачной инфраструктуры, например, для ЦРУ.

    Одним из элементом предпродажной оценки является аудит информационной безопасности. Для его проведения Amazon наняла внешнюю фирму, специализирующуюся на вопросах киберзащиты. Ее специалисты обнаружили странности в конструкции серверов Elemental Technologies, которые компания закупала у Supermicro.

    Исследователи нашли в материнских платах этих серверов микрочип размером с зернышко риса (для сравнения, он в несколько раз меньше монеты), которого там не должно было быть согласно спецификаций оборудования. На этом этапе к расследованию подключили спецслужбы США. В итоге стало понятно, что микрочип позволял удаленно и скрытно контролировать серверы, на которых он установлен.

    Описание атаки


    Серверы Supermicro, как и почти все соверменное компьютерное оборудование, собирают в Китае. Американское расследование показало, что шпионские чипы были установлены именно на китайских заводах. Микрочип был разработан китайскими спецслужбами.

    После того, как сервер с материнской платой с установленным чипом, был установлен и включен, чип получал контроль над ОС и открывал возможность удаленного подключения и управления сервером. Микрочип, к примеру, мог отключать проверки паролей пользователей, так что атакующие могли без проблем установить на сервер любой код.

    От атаки пострадали около 30 американских компаний, включая крупный банк, подрядчиков государственных органов США, а также самую дорогую компанию в мире – Apple. Компания из Купертино была одним из крупнейших заказчиков Supermicro и планировала заказать 30 000 серверов для установки в своих дата-центров в разных регионах мира. Служба безопасности Apple также обнаружила шпионский микрочип в 2015 году, что привело к отказу от контрактов с Supermicro.

    Реакция на расследование


    Источники Bloomberg утверждают, что спецслужбам США удалось проследить путь поставки микрочипов к конкретным заводам в Китае. Агенты даже смогли восстановить детали переговоров руководства заводов с представителями китайских спецслужб.

    Согласно полученным данным, руководителям фабрик сначала предлагали взятки за изменение конструкции материнских плат Supermicro, а если те отказывались сотрудничать, угрожали проверками и потенциальным закрытием фабрик. После достижения соглашения, посредники доставляли на завод партию микрочипов.

    Несмотря на все доказательства, официально Amazon, купившая Elemental Technologies осенью 2015 года, Apple и Supermicro отказались признать факт кибератаки. Несмотря на это акции производителя оборудования в день выхода расследования Bloomberg обвалились более чем на 50%. К концу недели потери были отыграны, однако общее падение стоимости акций оказалось крайне значительным – если 5 октября они торговались по цене $21,4 за акцию, то к пятнице уже на уровне $11,7 за акцию.

    Как отмечает CNBC, четверг текущей недели оказался для Supermicro худшим днем на бирже с момента IPO в 2007 году.

    Помимо реакции инвесторов стало известно и о дальнейших шагах властей США – включили компьютерное оборудование (в том числе материнские платы) в очередной раунд торговых санкций против Китая. Руководство страны хочет добиться переноса цепочек поставок американских компаний из Китая в другие страны.

    Другие материалы по теме финансов и фондового рынка от ITI Capital:


    ITI Capital
    135,03
    Лучший онлайн-брокер для работы на бирже
    Поделиться публикацией

    Комментарии 134

      –12
      Всего было атаковано около 30 америсканских компаний из сферы финансов и технологий.

      Каких?
        +5
        … Микрочип, к примеру, мог отключать проверки паролей пользователей, так что атакующие могли без проблем установить на сервер любой код...

        Не чип, а волшебная палочка какая-то…

        Сами-то верите в эти шпионские бредни англосаксов?
          +5
          тоже на этом месте начал сомневаться. ОС как минимум две уж точно можно было на эти сервера поставить, — Windows или Linux, у второго еще и не одна разновидность со своими вариантами как именно будет авторизован пользователь. А еще интереснее если там стоит гипервизор VMWare. А уж если туда что-то экзотическое ставить вариантов становится совсем полно. Так что там именно этот чип делал?
            –23
            Кто в 2018 ставит Windows на сервера и зачем? Это что-то настолько дикое и странное, что при планировании может закладываться разве что как допустимая погрешность.
              +19
              Кто в 2018 ставит Windows на сервера и зачем?

              Ну в 2018 году на серверах все же еще есть и иные задачи, кроме web-сайтиков. И немало таких.

              Можно ставить Windows Hyper-V Server, например.
              Да и bare metal нужно иногда. Например, специфический софт под Windows. В РФ я бы привел в пример терминальный сервер для 1С. В США наверняка есть что-то свое, требующее Windows.

                +1
                Да и bare metal нужно иногда. Например, специфический софт под Windows. В РФ я бы привел в пример терминальный сервер для 1С

                Ну, терминальный сервер 1С прекрасно работает в виртуалке под ESXi. И хаспы через проброс с хоста кушает. Более жизненный пример bare metal — медиа-серверы систем бекапа, когда нужна максимальная throughput и больше там в принципе ничего не выживет по причине близкой к 100 % загрузки сети и дисков.
                  –2
                  И хаспы через проброс с хоста кушает.

                  ФУ. Это значит машина приколочена к физике, вместо использования digi.
                  медиа-серверы систем бекапа, когда нужна максимальная throughput и больше там в принципе ничего не выживет по причине близкой к 100 % загрузки сети и дисков.

                  Лолшто?
                  Оркестратор (управляющий сервер) — виртуалка, а данные вообще льются прямо с СХД на другую СХД.
                  Кроме случаев ленты, варя отцепила ленты с 5.1
                  bare metal — это хадуп и on-memory, когда 10-30% штраф на виртуализацию вреден, а памяти надо ОЧЕНЬ ОЧЕНЬ много. Или когда есть хитровыдуманная плата, которая должна торчать прямо в ос, без прокладок и без проблем с обработкой работы с платой в прокладке.
                    0
                    Оркестратор (управляющий сервер) — виртуалка, а данные вообще льются прямо с СХД на другую СХД.

                    И сколько серверов (в %) на нашей планете работает с отдельными СХД, по вашему?
                    Вас удивит, если вы узнаете что в подавляющем большинстве проектов вообще используется ровно один сервер?
                    Да, кластер, СХД, master-slave — да, да, да. Только это удел очень даже немногих компаний. В подавляющем большинстве фирм — компьютеры это то же что и бытовая техника, не более того.

                      0
                      И сколько серверов (в %) на нашей планете работает с отдельными СХД, по вашему?

                      статистику то дадите? С учетом облаков, которые вытесняют одинокие сервера на обочину жизни?
                        0
                        С учетом облаков, которые вытесняют одинокие сервера на обочину жизни?
                        «статистику то дадите?» ©
                        Конкретно интересует вышеупомянутый сегмент с еэрпишечками, одинэсочками и терминальчиками.
                +10
                Я понимаю — в это сложно поверить, но по функциональности и удобству управления IT инфраструктурой в энтерпрайзе к Active Directory, SCCM и прочему софту майкрософта пока еще ничего не приблизилось. И работает все это дело исключительно на винде.
                  –14
                  Так ведь Active Directory абсолютно без проблем и на линуксе заводится.
                    +15
                    Вы своими руками заводили и поддерживали?
                      +14
                      Если вы поднимите OpenLDAP и Samba на линуксе это не значит что вы подняли Active Directory. Многие функции либо не реализованы вообще, либо реализованы не до конца.
                        +1
                        Так ведь Active Directory абсолютно без проблем и на линуксе заводится.

                        схема расширяется?
                          +16

                          Без проблем заводится gpo? Без проблем на линуксе можно всюду распространить апдейты вместо wsus? Без проблем sso, авторизации? Без проблем можно раскатать софт, сертификаты, монтирование шар? Что там с DFS?
                          Все вот эти «без проблем» обычно я слышу от тех кто не сталкивался с более/менее крупной инфраструктурой, не 1-5-10 компов в мелком офисе, а 10-50-70-100 тысяч и 1000+ серверов.
                          Есть такое понятие как «целесообразность». Кто при вашем «без проблем на линуксе» осуществит поддержку крупной инфраструктуры если что пойдёт не так? По какому SLA? Знаю случай когда для очень крупной в РФ конторы Microsoft шустро выпустила патч для AD, чтобы увеличить лимит уровня вложенности. Вы подобное сами будете делать и «без проблем»? 24х7х365 в случае чего осуществите поддержку с четким SLA по времени реакции?
                          Надо понимать, что кроме сайтов есть другие виды бизнеса, где IT решает прикладные задачи, и IT для почти всех компаний это услуга. У услуги есть цена.И зачастую TCO(совокупная стоимость владения) у многих платных продуктов будет ниже чем у opensource в силу ряда причин.

                        +2
                        Большинство компаний из списка Fortune500. Причем ставят очень «жирные» сервера. Sharepoint 2016 например. Министерство обороны США. Да и просто сайтики на IIS занимают 9.22 %
                      –6
                      Кстати, как вариант, сие «рисовое зернышко» наоборот отключало штатные трояны анбшников. и аппле это специально заказало, поэтому сейчас делает покерфэйс, а анб так обиделись.
                        +23
                        Предположительно, 6-контактный чип размещался на пути между IPMI-контроллером и его ROM с SPI интерфейсом. Таким образом, он мог модифицировать передаваемые из ROM данные и тем самым менять какие-то параметры прошивки. Ну например, инициировать загрузку ОС по сети. Другой вариант — модифицированная прошивка, например, могла давать доступ к IPMI без пароля. Я не эксперт, пусть тот, кто разбирается в этой технологии, прокомментирует.

                        Увы, сейчас не только в серверах, но и в обычных системах есть BMC (Base Motherboard Controller), который имеет огромные привилегии, и при этом содержит закрытый никем не проверенный софт. Вполне логично атаковать именно его.

                        Я также читал никем не проверенную версию, что Эппл и Амазон эту закладку обнаруживали то ли из-за подозрительного сетевого трафика, то ли из-за проблем с прошивкой ROM (считываемые данные не совпадали с записываемыми).
                          +11
                          Слава богу — в теме есть люди, которые понимают, как это возможно. Ну и знают о IPMI, SPI b BMC… Снимаю шляпу, вы первый адекват в ветке.
                            –2
                            Всё уже обсудили здесь, зачем повторяться.
                              +1

                              Предлагаете перечитать все 175 комментариев, чтобы не повторяться.

                                0
                                Предлагаете перечитать все 175 комментариев, чтобы не повторяться.
                                Это единственный способ не повторяться, подскажите какие есть еще?
                                  0
                                  Дать ссылку на конкретный пост(или ветку), в котором вы увидели что тема раскрывается, ведь вы уже прочитали 175 комментариев.
                                  А ещё лучше сделать цитату того поста, чтобы даже кликать не надо было, вам бы за это ещё в карму кто нибудь плюсанул.
                                    0
                                    Так мой коммент выше как раз и был не о каком-то конкретном посте, а, наоборот, о том, что технические подробности сабжа уже всесторонне обсосаны на протяжении всех этих 175 комментариев той темы (ну или по крайней мере большинстве из них). Поэтому и ссылки точнее, чем на всю ту ветку, как бы и нет.
                                      0
                                      Понятно. Ну, значит тема еще не раскрыта, 175 комментариев всё-же мало, поэтому лучше продолжать здесь копать истину). Хотя и её поиск частенько уходит в сторону — как например здесь — начинали с Китая и шпионских штучек, а ушли вообще в 1С…
                          • НЛО прилетело и опубликовало эту надпись здесь
                              0
                              Вы видимо с supermicro не работали в достаточном объеме: ipmi, не будучи подключенным в порт свитча, автоматически активируется в параллель на первом сетевом интерфейсе сервера с дефолтным логин-пароль и получением ip адреса по dhcp. Отследить это на своем сервере вы не сможете никак — этого банально не будет видно. Сможет выявить только анализ со стороны сетевого оборудования-будет выглядеть как два мак адреса на одном порту и постоянные dhcp реквесты.

                              Справедливости ради supermicro не единственный у кого так устроено, но он лидирует в госзакупках.
                              • НЛО прилетело и опубликовало эту надпись здесь
                                  0
                                  Что X9, что X10 платы, что получали за последние годы, имели выключенный по-дефолту в биосе IPMI.
                                  0
                                  Закладка может сама первая отправлять пакет в «центр управления» (а не открывать порт и вызывать подозрения). Если ограничены только входящие соединения, а выход из локальной сети не зафаерволлен (а обычно это так и есть), то вес будет работать.
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                  +1
                                  Лет 5 назад читал статью какого-то русского (или в переводе было, не помню) сисадмина. У него то-ли что-то глючило в IMPI, то-ли просто заметил что-то странно, но это вынудило его детальнейшим образом разбираться. Была подробная статья с дампами и прочим и очень хорошо помню его вывод. Что две идентичные серверные платы — одна из Китая, в другая из США — отличаются. И он высказывал предположение о бэкдорах, устанавливаемых прямо на заводе. Помню, первые мысли, мол «да быть не может, ну это же совсем наглость, наверняка есть другое объяснение». А оказывается, вполне может. К сожалению ни названий, ни имён не помню.
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                      0

                                      Была такая статья, вы правы.
                                      Увы, не могу вспомнить ничего, что помогло бы ее найти.

                                        +1
                                        Такая статья xakep.ru/2011/12/26/58104?
                                          0
                                          Да, вроде она, спасибо!
                                        +1
                                        Предположительно, 6-контактный чип размещался на пути между IPMI-контроллером и его ROM с SPI интерфейсом

                                        Давай считать.
                                        2 контакта вход/выход для DO линии — подмена выходных данных.
                                        3 контакта в режиме сниффера CS, CLK, DI — необходимы для внутренней эмуляции подмены внешнего чипа.
                                        2 контакта питания.
                                        И того в сумме 7 контактов!!! — вопрос, как оно работало?
                                          0
                                          От дилетанта предположение — одна из сигнальных линий делается модуляцией на питании? Сейчас допуски широкие.
                                          0
                                          Intel ME уже успешно раскалывают. habr.com/company/pt/blog/336242 Не проще ли туда бэкдор вставить? Или все дело в цифровых подписях?
                                            0
                                            UPD: вышел ответ Супермикро:
                                            www.supermicro.com/newsroom/pressreleases/2018/press181004_Bloomberg.cfm (англ.)
                                            www.supermicro.com/newsroom/pressreleases/2018/press181004_Bloomberg_Russian.html (рус)

                                            > Компания Supermicro никогда не находила в составе своего оборудования никаких шпионских чипов и не получила от каких-либо клиентов информации об обнаружении подобных устройств.

                                            > Ни одно американское или зарубежное государственное агентство ни разу не обращалось к Supermicro в связи с подобными обвинениями.

                                            > Supermicro — не единственная компания, производящая материнские платы в Китае. Это стандартная отраслевая практика. Практически все поставщики систем используют аналогичную модель контрактного производства. Supermicro проводит жёсткий отбор, квалификационный анализ и сертификацию каждого подрядчика, а также регулярно инспектирует производственные базы и тщательно отслеживает все технологические процессы.
                                            +7

                                            Это бредни журналистов, а вот "англосаксы" -это древнегерманские племена. Старайтесь не транслировать новояз из методички, это убивает русский язык.

                                              +6
                                              Англосаксы — это… Что такое Англосаксы?
                                              англоса́ксы
                                              мн.
                                              1.
                                              Общее название германских племен — англов, саксов, ютов и фризов, положивших начало английскому народу.

                                              2.
                                              Название англичан и американцев.

                                              3.
                                              Представители этих племен.

                                              Толковый словарь Ефремовой. Т. Ф. Ефремова. 2000.

                                              Подчеркивание мое.
                                            +4
                                            Is fecit cui prodest, ищите кому выгодно. Кто то решил утопить SuperMicro, потом разберутся что ничего небыло, а осадочек останется. И останется в головах некоторых руководителей, с известным результатом.
                                              +1
                                              Выгодно китайцам — получать ценные разведывательные данные из военных структур США. Ну и нам кстати тоже было бы выгодно.
                                                0
                                                Выгодно китайцам — получать ценные разведывательные данные из военных структур США. Ну и нам кстати тоже было бы выгодно.

                                                А че, компьютер с секретными данными подключен к интернету?

                                                Файрволлов нет, админов нет… В Одноклассники (шучу, в Фейсбук конечно) доступ с рабочих компьютеров военных не закрыт…
                                                  +10
                                                  Вы чип видели? У него же аж шесть ног. Он с разбегу эти ваши фаерволы перепрыгивает, как конь :)
                                                    0
                                                    Откровенно говоря я не достаточно глубоко в теме, но, имхо, если через такой чип проходит вся сетевая активность, то его можно активировать специальой последовательностью битов, встроенной в похожий на легитиный трафик, а т.к. зараннее не известно, что именно должно прийти на чип, то и по содержимому отфильтровать такое зараннее маловероятно, так что от такого фаирвол вас, скоре всего, тоже не спасет
                                                      +1
                                                      так что от такого фаирвол вас, скоре всего, тоже не спасет

                                                      на ЭТОТ чип в ЭТОЙ подсети в принципе внешние данные не ходят.
                                                      +1

                                                      Ну разумеется, все эти системы полностью изолированы от интернета, и совершенно безопасны. Не было ни одного случая проникновения, нечего и пытаться.

                                                      0
                                                      Эээ это как? Данные мало собрать, их еще надо передать, хотябы морзянкой.
                                                      Кстати, если мне не изменяет память, то в интеловских сетевых чипах есть зомби пакет при получении которого сетевушка вешает комп. И вроде на хабре была такая статья.
                                                      0
                                                      Один в один напоминает скандал с автомобилями большого европейского концерна.
                                                      Экономическая война, новый виток, зуб даю (молочный).
                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                          0
                                                          Трамп обещал вернуть производство из китая в америку.
                                                          Чем не повод(может даже и сфабрикованный)
                                                            0
                                                            Еще до Трампа была череда подобных скандалов со шпионским оборудованием из Китая. Хуавей вроде. Так что торговая война тут не ключевой фактор.
                                                      +3

                                                      Не первый раз «лучшие друзья»-китайцы попадаются на встраивании анальных зондов в электронику. Пора бы уже обучиться.

                                                        +3
                                                        Расследование показало, что чип был подключен к цепям соединения BMC-контроллера с SPI Flash или EEPROM, на которых хранится прошивка. Модифицируя поступающие с Flash данные чип мог добиться выполнения своего кода на уровне BMC (устанавливаемый в серверах специализированный контроллер, имеющий свой CPU, память, хранилище и интерфейсы опроса датчиков).
                                                        Не в пользу информации Bloomberg также свидетельствует излишнее усложнение атаки: при доступе к производству вместо отдельного и заметного чипа надёжнее было бы интегрировать бэкдор прямо в SPI Flash и поставлять на платах неотличимый от оригинала модифицированный чип.


                                                        Кстати, тут фото даже есть этого чипа. И это оригинальная ссылка на статью, а не как в этом переводе просто на издание ссылка.

                                                        Странный автор статьи тут — ошибку в тексте в первом комменте указал, автор ее исправил и не написал про это в ответ…
                                                          +5
                                                          В чипе такого размера нереально разместить сложную логику, которая будет взламывать что-то на уровне ОС, только на уровне «принял команду — вырубил всё».
                                                          А вообще выглядит как защита ESD или фильтр помех
                                                          Если бы я ставил его на плату, то такую крохотульку засунул бы под любой разъем — места там достаточно, а еще есть другой вариант — сейчас конденсаторы ставят прямо под BGA-чипы — никогда не найдёте.
                                                            +6
                                                            А вообще выглядит как защита ESD или фильтр помех


                                                            Не. Это либо балун, либо coupler, у них очень характерный вид и очень характерное применение — только в радиочастотных цепях. И это привет журналистам Блумберга, которые где-то услышали слова «signal conditioning device», вбили их в гугль, попали в прайс Digikey, где балуны зачем-то проходят в разделе signal conditioning, и взяли первую картинку оттуда.

                                                            Короче, учёные опять изнасиловали журналистов.

                                                            Реальный чип так выглядеть не мог именно из-за характерного вида, да и из-за конструкции тоже — неудобно как-то в керамику паковать микроконтроллер.

                                                            А вот чёрная LGA'шная блоха типа такой (снималось мной в подвалах ГРУ, чек на такси прилагается) или чуть крупнее была бы к месту, таких чипов на современных материнках пачки, никто их не считает и не замечает.
                                                            –14
                                                            >надёжнее было бы интегрировать бэкдор прямо в SPI Flash и поставлять на платах неотличимый от оригинала модифицированный чип

                                                            Что-то ахинейка написана. Что есть SPI Flash? SPI это вроде протокол, Flash тип памяти.
                                                            Итого, если заменить прошивку во флэше, америкосы это увидят СРАЗУ, т.к. авторы прошивки амеры, а не китайцы.

                                                            Если имелось в виду «модифицировать SPI-контроллер», то каким образом он поможет спрятать изменения когда америкосы соберутся перешить прошивку? Сразу всё вскроется.

                                                            Ну и моя версия — что данный чип наоборот отключал пиндосские трояны в IME никак не расвенчана :D
                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                +11
                                                                Что-то ахинейка написана. Что есть SPI Flash? SPI это вроде протокол, Flash тип памяти.
                                                                Ахинейкой это становится когда не способен понять что это "Flash память с интерфейсом SPI". Впрочем, сложно ожидать чего-то другого от человека использующего слова "америкосы", "амеры", "пиндосские"…
                                                                0
                                                                Симпатичные блэйды у SM. Не то что у Huawei. = )
                                                                +4
                                                                На сайте servethehome.com опубликована довольно-таки скептическая статья:
                                                                Bloomberg Reports China Infiltrated the Supermicro Supply Chain We Investigate

                                                                Цитата из заключительной части статьи (на английском)
                                                                First and foremost, I think we need to call for an immediate SEC investigation around anyone who has recently taken short positions or sold shares in Supermicro. With the accompanying Supermicro stock price hit that was foreseeable prior to the story, if anyone knew the story would be published, and acted on that non-public or classified information, the SEC needs to take action. There seems to have been over 20 people that knew about this.

                                                                Если вкратце, автор статьи Патрик Кеннеди (Patrick Kennedy) призывает Комиссию по ценным бумагам и биржам США незамедлительно провести расследование в отношении тех, кто продал акции Supermicro или открыл короткие позиции по ним незадолго до публикации статьи на сайте Bloomberg.

                                                                P.S. Помнится, одного любителя Марса недавно оштрафовали на 20 миллионов долларов за позитивную, но оказавшуюся не вполне достоверной новость о своей компании.
                                                                  –2

                                                                  А не проверить бы Патрика Кеннеди на получение денежных переводов в юанях? Вроде как такая схема с «экспертами» уже отработана...

                                                                    0
                                                                    Пара отрывков из статьи Патрика Кеннеди (на английском)
                                                                    The bad news is that BMC's are extremely dangerous. They are also pervasive with a few points under 100% of servers having them these days. The Bloomberg article cites the well-known Supermicro BMC/ IPMI vulnerabilities. Supermicro is not alone. Every Dell EMC PowerEdge server (edit: 13th generation and older, the new 14th generation has a fix to prevent this) has a local and remote exploit available that the company can mitigate with patches, but cannot fix. We broke this story with iDRACula.  If you think you are safe with HPE or Lenovo servers, here are BMC vulnerabilities for other vendors.

                                                                    The security community, as a whole, knows that BMCs are both useful if not mandatory in today's infrastructure. As a result, the security community, and major hyper-scale vendors are putting a lot of effort in researching security solutions.

                                                                    One of the more interesting bits is that if it is a BMC vulnerability or anything that «phones home» over a network interface, one would expect that security researchers would have seen it. There are companies that put boxes on networks just to see what network traffic they create. Supermicro tends to build common designs that it ships to multiple customers. It would be slightly interesting if only some Supermicro servers, e.g. for certain customers were impacted. If China did not do this, it would have been caught earlier. If China did limit to a few customers, it would be difficult to target them at PCB. As we will show shortly, Supermicro PCBs are used across products.

                                                                    Bottom line, if this Supermicro attack vector is to the BMC, then the Bloomberg story is no bigger than the Dell EMC PowerEdge iDRACula story or any others. Saying there is a vulnerability in a BMC is like saying the sun is hot.

                                                                    Where the Bloomberg Piece Makes No Sense

                                                                    There is one area where the Bloomberg piece makes no sense. Supermicro servers are procured for US Military contracts and use to this day. Supermicro's government business is nowhere near a large as some other vendors, but there are solutions providers who sell Supermicro platforms into highly sensitive government programs.

                                                                    If the FBI, or other intelligence officials, had reason to believe Supermicro hardware was compromised, then we would expect it would have taken less than a few years for this procurement to stop.

                                                                    Assuming the Bloomberg story is accurate, that means that the US intelligence community, during a period spanning two administrations, saw a foreign threat and allowed that threat to infiltrate the US military. If the story is untrue, or incorrect on its technical merits, then it would make sense that Supermicro gear is being used by the US military.

                                                                    Патрик Кеннеди высказывает сомнение касательно надежности обвинений в адрес китайцев, в частности, по двум причинам:
                                                                    1) Проведение целенаправленной атаки против конкретной компании или конкретного ведомства подобным способом — весьма затруднительное дело. А если бы китайцы массово встраивали подозрительный чип в материнские платы, то исследователи-безопасники, наверное, обнаружили бы его раньше.
                                                                    2) Серверы с такими материнскими платами уже не первый год используются американскими военными. А ведь, по идее, всё, что поставляется военным, проходит тщательную проверку.
                                                                      0

                                                                      Американские ведомства и антивирь Касперского одно время использовали.

                                                                        +1
                                                                          0

                                                                          Очередное "Предъявите ваши доказательства! Этот антивирус не наш, и вообще он уволился месяц назад." Тем не менее глава «Лаборатории Касперского» Евгений Касперский признал факт загрузки на сервера своей компании секретной информации Агентства национальной безопасности (АНБ) США.


                                                                          Кстати заметили, что по странному совпадению утечки из ведомств США примерно год как прекратились?

                                                                            +2
                                                                            Цитирую Блог Лаборатории Касперского:
                                                                            — А правда, что антивирус Касперского собирает данные с компьютеров?

                                                                            Да, правда, но это не личные данные наподобие документов и фотографий. В наших продуктах, как и в антивирусах большинства других компаний, есть облачная защита. Она помогает реагировать на появление новых угроз и защищать всех наших пользователей буквально в течение минуты. У нас она называется Kaspersky Security Network (KSN). В рамках работы KSN антивирус действительно может передавать в облако файлы, но это касается только вредоносных или подозрительных файлов. Подробнее про это написано здесь.
                                                                              +1

                                                                              Разумеется, как же может быть иначе :)

                                                                                +3
                                                                                Эта функция есть во всех мало-мальски серьезных антивирусах, и она отключается галкой в параметрах. В NOD32 оно называется ESET LiveGrid, например.
                                                                                  –6
                                                                                  В NOD32

                                                                                  это не антивирус
                                                                                –2
                                                                                Цитирую Блог Лаборатории Касперского:

                                                                                а чего не Ашманова или скажем Рен-ТВ?
                                                                                  0
                                                                                  Я не специалист по информационной безопасности и вообще не айтишник, поэтому мне приходится опираться на чье-то мнение.
                                                                                    –5
                                                                                    Я не специалист по информационной безопасности и вообще не айтишник,

                                                                                    я не ракетчик, я филолог и буду цитировать рент-тв вместо того чтобы почитать чего-то кроме.
                                                                                    ок
                                                                                      +2
                                                                                      Нашел статью про Лабораторию Касперского и АНБ:
                                                                                      Kaspersky and the Third Major Breach of NSA’s Hacking Tools – emptywheel

                                                                                      Мое внимание привлек этот скептический комментарий к статье.
                                                                                      Комментарий (на английском)
                                                                                      Richard Steven Hack says:
                                                                                      October 8, 2017 at 4:30 am

                                                                                      I totally doubt most of this story. Simply because of the “Russia, Russia, Russia” hysteria – most of it based on zero evidence – which led the US government to start messing with Kaspersky.

                                                                                      Now we have this “convenient” story – backdated two years for credibility apparently – that suggest – again without ANY evidence or even a DIRECT accusation – which would hold the WSJ out for a lawsuit if proven wrong – that Kaspersky was helping Russian intelligence.

                                                                                      I call BS. I suspect that most of the infosec community does not believe Kaspersky is working with the Russian government to spy on its users or even some of it users. If it were true, it would likely have been detected years ago (and not just two years ago directly by the NSA.)

                                                                                      The story also raises a lot of questions about NSA security policy. The NSA guy was supposedly using his home PC to develop new malware. So what? He puts this new malware on his own host machine which runs KAV and doesn’t use a VM for development? So KAV detects his new malware and immediately grabs it to send it up to Kaspersky who immediately recognizes it as NEW NSA malware and calls Russian intelligence?

                                                                                      Is this NSA guy a moron to be developing classified software – malware at that – on a home PC which is connected to the Internet AND running “phone home” software on it? Is this how they train their people? Would Ed Snowden have done this? Or is the NSA willing to blow what little is left of their credibility just to mess with a Russian AV company?

                                                                                      Or is it more likely that – like the NSA undoubtedly does in the US – Russian intelligence is hoovering up all Internet streams, especially including AV – and other “phone home” – software for intelligence? The problem of phone home software has been known for years. Presumably both the NSA and the Russian government – and probably many others – know and use that for intelligence collection. So do we assume Kaspersky is the culprit or the wholesale collection of the Internet by government?

                                                                                      How do we know that Russian intelligence doesn’t know EXACTLY who this NSA employee or contractor is and has been hoovering up his Internet connection for years? Or that the NSA has been hoovering up his Internet stream and the Russians have tapped that?

                                                                                      As usual with “Russia, Russia, Russia”, a lot of people are jumping to conclusions based on a vague and faulty mainstream media report.
                                                                                        0
                                                                                        я уже понял что вы не ракетчик, копипасту читать не интересно
                                                                                          0
                                                                                          Извиняюсь, а где можно ознакомиться с Вашими личными доказательствами причастности Лаборатории Касперского к якобы злонамеренной утечке (читайте, краже) данных АНБ?
                                                                                            –1
                                                                                            Лол. Первую форму готовы подписать?
                                                                                              +2
                                                                                              Если я правильно понял, доказательства у Вас имеются, но они настолько секретные, что показывать их случайным людям никак нельзя. Вопросов больше не имею.
                                                                                                –4
                                                                                                я, но они настолько секретные, что показывать их случайным людям

                                                                                                я задал простой вопрос — готовы ли вы.
                                                                                                вы не готовы. ок.
                                                                                                  +1
                                                                                                  По правде говоря, я уже много лет как не видел антивирус Касперского вживую, разве что читал про него. Странно, что подобные претензии не предъявляют разработчикам других антивирусов с облачной проверкой подозрительных файлов.
                                                                                0
                                                                                Вы сами хотя бы читали статью, на которую ссылаетесь или повелись на кликбейт заголовок? :)

                                                                                Кстати, откуда вы знаете, что утечки из АНБ прекратились?
                                                                            +1
                                                                            Тщательная проверка не значит, что они изучают каждый резистор на плате, каждый вентиль в чипе и каждый байт прошивки (зачастую зашифрованной).
                                                                        0
                                                                        Дураки могли, бы встроить чип между слоями текстолита…
                                                                        ой я это сказал вслух ???

                                                                        Это было бы безусловно дороже, зато возможно и делать он мог бы гораздо больше ввиду большего объема и точек входа
                                                                          0
                                                                          Это если в саму технологическую цепочку встраиваться. Но тогда можно вообще ничего не прятать, а модифицировать штатный чип IPMI (ну или что они там якобы меняли). Причем подменить сторонний чип можно незаметно от самих инженеров на сборочном производстве, а скрытные фокусы с текстолитом — это уже утопия. Здесь же, если вообще не утка, то речь идет о точечной доработке напильником конкретных партий готового изделия уже в постпроизводственном цикле.
                                                                            0
                                                                            Модифицировать штатный чип IPMI — если Вы имеете в виду ASPEED 2500, или что там у них стоит в BMC, то это ой как непросто — это всё-таки целый System on Chip, с ARM и кучей периферии.
                                                                            Другое дело, что мне тоже непонятно, зачем такие сложности с чипом между SoC и SPI Flash, когда можно прямо саму микросхему SPI Flash модифицировать.

                                                                            Но вообще, история крайне мутная, на мой вкус…
                                                                              0

                                                                              Как-то встраиваться и так надо, плату, если установка этого чипа не планировалась изначально, придётся слегка переразвести, перемычки будут выглядеть топорно и SMD-монтаж не прокатит, а значит будет плохо выглядеть и быстро найдут.
                                                                              Если это BMC, я бы впаивал просто другие BMC с такой же маркировкой, но с двумя разными SoC-контроллерами внутри, одним обычным, а одним «каким надо», и сделал бы чтобы второй активировался только при соблюдении каких-то редких условий :)

                                                                                0
                                                                                SoC — не самая простая штука, и ног у него много, и по площади он далеко не мелкая микросхема. Да и смысла нет — в SoC нет прошивки, она лежит на отдельно установленной SPI flash.
                                                                                  0
                                                                                  в SoC нет прошивки

                                                                                  … исключительно ради удобства и возможности раскирпичить окирпиченный при перепрошивке SoC выпаиванием и перепрошивкой микросхемы с чуть меньшим количеством ног.
                                                                                  Размеры и количество ног, кстати, в основном зависят от задачи. Кристалл i8080 на техпроцессе 6 микрон был размером около 5х5 мм. На техпроцессе 20 нм в 5х5 мм помещается почти в 100 тысяч раз больше транзисторов. Хорошо, пусть будет в 10 тысяч раз больше транзисторов. Это значит, что там хватит места на пентиум II, всю периферию, память и еще останется. А наружу можно вывести питание и 4 провода Ethernet (упс, те самые 6 контактов на фотографиях из Блумберга...). И да, если копнуть чуть глубже, чем ассортимент чип и дипа, то обнаруживается, что многие SoC выпускаются и в варианте со всей встроенной памятью для прошивки, и флэш, и RAM.
                                                                                  Дополнительный кристалл 5х5 мм можно поместить в примерно любой корпус примерно любой BGA микросхемы на матери. (Есть тонкости и особенности, и это, если сделано «в лоб», ловят на приемке...)
                                                                                    0

                                                                                    Почти все BMC строятся на чипах Aspeed.
                                                                                    SPI flash BMC почти всегда две.
                                                                                    Довольно часто они в кроватках, их не надо выпаивать.
                                                                                    Наружу надо вытащить не 4 провода и питание, а много питания, много пинов для памяти и чуть более, чем 4 линии для Eth Phy.
                                                                                    И я не понимаю, зачем второй "свой" SoC.

                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                      0
                                                                                      и чуть более, чем 4 линии для Eth Phy.

                                                                                      Ну хорошо. Не эзернет. LVDS по 4 проводам даст нам 672 мегабита в секунду полного дуплекса. Более чем достаточно для занятия примерно чем угодно.

                                                                                      много питания, много пинов для памяти

                                                                                      Как я сказал сразу, память _вся_ _внутри_. Зачем SoC, который занимается «нехорошими делами», будет что-то хранить во внешней памяти? Это ж можно подпаяться проводочками и узнать, что он там на самом деле внутри себя делает!
                                                                                      Питание — два BGA контакта на напряжении 5В дают нам до 2 Вт электричества (хотя да, нужно следить за температурным режимом). 2 Вт электричества в наше время — это больше 20 ядер ARM, например, A35 на гигагерце! 20 ядер ARM достаточно для примерно всего, что могут нафантазировать спецслужбы, лет на 20 вперед.
                                                                                        0

                                                                                        Это ненаучная фантастика.
                                                                                        LVDS дальше куда пойдет?
                                                                                        Память на чипе — сколько? 512 килобайт? Для 20 ядер ARM какого? Какой площади будет 20-ядерный ARM?

                                                                            0
                                                                            Всем желающим купить их акций вчера пришлось обломаться — NASDAQ приостановил торги по SMCI с 23 августа, их можно купить, но только через спец. настройки
                                                                              +2

                                                                              График на картинке для привлечения внимания представляет собой прекрасный пример того, как не нужно строить графики.


                                                                              Визуально стоимость акций упала примерно в 20 раз.

                                                                                +3
                                                                                Финансовые графики всегда так представляются, чтобы видеть изменения. Везде, по умолчанию показывается диапазон минимальное-максимальное значение за период. Если вы не смотрите на значения на шкале, то это больше ваша проблема, а не того, кто делал график
                                                                                  0
                                                                                  Вроде про это есть стрип xkcd :)
                                                                                  +3
                                                                                  Странно: грандиозный хакерский скандал, а американцы даже вскользь не упомянули про «русских хакеров». Даже обидно как-то стало.
                                                                                    –3
                                                                                    «Русские хакеры» специализируются на распространении фейков, сраче в сетях и троллинге.
                                                                                    Столь сложная закладка — это точно не про ГРУ.
                                                                                      +5
                                                                                      Ещё вмешались в выборы США, сфальцифицировали brexit, и устроили атаки на ОЗХО.
                                                                                      Русские хакеры нереально круты :)
                                                                                        0
                                                                                        Вопрос не в том, что могут и чего не могут, а в том, что на «русских хакеров» стало принято вешать всех собак без разбора.
                                                                                      +5

                                                                                      Держите правильный, не обрезанный график, с нулём:
                                                                                      На котором виден тренд за последние 3,5 года.

                                                                                        0

                                                                                        Хоть кто-то написал про нуль на графике. А то инвестиционные блоги обычно полны "драматических" графиков, которые скорее пугают.
                                                                                        Авторам поста за такой график, конечно, порицание.

                                                                                          +2
                                                                                          Так тоже 0 неправильно на графике, да и графика не надо, чтобы понять, что такое было 20 стало 12.
                                                                                            0

                                                                                            Да, только сейчас заметил, что под нулём есть ещё куда падать :)
                                                                                            Там было 21,5, стало 8,5, уже отыграло до 12.

                                                                                          +1
                                                                                          Там внизу розовые полоски — это объем торгов? И что там такое интересное произошло незадолго до обвала? Я думаю, что комиссия по ценным бумагам тоже очень заинтересуется.
                                                                                            0
                                                                                            Nasdaq исключил их из листинга в августе.
                                                                                            +2

                                                                                            Какой-то у Вас ноль неправильный.
                                                                                            Правильный ноль проходит по нижней границе диаграммы.
                                                                                            А у Вас визуально акции не в два раза обвалились, а гораздо меньше

                                                                                              0
                                                                                              Там ноль такой, чтобы бледно-розовая гистограмма внизу целиком на красном фоне умещалась.
                                                                                                0
                                                                                                Вот только нафига так делать? Нет, выводить объем торгов внизу на том же графике, что и изменения цены — это в общем-то практически стандарт для финансов.
                                                                                                Но вот заливать всю эту область (представляющую собой отдельный график с собственной шкалой, так сказать график в графике) тем же цветом что основной график? Чтобы визуально все слилось в одно?!..

                                                                                                Это либо сильная криворукость или попытка манипулировать в обратную сторону.
                                                                                                  0
                                                                                                  Это, кстати, finance.yahoo.com за 5 лет, у них такой ноль больших периодах.
                                                                                                    0
                                                                                                    Ноль то выше точки пересечения осей координат это еще более-менее, он автоматически дополнительной линией отбивается, чтобы отделить от идущей ниже гистограммы объемов торгов.

                                                                                                    А вот заливку заливать не до нуля (конца/начала графика), а «до дна» — явная криворукость. Стандарт — всегда заливать до нуля, т.к. заливка под линией графика это не просто «украшение», а визуализация данных. Например если график не цены, а объема продаж/производства — то площадь этой заливки это суммарный объем за период.

                                                                                                    Интересного кого — дизайнера («ну так же красивее выглядит») или веб-программера.
                                                                                                0

                                                                                                Да, забавно вышло, только сейчас заметил.

                                                                                                +2
                                                                                                Хорошо, что под нулем на этом графике есть еще место куда падать! ;)
                                                                                                  0
                                                                                                  Да они и без этих закладок падают постоянно ;) С 33 до 20, с 40 до 25 итп.
                                                                                                  +3
                                                                                                  Посмотрел — статью на Bloomberg, показал «железячникам» ржали всем отделом (шестиногий чип взламывающий компьютеры USA) — видно отъел хорошую долю рынка supermicro, посмотрим, что скажет SEC.
                                                                                                  Походу кризис впереди на фондовом рынке, 10 лет прошли пора на коррекцию, пузырей слишком много. US BOND 10, уже 3.2+% годовых, ближе к 4% может «бахнуть».

                                                                                                  hollywood — совсем испортился.

                                                                                                    +1
                                                                                                    Писали уже, есть вероятность что чип стоял на SPI линиях интерфейса между BMC и чипом с его прошивкой. Что тут невероятного?
                                                                                                    +5

                                                                                                    В комментариях на HN писали, что никаких доказательств нет, что Bloomberg мутит воду, что они миллион раз писали Apple, что якобы у тех утечка данных, Apple проводила расследования, ничего не находила, и до сих пор не нашла.


                                                                                                    Короче, это какие-то мутные политико-экономические игры, возможно, единственная цель которых — обвалить акции Supermicro.


                                                                                                    Доказательств, как всегда, нет ни одного, только общие рассуждения: «спецслужбы нашли», «на китайских заводах», «размером с рисовое зернышко», «хайли лайкли», «олмост сёртайнли». Где-то мы это уже слышали...

                                                                                                      –3

                                                                                                      Последний абзац неактуален, "где-то" уже идентифицировали конкретные звания и имена совершивших бов-атаку.

                                                                                                        –4
                                                                                                        Я смотрю, админы хабра в рамках монетизации порегили пару сотен парней с правом минусовать.
                                                                                                        БГГГ, ведущий политический сайт рунета с ведущими экспертами по всем вопросам
                                                                                                          0
                                                                                                          Повторюсь:
                                                                                                          Анонимы, сэр! :)

                                                                                                          P.S. Если что, я здесь пока еще никого не минусовал (даже не потому, что у меня нет такой возможности).
                                                                                                      0
                                                                                                      Я одного не пойму, зачем было писать эту статью после выхода вот этой? Что принципиально нового сообщил автор, чего не было в предыдущей статье или комментариях к ней? Или все дело в желании попиарить корпоративный сайт?
                                                                                                        –1
                                                                                                        лол. а вот эту? habr.com/post/425519
                                                                                                          0
                                                                                                          А какая связь между вашей ссылкой и обсасыванием одной, весьма спорной, темы в двух статьях?
                                                                                                        +1
                                                                                                        Господа!

                                                                                                        Я заметил, что за сутки публикации этой статьи (и с времени публикации похожей статьи, упомянутой выше, которую я увидел только сегодня) почему-то никто не догадался пойти на сайт Supermicro и посмотреть, есть ли там какая-то реакция на публикацию в Bloomberg.

                                                                                                        Ответ находится по ссылке: www.supermicro.com/newsroom/pressreleases/2018/press181004_Bloomberg.cfm

                                                                                                        Кратко процитирую его здесь.

                                                                                                        Supermicro Refutes Claims in Bloomberg Article
                                                                                                        (Supermicro along with Apple and Amazon refute claims in Bloomberg story)

                                                                                                        SAN JOSE, Calif., October 4, 2018 — Super Micro Computer, Inc. (SMCI), a global leader in enterprise computing, storage, networking solutions and green computing technology, strongly refutes reports that servers it sold to customers contained malicious microchips in the motherboards of those systems.

                                                                                                        In an article today, it is alleged that Supermicro motherboards sold to certain customers contained malicious chips on its motherboards in 2015. Supermicro has never found any malicious chips, nor been informed by any customer that such chips have been found.

                                                                                                        Each company mentioned in the article (Supermicro, Apple, Amazon and Elemental) has issued strong statements denying the claims:

                                                                                                        Apple stated on CNBC, “We are deeply disappointed that in their dealings with us, Bloomberg's reporters have not been open to the possibility that they or their sources might be wrong or misinformed. Our best guess is that they are confusing their story with a previously reported 2016 incident in which we discovered an infected driver on a single Supermicro server in one of our labs. That one-time event was determined to be accidental and not a targeted attack against Apple."


                                                                                                        Последнее предположение про инфицированный драйвер как раз подводит к мысли о случае «ученый изнасиловал журналиста».

                                                                                                        Так же, эта история и обсуждения на этом сайте показывают, что достаточно легко сделать «псевдо-научную» статью, которую все, кроме хороших специалистов, не смогут адекватно оценить. Это не хорошо и не плохо, это просто закон природы.

                                                                                                        Бред написать достаточно легко, а что бы его опровергнуть — надо быть хорошим специалистов. Т.к. количество людей, генерирующих бред и число специалистов различается на порядки (не говоря даже о том, что на опровержения нужно потратить силы/время без гарантии, что вас поймут), то засирание информационного пространства бредом — это закономерный процесс.

                                                                                                        Существование теорий плоской земли — прямое следствие этого закона. Кстати, вот хороший иллюстративный пример: youtu.be/mQj2qUulog0?t=9m41s

                                                                                                        Можно, конечно, ржать над роликом про плоскую землю, но люди верят… И это только относительно простой пример. Будь затронута тема, которая чуть в стороне от базовых знаний, 99,99% процентов читателей Хабра не заметят подвоха. Кстати, к ролику РенТВ отношения не имеет.

                                                                                                        Сегодня, как раз, вышла интересная заметка на эту тему: Три экспериментатора рассказали, как публиковали в научных журналах фейки.

                                                                                                        Выводы упомянутого исследования достаточно просты:

                                                                                                        … Как признаются Линдси, Богоссян и Плакроуз, своим экспериментом они хотели показать, что в сфере общественных и гуманитарных дисциплин идеологические установки, как правило, превалируют над требованиями научности...
                                                                                                          +1
                                                                                                          > Supermicro has never found any malicious chips, nor been informed by any customer that such chips have been found.

                                                                                                          Справедливости ради, это не противоречит новости от Блумберг. Супермикро не находил вредных чипов, и не получал репортов от клиентов. Это не исключает возможности их наличия, если они добавлены без ведома Supermicro.

                                                                                                          Отрицание статьи Амазоном можно объяснить, если предположить, что Амазон получил требование о неразглашении данных секретного расследования.

                                                                                                          > That one-time event was determined to be accidental and not a targeted attack against Apple

                                                                                                          Производитель случайно установил зараженные драйвера…

                                                                                                          Блумберг утверждает, что они проверяли данные у разных источников:

                                                                                                          > In addition to the three Apple insiders, four of the six U.S. officials confirmed that Apple was a victim. In all, 17 people confirmed the manipulation of Supermicro’s hardware and other elements of the attacks.

                                                                                                          Не исключено, конечно, что это какой-то координированный вброс дезинформации властями.

                                                                                                          Ваша отсылка к Линдси, Богоссян и Плакроузу ничего не подтверждает и не опровергает.
                                                                                                            +1
                                                                                                            Отрицание статьи Амазоном можно объяснить, если предположить, что Амазон получил требование о неразглашении данных секретного расследования.

                                                                                                            Если вы решили развести конспирологию, то я заведомо в проигрышной ситуации, т.к. конспирологией можно объяснить абсолютно все, что угодно.

                                                                                                            Если смотреть на факты, то со стороны Bloomberg есть неизвестные секретные источники. А с противоположной стороны — официальные заявления от компаний и конкретные имена: Bruce Sewell, James Baker, Tavis Ormandy и т.д.
                                                                                                            0
                                                                                                            Там есть еще русский перевод, если что: www.supermicro.com/newsroom/pressreleases/2018/press181004_Bloomberg_Russian.html
                                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                              0
                                                                                                              Со всем согласен кроме п.1 — вы не поверите, но там обычный четырёхпроводный SPI, далеко не везде (по крайней мере, мне не встречалось) QSPI.
                                                                                                                +1
                                                                                                                > Никакой производитель не пойдет на такое, ибо при наличии реального прецедента его завалят исками, да и акции улетят в ноль.

                                                                                                                Тут предполагается, что закладку встроили китайские «партнеры» по требованию китайского государства, а Супермикро не знал об этом. Расскажите, как вы завалите их исками в китайском суде.

                                                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                              Самое читаемое