《彭博社》記者現學現賣出大糗?資安人員稱「駭客晶片」實為訊號耦合器 無運算能力

評論
評論

本篇來自合作媒體 雷鋒網 ,作者任然,INSIDE 經授權轉載。

彭博社的一篇報導在科技圈引起了軒然大波,包括蘋果、亞馬遜在內的多家科技巨頭,都被中國晶片植入後門了!

彭博社在其文章中聲稱,中國軍方設計了一顆比米粒還小的微型晶片,並暗中植入到由硬體供應商超微生產的主機板上充當「任何網路的隱形門」,為連接的電腦系統提供「長期隱形訪問」。

據報導,有近 30 家公司受到違規行為的影響,但文章中只詳細提到亞馬遜和蘋果,兩家公司隨後都發表聲明強硬的否認,蘋果將這份報告描述為誤導。

安全研究員 Joe Fitzpatrick 是彭博商業周刊這一爆炸消息的來源之一,然而他卻在本週的一個 podcast 中表示說,他在讀了這篇文章後感到很不安,原因是文章中的說法與他之前與記者 Jordan Robertson 分享的硬體植入理論幾乎完全一致。

在去年 DEF CON 駭客大會上發表關於硬體植入的演講之前,Fitzpatrick 與 Robertson 進行了首次交談,Fitzpatrick 詳細介紹了硬體植入的工作原理,還特別提到了他在 2016 年 Black Hat 大會上展示的概念驗證設備。

當被問及彭博社的文章究竟有什麼奇怪之處時,Fitzpatrick 稱「彭博社對之前談話中所提到的問題進行了完整無遺的求證」,並表示這很奇怪。此外 Fitzpatrick 評價稱彭博社這篇文章實際上沒有意義,因為有更容易、更具成本效益的方法來實現對目標電腦網路的後門訪問。

根據彭博社的說法,駭客晶片被整合到另一種看起來像是訊號調節耦合器不顯眼的元件中。Robertson 稱「很多消息來源」均證實了此消息。Fitzpatrick 對此並不相信,並在一封電子郵件中指出,雖然大多數 BMC(基板管理控制器)的固件透過遠端修改,都可以像運行軟體一樣輕鬆地完成所謂的後門攻擊,不過缺乏經驗的人常常會把快閃記憶體和微控制器等硬體誤判為是硬體植入。

Robertson 無法提供相關晶片的照片證據,並聲稱向他描述的消息來源應當受到保護。然而據 Fitzpatrick 所言,Robertson 曾在 9 月份向他諮詢什麼是「訊號放大器或耦合器」,而他給 Robertson 回覆了一個由 Mouser Electronics 公司銷售的非常小的訊號耦合器圖片。

Fitzpatrick 表示:「事實證明,彭博社文章中所用的『駭客晶片』圖片就是這個信號耦合器圖片」。並且他認為,類似這樣的晶片並無運算能力,對於實現所描述的攻擊來說是不可能的,同時這種信號耦合器也不是服務器主板的標準配置,如果莫名其妙的多出這樣一顆晶片,反倒會引起猜疑。

今天早晨,曾從事安全產業的「西雅圖雷尼爾」也發文表示彭博社的指控實在是漏洞百出:

晶片不是外星產物,晶片是邏輯,是電路。是電路就需要供電,就需要走線,你不改原理圖,不改 PCB 版圖,如何安裝一個額外的晶片?要知道主板級別的電路板上,最簡單的都是 4 層,6 層。服務器的有 8 層,10 層。走一根電源線,要知道動多少線路麼?這跟用口香糖粘一個竊聽器完全是兩碼事。

不要說多加一個晶片,哪怕是多加了一個電容,回來審板的人肯定會發現。根本到不了 PVT 就露餡了。

蘋果資安全副總裁 George Stathakopoulos 在 10 月 7 日給參議院和眾議院商業委員會的一封信中寫道,沒有發現任何證據表明目前使用的硬體受到了干擾,也沒有發現有可能引發這些指控的無關事件。他們有專用的安全工具不斷掃描出站流量,並沒有發現任何異常洩露。

Fitzpatrick 稱,雖然不知道彭博社所謂的其他 17 個消息來源具體說了什麼,文章中的描述從專業知識層面來看也並非完全錯誤,但卻以雜亂無章的形式混淆視聽,是十分可疑的。

儘管如此,彭博社記者仍然堅稱「六名現任和前任國家安全高層官員」反駁了這些公司的否認,他們詳細講述了這些晶片的發現和政府的調查過程,這些事件始於奧巴馬時期,並在特朗普時期繼續進行。

對於這場晶片風波,川普政府並未急於表態,但據了解,美國長期以來一直存在一項非官方的技術部件和供應商清單,如果代表美國政府採購產品或服務,是絕對禁止選擇這些部件和供應商的,那些被發現在供應鏈上耍花招的人和公司會永遠列在這個黑名單上。

我們很少聽說有人故意破壞供應鏈安全的新聞,是因為一旦這些事情被發現,軍方就會很快將其歸類。美國國會就供應鏈安全問題曾多次舉行聽證會,美國政府也曾多次採取措施,限制中國公司與美國的交易。

依筆者個人來看,此次彭博社爆出這條新聞玄妙之處在於將文章中被點名的中國、美國、蘋果、亞馬遜四方擠到了進退兩難的位置上。無論是否澄清、哪家澄清,都無法消除的疑惑,澄清的口徑不一也會讓人產生進一步的聯想,而如果四家異口同聲的出面澄清,那就更是「有隱情」的質疑,總之就是完美利用了大眾看熱鬧的心態。

在經過數日後,英國政府通訊總部發表聲明稱「現階段沒有任何理由懷疑亞馬遜和蘋果的澄清聲明」,美國國土安全部昨天也在回應中認同這一立場。

雖然這仍不能排除會有陰謀論者認為二者為了國家安全而歪曲事實,但相信會有越來越多的明眼人看清其中的道理。如果彭博社是對的,蘋果、亞馬遜以及美國政府的澄清將瞬間化為烏有;既然他們聲稱沒有證據表明受到了攻擊,證明他們確實仔細地調查了這件事,而押上自己聲譽的撒謊是相當愚蠢的。

延伸閱讀:

歡迎加入「Inside」Line 官方帳號,關注最新創業、科技、網路、工作訊息

好友人數

 

相關文章

評論