Seguridad

Supermicro: Nuestras tablas están limpias

supermicro El CEO Charles Liang informó a los clientes el martes que una importante firma de investigación de terceros no encontró «absolutamente ninguna evidencia de hardware malicioso» en su placa base.

La investigación surge en respuesta a la reciente afirmación de Bloomberg de que los delincuentes insertaron chips espía en las placas base de la empresa en nombre del Ejército Popular de Liberación.

Los investigadores probaron una muestra representativa de placas base Supermicro, incluidos tipos específicos de placas base mencionados en el artículo de Bloomberg, así como «placas compradas por empresas mencionadas en el artículo, así como placas base fabricadas más recientemente», escribió Liang.

Apple y Amazon son las empresas de referencia.

Liang señaló que los hallazgos «no nos sorprendieron» porque «nuestros procesos están diseñados para proteger la integridad y confiabilidad de nuestros productos».

El proceso de Supermicro estableció los siguientes requisitos:

  • Los empleados deben estar presentes en el sitio con el contratista de montaje;
  • Los productos se someten a una serie de pruebas, incluidas pruebas ópticas, visuales, eléctricas y funcionales automatizadas;
  • Cada tablero se prueba repetidamente contra su diseño a lo largo de su cadena de suministro para detectar cualquier desviación;
  • Cada capa de cada tablero se prueba;
  • Ningún empleado, equipo o contratista individual tiene acceso sin restricciones al diseño completo de la placa; y
  • Supermicro audita periódicamente los procesos, la calidad y los controles de los contratistas.

La representante de la compañía, Sofia Mata-Leclerc, le dijo a TechNewsWorld que la compañía no tenía comentarios más allá de la carta y el video.

la trama se complica

Amazon descubrió la placa base contaminada en 2015, informó Bloomberg a principios de este mes, cuando contrató a un tercero para revisar la seguridad de Elemental Technologies, un software que comprime y formatea archivos de video para diferentes dispositivos del fabricante antes de adquirir la empresa.

Surgieron algunos problemas preocupantes, lo que llevó a Amazon a inspeccionar algunos de los servidores de compresión de video de Elemental. Los evaluadores encontraron que una placa de servidor fabricada por Supermicro contenía un microchip que no formaba parte del diseño original, informó Bloomberg. El chip, diseñado por el ejército chino, básicamente proporciona una puerta trasera que permite el acceso a la red.

Los servidores de Elemental están desplegados en los centros de datos del Departamento de Defensa de EE. UU., las operaciones de drones de la CIA y las redes a bordo de los buques de guerra de la Marina de EE. UU., dijo Bloomberg, y señaló que Amazon informó sus hallazgos a las autoridades de EE. UU.

Casi 30 empresas, incluido un banco importante, contratistas del gobierno y Apple, se vieron afectadas por las placas base contaminadas, informó Bloomberg, citando a funcionarios estadounidenses anónimos.


Apple descubrió chips maliciosos en las placas base de Supermicro en el verano de 2015, según Bloomberg, que citó a tres expertos anónimos de la empresa.

Según se informa, Apple planeó ordenar más de 30,000 servidores Supermicro para una nueva red global de centros de datos dentro de dos años, pero cortó los lazos con Supermicro en 2016 por razones no relacionadas.

Bloomberg afirma haber hablado con 17 fuentes no identificadas sobre la historia, que se ha desarrollado a lo largo de los años.

«La cantidad de testigos que prueban que esto es auténtico es impresionante, pero la autenticidad de los testigos no puede ser verificada por un tercero debido a la falta de nombres reales», comentó el analista principal Rob Enderle. Grupo Endler.

«Esto ahora parece una especie de ataque orquestado contra China y AMD, lo que demuestra que Bloomberg fue engañado», dijo a TechNewsWorld. «No es algo bueno para su reputación».

informes contradictorios

Apple, Amazon y Super Micro cuestionaron de inmediato el informe de Bloomberg, mientras que el gobierno chino dijo que la seguridad de la cadena de suministro en el ciberespacio era una preocupación compartida y que China también era una víctima.

Apple y Amazon dijeron que sus investigaciones internas no encontraron evidencia de chips espía.

«Como hemos compartido con Bloomberg Businessweek varias veces en los últimos meses, esto no es cierto», insistió el director de seguridad de la información de AWS, Steve Schmidt, en una publicación en línea. «No hemos encontrado ningún problema relacionado con hardware modificado o chips maliciosos en ninguna de las placas base Supermicro de los sistemas Elemental o Amazon, pasadas o presentes. Tampoco hemos investigado con el gobierno».

Schmidt señaló que una investigación encargada antes de la compra de Elemental «no encontró ningún problema con los chips o el hardware modificados», y agregó: «Es cierto que Bloomberg nunca ha visto el informe de seguridad que encargamos, ni ningún otro informe (y se negó a compartir) . cualquier detalle de cualquier otro presunto informe y nosotros).»

«Apple nunca identificó chips maliciosos, ‘manipulación de hardware’ o vulnerabilidades implantadas intencionalmente en ninguno de sus servidores», dijo Apple en un comunicado proporcionado a Bloomberg antes de la publicación del informe. «Apple nunca ha tenido ningún contacto con el FBI ni con ninguna otra agencia con respecto a este tipo de incidente. No tenemos conocimiento de ninguna investigación del FBI ni de nuestros contactos en las fuerzas del orden».


La declaración señaló que durante el año pasado, Bloomberg «se comunicó con Apple varias veces, a veces vagamente y otras veces en detalle, sobre un supuesto incidente de seguridad en Apple». Cada vez, Apple «realizó rigurosas investigaciones internas basadas en estas investigaciones, y cada vez no encontramos absolutamente ninguna evidencia para respaldar ninguna de ellas».

Sin embargo, seis altos funcionarios de seguridad nacional actuales y anteriores anónimos rechazaron las negativas de las empresas, informó Bloomberg. Uno de los funcionarios y dos fuentes anónimas de Amazon brindaron amplia información sobre cómo se desarrolló el ataque en Amazon y Elemental.

Además, el funcionario y un miembro de Amazon describieron la cooperación de Amazon con la investigación del gobierno, dijo Bloomberg. Cuatro de los seis funcionarios estadounidenses también confirmaron que Apple fue una víctima.

Por otro lado, tanto el Departamento de Seguridad Nacional de EE. UU. como el Centro Nacional de Seguridad Cibernética del Reino Unido dijeron que no tenían motivos para dudar de la veracidad de las afirmaciones de Apple y Amazon.

«Los llamados ataques basados ​​en hardware no parecen ser prudentes, ya que los servidores se mantienen en espera hasta 10 años y el software de seguridad cambia constantemente, es casi seguro [chip]y si existe, eventualmente se encontrará», señaló Enderle.

CEO de Apple, Tim Cook Pídele a Bloomberg que se retracte de su informecalificando de falsas sus afirmaciones sobre Apple.

Amazon más tarde se unió a las filas de Apple, pero Bloomberg mantuvo sus afirmaciones.

Si alguna parte del informe resulta ser cierta, las consecuencias podrían ser graves.

La reacción de enojo de Supermicro, Apple y Amazon es comprensible, ya que la historia «crea el espectro de una violación grave no denunciada que podría generar una presencia significativa de clientes y multas gubernamentales, especialmente en el caso de Amazon», observa Enderle.

Además, dado el dominio de Supermicro en el mercado de placas base para servidores, esta historia, si es cierta, «debería poner en alerta a todos los clientes que necesitan auditar sus servidores o que son negligentes, y deben tener todos los servidores comprometidos fuera de línea para evitar infracciones». dijo Enderle.

«Deberíamos haber visto una desaceleración masiva, un gran golpe financiero para Supermicro, que tendría que pagar para reemplazar las máquinas y sería imposible de controlar solo por la cantidad de personas conscientes del esfuerzo. Sin embargo, vimos zip. You’ Pensaría que tendríamos una empresa de seguridad o dos, o un cliente Supermicro diferente, gritando asesinato sangriento en este punto».

súper micro abajo 50% El día en que se publicó el informe de Bloomberg.

«Pondría la probabilidad de que se trate de un ataque bien orquestado contra Supermicro y/o Amazon y Apple», dijo Enderle, «más del 50 por ciento».

LEER  Alianza formada para tapar agujeros de seguridad en IoT

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba