當前位置:
首頁 > 科技 > 一顆微型晶元,就能入侵30多家美國公司?

一顆微型晶元,就能入侵30多家美國公司?

科技 10-09

編輯 | 小智整理

美國《彭博商業周刊》:中國用微型晶元入侵了包括蘋果、亞馬遜在內的 30 多家美國公司!

蘋果、亞馬遜:我沒有,別亂說!

美國國土安全部:沒理由懷疑蘋果、亞馬遜。

中國:喵喵喵?

北京時間 10 月 5 日,美國《彭博商業周刊》發布了一篇聳人聽聞的文章,題為:「中國用一個米粒大小的晶元,入侵了美國 30 多家公司」。

文章主要觀點

報道稱,亞馬遜在 2015 年準備收購視頻壓縮技術公司 Elemental Technologies,這家公司曾為 CIA 的無人機視頻傳輸提供了視頻壓縮技術,在評估階段亞馬遜僱傭了第三方公司檢查其安全,在發現了一些令人不安的安全問題之後,Elemental 將其處理視頻壓縮的伺服器打包送到第三方安全公司去詳細檢查。安全測試人員在主板上發現了原始設計所沒有的米粒大小的晶元。調查人員發現晶元是在中國子承包商組裝時植入進去的。

這些主板都屬於美國超微公司(Supermicro),超微是世界最大的伺服器主板供應商之一,該公司的客戶包括了銀行、美國政府承包商、亞馬遜蘋果等大型企業。蘋果在 2015 年原計劃為其數據中心從超微訂購超過 3 萬台伺服器,但在主板上發現惡意晶元之後蘋果與超微終止了合作。亞馬遜 AWS 此前在中國建立了數據中心,大量使用了超微的主板,在發現惡意晶元之後 AWS 安全團隊對中國數據中心的主板進行了檢查,發現了更多設計巧妙的惡意晶元,AWS 最終將整個中國數據中心都出售給了中國公司。

報道稱,這些晶元是中國軍方設計的,部分晶元的外形類似信號調節耦合器,集成了內存、網路功能和發動一次攻擊所需的足夠處理能力。當植入的晶元激活後,它會修改操作系統內核,使其能接受修改。晶元還會嘗試聯繫攻擊者控制的伺服器接收更多指令。

在報道了硬體供應鏈攻擊之後,《彭博商業周刊》又報道了軟體方面的供應鏈攻擊。

報道援引「知情人士」的消息稱,超微公司(Supermicro)提供關鍵固件更新的在線入口 2015 年被來自中國的攻擊者入侵,攻擊者修改了伺服器主板網卡的固件,允許其能悄悄控制伺服器的通信。有至少兩家客戶下載了修改過的固件,其中一家是 Facebook。Facebook 證實有此事,但表示它只購買了少量超微硬體用於實驗室的測試,沒有用於產品。蘋果否認它遭遇了伺服器惡意晶元攻擊,但承認遭遇過軟體供應鏈攻擊,事故發生在 2016 年,隻影響實驗室里的一台 Windows 伺服器。蘋果稱這是它與超微終止合作的原因,否認惡意晶元是它與超微切斷合作的原因。

受報道影響,美股相關個股大幅下跌,不僅是蘋果、亞馬遜,聯想開盤不到 1 小時,跌幅就超過了 21%。最慘的是旋渦中心的矽谷伺服器研發公司 Supermicro Computer,其股價一度下跌 58.43%,最終收盤跌 41.12%。

蘋果、亞馬遜等公司斥責不實報道

蘋果公司聲明

10 月 4 日,蘋果公司在其官網發布聲明,幾乎對該報道的每個方面都予以駁斥:「公司從未在任何伺服器中發現蓄意植入的惡意晶元、『硬體操縱』或漏洞。」

本篇聲明對《彭博商業周刊》文章的多處細節予以駁斥,比如報道稱蘋果向 FBI 報告了這一發現,但蘋果方面回應從未與 FBI 或其他機構對此類事件進行過接觸。此外,回應細節還包括:Siri 和 Topsy 從未共享伺服器;Siri 也並沒有被部署在 Supermicro 銷售給我們的伺服器上;Topsy 記錄的數據僅限於 2000 台 Supermicro 伺服器,而不是 7000 台,並且這些伺服器均沒有被發現裝有惡意晶元。

亞馬遜公司聲明

亞馬遜公司也表示:

「在任何時候,過去或現在,我們都沒有在任何 Elemental 或亞馬遜系統的 Supermicro 主板中發現與修改的硬體或惡意晶元有關的任何問題。我們也沒有與政府進行調查。」

美超微聲明

事件旋渦中心的 SuperMicro 則對其報道作出了嚴厲駁斥,否認其出售給客戶的伺服器在主板上包含惡意晶元。

SuperMicro 表示,該公司對所有的安全指控都非常重視,而且仍在繼續通過投資來提升安全能力。在中國生產的主板並不特殊,都會遵循標準的行業規範。幾乎所有系統提供商都使用相同的代工廠商。SuperMicro 會對所有外包企業嚴格認證,而且定期對生產設施和流程展開嚴格審查。

美官方聲明

上周六,美國國土安全部表示,目前沒有理由對上述公司的聲明持否定態度。該機構在一份聲明中說:「國土安全部已經意識到媒體關於技術供應鏈遭到黑客入侵的報道。像我們在英國的合作夥伴一樣,此時此刻,我們國家網路安全中心沒有理由懷疑報道中所提及公司所發表的聲明。」

中國網友:喵喵喵?

事件發展至此,中國網友們的反應可謂精彩紛呈。

A:咱們現在這麼牛逼了?

B:我們要是有這種技術了,還用得著偷美帝的?

C:文章核心觀點就是把「組裝」步驟給別的國家就容易產生安全隱患,實際還是貿易戰思維唄。

智慧、機靈的 InfoQer,你們怎麼看?

參考線索

https://www.solidot.org/story?sid=58128

https://www.solidot.org/story?sid=58129

https://tech.sina.com.cn/it/2018-10-06/doc-ifxeuwws1411644.shtml

今日薦文


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 InfoQ 的精彩文章:

Serverless如何高可用?這不是問題
特斯拉、軟體與顛覆,下一家震驚世界的科技公司會是誰?

TAG:InfoQ |