超微:獨(dú)立調(diào)查未發(fā)現(xiàn)主板存在惡意硬件
責(zé)編:gltian |2018-12-17 11:11:20服務(wù)器制造商超微公司(Supermicro)敬告客戶,駁斥彭博社供應(yīng)鏈攻擊指控,稱其針對(duì)主板供應(yīng)鏈攻擊的調(diào)查并未發(fā)現(xiàn)任何攻擊證據(jù)。
12月11日,超微公司發(fā)布公開(kāi)信,宣稱針對(duì)10月彭博社轟動(dòng)性文章中指出的供應(yīng)鏈攻擊指控,其引入第三方調(diào)查,卻未發(fā)現(xiàn)任何攻擊指征,無(wú)論是彭博社文章中提到的主板,還是最近產(chǎn)生的主板上均未發(fā)現(xiàn)被入侵的證據(jù)。
在致客戶的公開(kāi)信中,超微斷言:
正如我們自該指控發(fā)布后反復(fù)聲明的一樣,沒(méi)有任何政府機(jī)構(gòu)曾通告我們稱在我們的產(chǎn)品中發(fā)現(xiàn)了惡意硬件;沒(méi)有任何客戶告訴我們說(shuō)在我們的產(chǎn)品中發(fā)現(xiàn)了惡意硬件;我們自己也從未在產(chǎn)品中發(fā)現(xiàn)過(guò)惡意硬件存在的任何證據(jù)。
公開(kāi)信中還稱:今天的聲明應(yīng)能消除對(duì)超微主板的不實(shí)指控。彭博社至今堅(jiān)稱自己的文章沒(méi)錯(cuò),超微是否計(jì)劃對(duì)彭博社采取法律行動(dòng)尚未可知。
彭博社10月初的文章宣稱超微公司在中國(guó)的制造工廠淪為了復(fù)雜供應(yīng)鏈攻擊的受害者,其銷往蘋(píng)果和亞馬遜之類客戶的高端服務(wù)器均被植入惡意芯片。
該報(bào)道稱,超微的硬件被滲透,其服務(wù)器主板上被安裝了可以滲漏數(shù)據(jù)的微小芯片。該報(bào)道還引用了與政府官員和其他消息來(lái)源的訪談以支持該攻擊是中國(guó)情報(bào)機(jī)構(gòu)所為的論調(diào)。
然而,報(bào)道一出,就有很多有識(shí)之士對(duì)其提出了質(zhì)疑。11月,谷歌著名漏洞研究員塔維斯·奧迪曼就直指彭博社,令其要么拿出證據(jù)支持自己的論點(diǎn),要么撤回那篇文章。
距離彭博社關(guān)于超微芯片的文章發(fā)布,已經(jīng)過(guò)去了1個(gè)月,卻依然沒(méi)有任何解釋或撤回。我猜我們是看不到他們做出正確的動(dòng)作了,此后我們大概都得忍受那些無(wú)稽之談被無(wú)數(shù)次引用了吧。真是有趣。
——谷歌安全研究員 塔維斯·奧曼迪 (@taviso) 2018年11月6日
彭博社指稱超微服務(wù)器上裝了中國(guó)間諜芯片的事已經(jīng)過(guò)去兩周了。但根本沒(méi)有任何證據(jù)證明此事為真。所有公司都很憤怒地向國(guó)會(huì)否認(rèn)了此事。包括特朗普政府網(wǎng)絡(luò)安全協(xié)調(diào)員羅布·喬伊斯在內(nèi)的美國(guó)高級(jí)情報(bào)官員也駁斥了彭博社的報(bào)道。
——SwiftOnSecurity (@SwiftOnSecurity)2018年10月19日
同時(shí),獨(dú)立安全記者布萊恩·克雷布斯表示,他在彭博社的報(bào)道刊出幾個(gè)月前就得知了所謂主板被篡改一事,但他缺乏足以支撐該指控的證據(jù)。
我?guī)讉€(gè)月前就聽(tīng)說(shuō)了此事,但并沒(méi)有足夠的消息來(lái)源加以證實(shí)。二手報(bào)道中最難的就是證實(shí)了。
——安全博主 布萊恩·克雷布斯(@briankrebs) 2018年10月5日
在公開(kāi)信中,超微公司重申了其保護(hù)產(chǎn)品完整性與可靠性的制造過(guò)程:
- 制造過(guò)程中每一步都進(jìn)行了測(cè)試。整個(gè)過(guò)程中每塊主板的每一層都經(jīng)受了測(cè)試。
- 超微員工必須在組裝現(xiàn)場(chǎng),執(zhí)行多項(xiàng)檢查,包括自動(dòng)化光學(xué)、視覺(jué)、電氣和功能測(cè)試。
- 超微主板設(shè)計(jì)的復(fù)雜性也提供了額外的安全保障。整個(gè)供應(yīng)鏈中,每塊主板都要對(duì)照設(shè)計(jì)進(jìn)行反復(fù)測(cè)試,檢查是否偏離原始設(shè)計(jì),任何不匹配設(shè)計(jì)的主板都不會(huì)被接受。
- 為防篡改,任何員工、團(tuán)隊(duì)或承包商都接觸不到完整的主板設(shè)計(jì)。
- 定期對(duì)承包商的過(guò)程、品質(zhì)和控制進(jìn)行審計(jì)。
超微高管的公開(kāi)信:
https://www.supermicro.com/en/news/CEO-3rdPartySecurity-Update
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!