| 5 октября 2018 г. — 5:04 утра по тихоокеанскому времени
История Bloomberg о китайском шпионском чипе вчера доминировала в технологических новостях. Все вовлеченные компании — Apple, Amazon и Super Micro — выпустили решительные опровержения, так что главный вопрос: кто говорит правду?
Статья либо была масштабным разоблачением чего-то жизненно важного для всех, либо неловким недоразумением, опровергнутым компаниями-участниками.
Решить, что из этого подходит, не совсем просто, но есть пять причин, по которым я склоняюсь к тому, чтобы поверить Apple…
Трудно оценить достоверность заявления, когда мы не знаем его точной сути.
Bloomberg не предоставил конкретных деталей о том, что именно делал предполагаемый китайский шпионский чип. Он изложил принцип того, как, по его словам, работал шпионский чип, но без точного описания того, как был достигнут этот подвиг.
Упрощенно говоря, имплантаты на оборудовании Supermicro манипулировали основными инструкциями операционной системы, которые сообщают серверу, что делать при передаче данных по материнской плате, сообщают два человека, знакомых с работой чипов. Это произошло в решающий момент, когда небольшие фрагменты операционной системы сохранялись во временной памяти платы по пути к центральному процессору сервера, ЦП. Имплантат был помещен на плату таким образом, что позволял ему эффективно редактировать эту очередь информации, внедряя собственный код или изменяя порядок инструкций, которым должен был следовать ЦП. Коварно мелкие изменения могли привести к катастрофическим последствиям.
Описанное было бы удивительным достижением. Действительно, The Verge процитировал профессора Международного института компьютерных наук Беркли Николаса Уивера, который заявил, что это было бы равносильно эксплойту «режим бога». Это был бы Святой Грааль взломов.
#1: Заявление Bloomberg выглядит как история «друг моего друга»
Учитывая драматичность заявления, вы ожидали бы, что Bloomberg точно изложит, как это было достигнуто — но это не так. Одна из возможностей заключается в том, что сайт хотел сделать историю доступной для широкой аудитории, избегая слишком глубокого погружения в технические детали. Но поскольку это было заявление, которое могло потрясти технологический мир, было очевидно, что те, кто способен понять детали, захотят это сделать.
Это поднимает вторую возможность: Bloomberg не может объяснить, как работает китайский шпионский чип, потому что он — или его источники — не знают. Это сместило бы историю с «вот что мы знаем, что происходило» на «нам сказали, что что-то вроде этого происходило». Это гораздо более слабое заявление.
The Register Кирена Маккарти проделал отличную глубокую работу по анализу того, как чип мог бы работать, если бы заявление было правдой.
Шпионский чип мог быть размещен электрически между контроллером управления базовой платой (BMC) и его SPI flash или последовательным EEPROM хранилищем, содержащим прошивку BMC. Таким образом, когда BMC получал и выполнял свой код из этой памяти, шпионский чип перехватывал сигналы и модифицировал битовый поток, чтобы внедрить вредоносный код в процессор BMC, позволяя его хозяевам контролировать BMC.
BMC является критически важным компонентом материнской платы сервера. Он позволяет администраторам удаленно отслеживать и ремонтировать машины, как правило, по сети, без необходимости находить блок в центре обработки данных, физически извлекать его из стойки, исправлять и снова устанавливать в стойку. BMC и его прошивку можно заставить перезагружать сервер, переустанавливать или модифицировать операционную систему хоста, монтировать дополнительные носители, содержащие вредоносный код и данные, получать доступ к виртуальной клавиатуре и терминалу, подключенному к компьютеру, и так далее. Если вы можете получить доступ к BMC и его программному обеспечению, вы полностью контролируете машину.
При компрометации BMC возможно, что предполагаемые шпионы модифицировали прошивку контроллера и/или операционную систему и программное обеспечение хоста, чтобы позволить злоумышленникам подключиться или разрешить утечку данных. Мы освещаем проблемы безопасности BMC уже некоторое время.
Один цитируемый эксперт по информационной безопасности говорит, что это не только правдоподобно, но и так бы поступил он сам.
Но если это так, почему Bloomberg нам этого не сообщил? Единственный правдоподобный ответ здесь заключается в том, что он не был посвящен деталям, он знает только то, что ему сказали некоторые люди, что фактически превращает это в историю «друг моего друга».
#2: Технические аргументы против заявления выглядят убедительно
Маккарти приводит некоторые возражения против идеи конкретных утверждений о китайском шпионском чипе. Три из них кажутся мне особенно убедительными.
Зачем утруждаться с контрабандой еще одного чипа на плату, когда чип, который и так должен быть установлен в схему, может быть подделан во время производства, используя взятки и давление? Почему бы не заменить SPI flash чип на чип с бэкдором — такой, который выглядит идентично настоящему?
[И] Чип, как утверждается, помещается на кончике карандаша. То, что он может перехватывать и перезаписывать данные в реальном времени из SPI flash или последовательного EEPROM, не является невозможным. Однако он должен содержать достаточно данных для замены полученной прошивки BMC, которая затем изменяет работающую операционную систему или иным образом реализует жизнеспособный бэкдор. Либо чип, изображенный в статье Bloomberg, неверен и просто иллюстрация, а реальное устройство больше, либо здесь задействовано современное изготовление полупроводников на заказ.
Последний момент: вы ожидали бы, что такие корпорации, как Apple и Amazon, будут иметь системы, которые обнаруживают не только неожиданный сетевой трафик, но и неожиданные состояния операционной системы. Должна быть возможность, что изменения в ядре и стеке программного обеспечения над ним вызовут срабатывание сигнализации во время или после загрузки.
Таким образом, технические аргументы против заявления выглядят убедительными. Что, как отмечает Маккарти, подводит нас к опровержению Apple.
Теория «Apple лжет»
В прошлом я писал о случае, когда Apple сделала подозрительно сформулированное опровержение: когда разразилась история PRISM и утверждалось, что Apple предоставила АНБ доступ к своим серверам.
Исследователи безопасности, изучающие опровержения PRISM, сделанные компаниями, которые предположительно предоставляют данные АНБ, говорят, что используемый язык подозрительно похож. Выделение сделано нами:
Google: Во-первых, мы не присоединялись ни к одной программе, которая давала бы правительству США — или любому другому правительству — прямой доступ к нашим серверам.
Apple: «Мы не предоставляем ни одному правительственному учреждению прямой доступ к нашим серверам, и любое правительственное учреждение, запрашивающее данные клиентов, должно получить судебный ордер».
Facebook: Facebook не является и никогда не являлся частью какой-либо программы, предоставляющей правительству США или любому другому правительству прямой доступ к нашим серверам.
Тот факт, что была использована одна и та же фраза, маловероятно является совпадением. Один эксперт по безопасности, с которым я разговаривал, сказал, что формулировка лишь исключала возможность того, что АНБ вытягивало данные с серверов; это не означало, что компании не отправляли данные в АНБ. Если бы АНБ получило секретный судебный ордер, требующий от компаний передавать данные, то, конечно, заявления о том, что они предоставляют данные только по требованию закона, также были бы верны.
Моя интерпретация этого заключается в том, что все три компании были обязаны отправлять данные в АНБ и находились под государственным приказом о неразглашении. Правительство предоставило формулировку, которая позволила бы компаниям казаться отрицающими это, не солгав на самом деле.
В данном случае потенциально может быть то же самое. Если бы Apple и Amazon обнаружили китайский шпионский чип и сообщили о нем в ФБР, возможно — действительно, вероятно — что правительство США сочло бы ценным держать это в секрете. Зная, какие машины скомпрометированы, оно могло бы контролировать поток информации — и дезинформации — китайскому правительству.
Таким образом, в принципе, вполне возможно, что все произошло так, как утверждает Bloomberg, и что Apple и Amazon были проинструктированы правительством выпустить очевидные опровержения.
#3, #4 и #5: Три проблемы с теорией «Apple лжет»
Но есть три проблемы с теорией «не-опровержимого опровержения».
Во-первых, опровержение Apple, похоже, не использует тщательно подобранные формулировки. Оно не уклоняется от заявлений: оно принимает их напрямую.
По этому вопросу мы можем быть очень четкими: Apple никогда не находила вредоносных чипов, «аппаратных манипуляций» или уязвимостей, преднамеренно внедренных в какой-либо сервер. Apple никогда не контактировала с ФБР или каким-либо другим агентством по поводу такого инцидента. Нам неизвестно ни о каком расследовании ФБР, ни наши контакты в правоохранительных органах.
Apple не просто отрицает конкретное заявление, оно говорит, что ничего подобного никогда не происходило. Выделение здесь сделано мной:
Никто из Apple никогда не обращался в ФБР по поводу чего-то подобного, и мы никогда не слышали от ФБР о расследовании такого рода — тем более не пытались его ограничить.
Теперь можно заметить, что Apple по-прежнему конкретно упоминает «ФБР» в этой части заявления. Возможно, вместо этого оно обратилось в АНБ — используя контакты, которые у него были со времен проекта PRISM. Но это подводит нас ко второй проблеме.
Во-вторых, Apple конкретно заявила, что не находится под приказом о неразглашении.
Наконец, отвечая на вопросы, которые мы получили от других новостных организаций после того, как Businessweek опубликовала свою статью, мы не находимся под каким-либо приказом о неразглашении или другими конфиденциальными обязательствами.
Любая компания, которая подлежит приказу о неразглашении, находится под строгим запретом говорить об этом. Так что, если нет приказа о неразглашении, нам предлагают поверить, что Apple добровольно решила солгать о шпионском чипе, а теперь лжет о том, что солгала.
Если бы когда-либо произошло такое событие, как утверждает Bloomberg News, мы бы откровенно об этом сообщили.
Независимо от того, насколько вы циничны по отношению к крупным корпорациям, эта идея растягивает правдоподобие.
В-третьих, ценность молчания о любом китайском шпионском чипе полностью исчезла после того, как Bloomberg опубликовал свою статью. Если бы это было правдой, китайское правительство знало бы, что игра окончена, и не было бы никакой выгоды для Apple, Amazon или правительства США сохранять молчание. Apple могла бы просто опубликовать заявление, сказав что-то вроде: «Да, это произошло; мы это обнаружили; нас попросили держать это в секрете; мы приняли меры, чтобы гарантировать, что реальные данные клиентов не были утечками».
Итак, это пять причин, по которым я верю Apple. Это история «друг моего друга». Технические аргументы предполагают, что все произошло не так, как утверждает Bloomberg. Опровержение Apple кажется недвусмысленным. Компания исключила теорию о приказе о неразглашении. И если бы это было правдой, сейчас не было бы причин не раскрыть это.
Таково мое мнение — как насчет вашего? Пожалуйста, примите участие в нашем опросе, чтобы сообщить нам, кому вы верите, и поделитесь своими мыслями в комментариях.
Фото: Shutterstock
Посетите 9to5Mac на YouTube для получения дополнительных новостей об Apple: