Mohla by to být velká věc, i když se objevila už před třemi lety. Zpravodajská agentura Bloomberg před pár dny zveřejnila obsáhlý materiál, založený na vládních i korporátních zdrojích, který popisuje bezprecedentní hardwarový útok na Spojené státy. Čínští vyzvědači podle nich pronikli do řady amerických firem, včetně Amazonu a Apple. Mělo se jim to podařit díky zákeřnému vniknutí do řetězce dodavatelských společností, které vyrábějí technologie pro americké firmy.
K odhalení rozsáhlého hardwarového útoku mělo dojít v létě 2015. Tehdy si společnost Amazon prověřovala startup Elemental Technologies, protože měla zájem o jeho software pro kompresi obsáhlých videosekvencí a jejich formátování pro různá zařízení. Součástí prověrek se staly i servery, které pro Elemental Technologies postavila americká společnost Supermicro, specializovaná na motherboardy serverů.
Testeři náhodou zjistili, že motherboardy od Supermicro obsahují miniaturizované čipy, které jsou velké sotva jako zrnko rýže a zároveň nejsou v technické dokumentaci. Amazon to měl nahlásit americkým úřadům a od té doby prý běží přísně tajné vyšetřování. Postižené servery by mohly mít v Pentagonu, v řídících střediscích operací dronů CIA, v palubních sítích lodí U. S. Navy, a také v sítích stovek společností, které se mohou podílet na kriticky významných zakázkách pro ozbrojené složky.
Podle Bloomergu byly zmíněné miniaturní čipy namontovány v Číně, při výrobě komponent pro motherboardy společnosti Supermicro. Zřejmě je to součást ohromného čínského úsilí krást technologická tajemství, jak v USA, tak i jinde ve světě. Tyto čipy by měly představovat hardwarový hack, umělou slabinu systému, která vytváří tajná zadní vrátka do napadených počítačů. Podle odborníků jsou přitom hardwarové hacky mnohem zákeřnější a hůře odhalitelné, než je tomu v případě softwarových hacků. Z informací Bloomergu vyplývá, že se na této hackerské operaci měla podílet jednotka Čínské lidové armády.
Zpráva Bloomergu vyvolala velký rozruch. Společnosti Apple, Amazon a rovněž Supermicro odmítají jakékoliv povědomí o špionáži, natož vyšetřování. Jejich představitelé dokonce v tomto smyslu informovali americký Kongres. Oslovené zdroje z FBI tvrdí, že o ničem takovém nevědí. Odborníci v tomto případě váhají. Buď je investigace Bloombergu mimo, což je u renomované agentury zvláštní anebo společnosti i americké úřady vytrvale mlží, což je v podobných případech rovněž zvláštní. Čistě technicky by to bylo nejspíš proveditelné a Čína k tomu má prostředky i motivaci. Asi až čas ukáže, čeho jsme tu vlastně svědky.
Literatura
Bloomberg News 4. 10. 2018, TechXplore 4. 10. 2018.
Diskuze:
Zavádějící
Jan Turoň,2018-10-15 12:38:17
Nezdokumentovaných komponent na deskách je celá řada. Snad na každé, i na Arduinu. Dobře vybavená laboratoř pro reverzní inženýrství dokáže v poměrně krátké době zjistit účel mikročipu, přesto o tom v článku není ani zmínky, vše je však o špionáži. V podstatě jde o kombinaci argumentačních faulů.
Hlouposti
Jiří Kolumberský,2018-10-12 05:27:23
Skutečně vážně pochybuji o tom, že by byli tvůrci hardwarových spících špionů tak naivní a hloupí, že by je vytvářeli formou vizuálně fyzicky odlišitelných struktur, takové báchorky nesežere ani pěstitel brambor bez znalosti IT. Vidím to spíše na vnitřní "spící", na testovací programy inaktivní, struktury v obvodech na datové sběrnice připojených. Mohou to být jak procesory, paměti atd., tak zcela obyčejné periferie. Mimo aktivace specifickým kódem nebo detailním zkoumáním vnitřní fyzické struktury příslušného obvodu je nelze odhalit. Povídačky o "čipu menším, než zrnko rýže" jsou k smíchu.
velice silně o tom pochybuju
Pavel Brož,2018-10-10 20:45:31
Rozhodně nejsem žádný čínofil, jsem přesvědčen, že Čína stejně jako i dvě zbývající supervelmoci postrádá jakýchkoliv skrupulí v prosazování svých mocenských zájmů a je schopna se v tomto směru neštítit vůbec ničeho (opět, stejně jako i dvě zbývající supervelmoci).
Ovšem hackovací hardware by letoval na motherboardy jenom úplný debil. Tyto věci je mnohem snadnější udělat softwarově - v případě softwaru nikdy nejde definitivně prokázat, kdy, kde a kým tam byl příslušný malware nahrán. Dokonce i firmware lze mnohdy přehrát malwarovou verzí, opět bez "podpisu pachatele". Oproti tomu u cizího hardwarového čipu je to jako by se bankovní lupič při loupeži natočil na video i se všemi svými průkazy totožnosti plus ještě udal adresu, kde bude po loupeži trvale pobývat. Špiónský malware jde navíc po úspěšné akci bez problému smazat, takovýto pečlivý "úklid" je dobrým znakem těch nejprofesionálnějších softwarových špiónů. Co se sebou po akci udělá hardwarový čip to opravdu netuším, snad asi exploduje nebo se usmaží?
Navíc, i kdyby opravdu existoval špiónský čip výrobně letovaný na motherboardy amerických serverů, tak za tři roky by už byl dokonale prozkoumán, prostředky pro to má každá průměrná technologická společnost zabývající se produkcí hardwaru, nejen výrobci čipů. Za tři roky by nezůstal ani stín pochybností o účelu takového čipu.
Prostě je to pitomost na kvadrát. Souhlasím s názorem pana Nováka, že se zrovna hodí vytáhnout sporné věci jako munici v obchodní válce s Čínou. Hlavní prohřešek Číny byla podle všeho odfláklá dokumentace těch desek, nelze vyloučit, že třeba i záměrně, třeba chtěli vidět reakci. Ale že by tam letovali hardwarovou štěnici skutečně kradoucí data - to by snad museli být všichni ti Číňani po kompletní lobotomii, a tomu nevěřím.
Konektory
Mirek N,2018-10-10 09:57:11
Dnes jsem se dočetl na The Verge, že se mělo jednat o zařízení umístěné v konektorech síťových karet. Teoreticky je tam docela dost místa, ale na druhou stranu je pak využitelnost něčeho takového relativně hodně omezená.
Re: Konektory
Alexandr Kostka,2018-10-10 16:16:55
Místa ano, určitě by to mohlo přeposílat komunikaci dovnitř i ven někam jinam. Jenže:
A) vše co jde přes síťovku (u serveru, natož u počítačů, které údajně byly i na letadlových lodích a podobně) je šifrované a ani kompletní odposlech vám není k ničemu.
B) a co je možná ještě podstatnější je objem dat. Síťový provoz je monitorovaný. Už z hlediska toho, jestli vše funguje správně. Někde mezi serverem a "světem venku" a pak u každého sůležitějšího bodu kudy jdou data je krabička, která pravidelně ukazuje zprávy kolik dat teklo odkud kam. A následně to stejně tak pravidelně vyhodnocuje dost propracovaný software. "asi" by prošlo pár jednotlivých spojení, ale pokud by postižený server pravidelně posílla obrovská množství dat na zcela nesmyslnou adresu, bylo by to odhaleno patrně během měsíce. I v případě, že by to dělil mezi víc strojů, stále by šlo o mnohem víc dat, než má téct na počítače, které k těmto datům logicky nemají mít přístup.
Re: Re: Konektory
Milan Krnic,2018-10-10 19:40:22
A) Metody na zachytávání a analýzu síťového provozu jsou k dispozici již relativně dlouho - co je šifrované?
Např. jedna z metod: https://cs.wikipedia.org/wiki/Man_in_the_middle
B) Záleží, kam uživatel / služby do Internetu přistupují. Pokud by nepřistupovali nikam, nebo jen velice omezeně, pak ano, to je jednoduché pro monitoring. Jenže známe to, porno a online hraní, atp. jede. A objem nemusí být nikterak veliký, záleží na situaci (co budete sbírat), tady to za vás může vyhodnotit ovládaný HW, a vy dostanete jen to důležité.
Re: Re: Re: Konektory
Jiri Naxera,2018-10-11 08:17:21
MitM na TLS? Tak triviální to není, navíc to udělat tak abyste mohl zapnout a zapomenout je nesmysl. Musel byste mít v tom čipu kopii HSMka nějaké důvěryhodné CA, a stejně by se na to rychle přišlo.
ad B: řeč je o serveru, ne? Ale zase ani tam by to nemělo obvykle dlouhého trvání, servery bejvaj za nějakým firewallem, a i když se škodlivá komunikace omezí že si toho SIEM nevšimne, tak jaká je šance že tam někdo nezačne dávat nějakou aplikaci, ta nefunguje, a první co obvykle aplikáče napadne je že přiběhne na security a "hele neblokuješ mi tam něco?"
ad C: Ono síťovka na Intelu není jen síťovka, viz https://en.wikipedia.org/wiki/Intel_Management_Engine ale i tady viz poznámka pana Brože: Ono moc nedává smysl to strkat do (nového) hardwaru, zvlášť když už mraky HW se vyrábějí taky v Číně, a navíc všechno potřebné už je v procesoru přímo od výrobce, stačí to mírně přeprogramovat.
Re: Re: Re: Re: Konektory
Milan Krnic,2018-10-11 11:43:17
Byl to jen příklad.
B) Poměry nejsou všude stejné. Kdo ví, jak to měli tam.
Paranoja
Palo Fifunčík,2018-10-10 07:42:27
Ako prehlásil Woody Allen : To že máte paranoju , ešte neznamená že vás nesledujú ...
Re: ...
Karel Rabl,2018-10-10 00:52:57
A dnes už je nejen NSA tak daleko, že se počítač dokonce přihlásí na určité adresy, pomocí Hardwaru sám než nastartujete systém v biosu.Vadí mi to, ale smířil jsem se s tím, ovšem nejvíc mně štvou těžaři, kteří těchto oken využívají k těžbě kryptomněn a někdy nejde můj počítač ani přepnout na jinou stránku(z důvodu vytížení obou procesorů). Většinou se spojení(na jejich servery) provádí přes ovládání zvukových ovladačů (jednotlivé řádky programů). A abych udržel svůj "starý" počítač v jakž takž v provozu, musím provádět zásahy do softwaru, po každém startu.
Re: Re: ...
Karel Rabl,2018-10-10 11:30:58
Samozřejmě ve Woknech je "úprava softwaru při bootu" mnohem obtížnější proto je na internetu nepoužívám.
Re: Re: ...
Richard Pálkováč,2018-10-10 17:23:36
No neviem, ci by niekomu pomohlo pouzit Vas "stary" pocitac, aj keby mal siet takychto, lebo tazba kryptomeny predpoklada potvrdit nejaku transakciu, ktora v kryptomene prebehla a ten kto potvrdi prvy, nieco ziska teda vytazi. Takze sa vyrabaju na to specializovane stroje, jednoucelove pocitace, ktore su v tom velmi rychle a tieto sa spajaju do fariem a tie Vas (alebo toho kto by chcel Vas pocitac vyuzit) urcite predbehnu.
Re: Re: Re: ...
Karel Rabl,2018-10-10 22:56:26
Představte si "farmu" s miliónem sice pomalých( i telefony, notebooky) počítačů, kde rozdělíte úlohu(třeba pro těžbu kryptomněn, či umělé inteligence) pomocí "farmy"(třeba jednu kvůli výpadku na několik) výpočtu na menší celky o po provedení dílčích "výpočtů"(tam a zpět jdou pouze výsledky tak max 2kb/s ale spíše 500 bitů) tuto úlohu opět spojíte za pomocí "farmy", jednak ušetříte obrovské peníze za energii(ukradnete ji uživateli a v případě telefonu či notebooku i ničíte baterii kdy s počty nabíjecích a vybíjecích cyklů zkracujete životnost a můžete i zničit počítač či grafiku s odemčeným násobičem protože se vám zvýší nekontrolovaně výkon a chladič či li ion baterie(ta i vybuchne) to nemusí uchladit, zpomalování vašeho programu je ten nejmenší problém) a výpočet proběhne daleko rychleji než na samotné fyzické "farmě" třeba s tisíci počítači.
Nepsal bych o tom kdybych si to vše nezkusil na vlastní kůži, včetně omezeného ale částečně účinného boje proti tomuto nešvaru.
Re: Re: Re: Re: ...
Karel Rabl,2018-10-11 02:46:15
Ještě jsem zapomněl dodat že ty 2kb/s spíše 500b/s jdou do případného serveru útočníka maximálně jednou za minutu či 5 minut, podle toho jak probíhá "výpočet" dané úlohy čili téměř nezjistitelné v okolním "šumu" Vašich stahovaných či vysílaných dat, kam se schovávají a nepomůže v některých případech ani vypnout Jawaskript na Vašem zařízení či různé antivirové programy.
Re: Re: ...
Milan Krnic,2018-10-10 19:49:43
Tak třeba těžící scripty na webu lze v prohlížeči blokovat, a s počítačem jde vůbec dělat věcí, jen tomu musí člověk rozumět, nebo na toho někoho mít. Doba je zlá :)
Re: Re: ...
Jiri Naxera,2018-10-11 07:58:16
Jste si jistý?
- Před bootem počítač volá domů jen pokud jste opravdu v hledáčku vládní agentury s přístupem k velmi pokročilému malwaru (to asi nebudete). Dokonce i když máte aktivovaný CompuTrace (buď vlastními silami, nebo tím že máte kradenej notebook), tak ten začne komunikovat až z windows sám, ono to není až tak triviální nepozorovaně komunikovat když nevíte kam to je píchnuté (dhcp) a případně kdo poslouchá.
Ověření je snadné - starej bridge (ne switch, nesmí to mít CAM tabulku) a tcpdump.
- Těžaři nevyužívají žádných oken, ale prostého javascriptu který běží v browseru. Stačí nelézt na podezřelé weby a když už, tak používat rozumné pluginy (uBlock origin, AdBlock s malware listem, pro pokročilejší NoScript apod.)
- Jednotlivé řádky programů a zvukové ovladače - pardon, to vůbec nedává smysl. Když už se malwaru podařilo infikovat počítač tak, že buď využívá existující zvukovkovej ovladač (nějaká DLL injection?), nebo si to hodí do servisu vlastní co se za ovladač jen vydává (jen názvem), je nejlepší komplet reinstalace. Pro uživatele určitě, pro odborníka pokud Vás nechce pumpnout o tři stovky na hodinu za "pustím tam tohle, když to nepomůže tak se mu v tom budu babrat dva dny, taxametr běží", tak stejně je nejrychlejší postup antivir, když neprojde, záloha dat, reinstall, antivir (z čistého kompu) na data, vrátit data.
- Jestli musíte provádět zásahy při každém startu, tak to radši všechno smažte, reinstalujte systém, udělejte si standardní účet bez admin práv a příště až se dostanete do podobné situace, stačí smazat profil bez reinstalace. Samozřejmě klasika jako neinstalovat soft z neověřených zdrojů apod.
Čína
Josef Šoltes,2018-10-09 19:43:34
Otázkou je, jestli to vážně byla Čína, kdo provedl ten hardwarový hack, nebo někdo jiný.
apple
S W,2018-10-09 19:11:55
Někdy rok a půl zpět se už tohle řešilo na jisté neveřejné konferenci jako hotová věc. Nebyl sice úplně vysvětlen způzob útoku (zda šlo i o modifikovaný hardware, nebo jen infikovaný firmware počítače / management čipu), ale zazněla informace, že Apple kvůli tomu dal SuperMicro ban na jakákoli výběrka pro serverový hardware. Netušil jsem, že se to vytáhne na veřejnost až teď, každopádně řekl bych, že na tom něco pravdy bude. Ostatní výrobci hardware kvůli podobným hrozbám na nátlak velkých odběratelů začali v posledních generacích serverů implementovat podstatně paranoidnější vnitřní ověřování všech komponent (+ kontrola podpisů hardware včetně disků).
Re: apple
Jan Novák9,2018-10-09 19:44:30
Tenkrát byla jiná situace, yes man Obama porušil všechny zákony aby mohl poslat letadlo hotových bankovek Iránu na financování terorismu v celém světě a všechny tajné služby vesele surfovaly na domácím mailovém serveru Hillary a četly si přísně tajné zprávy.
Dnes se to hodí při obchodní válce s Čínou.
Diskuze je otevřená pouze 7dní od zvěřejnění příspěvku nebo na povolení redakce