Noch keiner diesen wirklich brisante News gelesen: :eek:

Bericht: Winzige Chips spionierten in Cloud-Servern von Apple und Amazon (https://www.heise.de/security/meldung/Bericht-Winzige-Chips-spionierten-in-Cloud-Servern-von-Apple-und-Amazon-4181461.html)

Das heißt ganz klar: Hochtechnologie raus aus China, USA und Europa müssen unbedingt wieder solche Technik in Eigenregie fertigen, da der chinesischen Regierung nicht zu trauen ist. Aus meiner Sicht hat hier China eine Grenze überschritten, die nicht zu entschuldigen oder zu rechtfertigen ist. Wer sagt denn, daß vielleicht normalen MBs und Hardware davon auch nicht betroffen sind?

consumer-motherboards sind fast(?) alle aus taiwan die auf china nicht besonders gut zu sprechen sind. aber ja, das ist durchaus ein kritisches thema. betrifft aber nicht nur china, dem ganzen zeug aus den USA (z.B. der IME) kannst du genau so wenig trauen. dass intel für die NSA extra einen schalter eingebaut hat mit dem sie die IME für den eigengebrauch komplett deaktivieren können sagt ja schon alles.

James Bond Technik oder was. Könnte man das nicht auch ohne winzigen Chip einbauen. Glaub da ist nicht viel dran.

Man müßte nur rausfinden welche PC Technik die Geheimdienste selber verwenden und diese dann für Normalbürger anbieten. Ich gehe davon aus dass des dann mit die sichersten Technologien wären dies gibt.

Und Amerika spioniert China aus, dann ist der Kreislauf doch geschlossen.

Der Titel suggeriert das Heise.de es aufgedeckt hat, kann das mal einer ändert.



https://assets.bwbx.io/images/users/iqjWHBFdfxIU/iuMb2IgDb_zs/v0/-999x-999.gif
https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies?srnd=businessweek-v2

Dementi seitens Apple & Amazon:
https://www.apple.com/newsroom/2018/10/what-businessweek-got-wrong-about-apple/
https://aws.amazon.com/de/blogs/security/setting-the-record-straight-on-bloomberg-businessweeks-erroneous-article/

As we shared with Bloomberg BusinessWeek multiple times over the last couple months, this is untrue. At no time, past or present, have we ever found any issues relating to modified hardware or malicious chips in SuperMicro motherboards in any Elemental or Amazon systems. Nor have we engaged in an investigation with the government.

So ein Chip muss ja mit dem Mainboard und mit der Außenwelt sprechen. In der Größe sicherlich noch, aber dafür müssen das Layout und die Software doch auch angepasst werden!?

Dementi seitens Apple & Amazon:
https://www.apple.com/newsroom/2018/10/what-businessweek-got-wrong-about-apple/
https://aws.amazon.com/de/blogs/security/setting-the-record-straight-on-bloomberg-businessweeks-erroneous-article/
Weder Apple noch Amazon sind mit dem Bericht glücklich.
http://appleinsider.com/articles/18/10/04/apple-denies-claims-china-attacked-icloud-server-supply-chain-to-spy-on-us

Noch keiner diesen wirklich brisante News gelesen: :eek:

Bericht: Winzige Chips spionierten in Cloud-Servern von Apple und Amazon (https://www.heise.de/security/meldung/Bericht-Winzige-Chips-spionierten-in-Cloud-Servern-von-Apple-und-Amazon-4181461.html)

Das heißt ganz klar: Hochtechnologie raus aus China, USA und Europa müssen unbedingt wieder solche Technik in Eigenregie fertigen, da der chinesischen Regierung nicht zu trauen ist. Aus meiner Sicht hat hier China eine Grenze überschritten, die nicht zu entschuldigen oder zu rechtfertigen ist. Wer sagt denn, daß vielleicht normalen MBs und Hardware davon auch nicht betroffen sind?

Und raus aus den USA. Wie war das nochmal als die NSA die Cisco Router verwanzt hat?

So ein Chip muss ja mit dem Mainboard und mit der Außenwelt sprechen. In der Größe sicherlich noch, aber dafür müssen das Layout und die Software doch auch angepasst werden!?

Wie Modchips bei den Konsolen, klinkst du "einfach" in die eigentliche Signalübertragung auf dem Mainboard deinen Kram über so einen Chip mit ein. Und/Oder du modifizierst die Firmware beim Ladevorgang und lässt die dann tun was du willst.

Letztendlich erlaubt das EFI eine beliebige Modifikation und Erweiterung und ist selbst schon voll damit. Weiterhin hat das EFI bereits Vollzugriff auf das gesamte System. Im Grunde alles weniger schwierig als es an sich klingt.

Ob die Geschichte nun stimmt oder nicht sei mal dahin gestellt. Möglich ist es allemal. Hat die NSA zu Hauf gemacht bei Personen die sie überwachen wollten. Bestellst einen Router, NSA fängt das auf dem Postweg ab, baut einen Chip mit rein und schickt es zu dir.

Hat die NSA zu Hauf gemacht bei Personen die sie überwachen wollten. Bestellst einen Router, NSA fängt das auf dem Postweg ab, baut einen Chip mit rein und schickt es zu dir.

Japp.
Die dadurch erhaltenen Beweise allerdings nutzten nichts.
Durchsuchungsbefehle waren schwer durchzusetzen.
Folge > FISA-Gericht - ohne die dortige Transparenz konnten die Richter die Durchsuchungen abnicken. Die Behörde bewacht sich quasi selbst und hebelt sogleich die Verfassung aus.

Wenn die dich haben wollen, hilft dir nichts mehr, die haben den FISA-Persilschein.

Mittlerweile allerdings, reicht ein "tipp" an die Polizei die dann gegen die Person erste Untersuchungen starten, wofür kein abnicken des Richters nötig ist. Man legt Anhaltspunkte und fertig.


Bis ein von Geheimdiensten gegründeter Think Tank (Damals zu Roswell gegründet und 1988 unter neuem Namen (CSP)); die gute alte "Conspiracy Theory" ins Leben ruften, die damalige Journalisten, die darüber berichteten respektive investigativ tätig waren (90er bis 2000) diskreditieren und Mundtot machen sollte. (Viele davon "geselbstmordet")
Das lief dann bis ca 2010 weiter und 2014 weiß ja jeder, was dann ans Licht kam.
Kalter Kaffee eigentlich. Das war damals alles noch heißer shit - Heute "Conspiracy Theory" morgen die Chinesen oder der Russe.

Ob es die Chinesen waren?
Nope. Gründe für Sanktionen und davon ablenken das man es selbst ist. Der Rattenschwanz, würde man den Roten Faden folgen ist immens, da kann man ruhig mal den Chinesen die Schuld geben ;D
Die USA bäumen sich nun noch ein letztes mal auf, da wird noch einiges kommen, wird aber zugrunde gehen wie die Geschichte es lehrt.

Hochtechnologie raus aus China, USA und Europa müssen unbedingt wieder solche Technik in Eigenregie fertigen

Bist in der ersten Reihe Sanktionen gegen China zuzustimmen - Mission erfüllt. Ein Feind wurde gefunden! Und morgen ein Präventivschlag gell =)


http://ais.badische-zeitung.de/piece/08/33/c6/10/137610768-h-720.jpg

Wie Modchips bei den Konsolen, klinkst du "einfach" in die eigentliche Signalübertragung auf dem Mainboard deinen Kram über so einen Chip mit ein. Und/Oder du modifizierst die Firmware beim Ladevorgang und lässt die dann tun was du willst.

Letztendlich erlaubt das EFI eine beliebige Modifikation und Erweiterung und ist selbst schon voll damit. Weiterhin hat das EFI bereits Vollzugriff auf das gesamte System. Im Grunde alles weniger schwierig als es an sich klingt.

Ob die Geschichte nun stimmt oder nicht sei mal dahin gestellt. Möglich ist es allemal. Hat die NSA zu Hauf gemacht bei Personen die sie überwachen wollten. Bestellst einen Router, NSA fängt das auf dem Postweg ab, baut einen Chip mit rein und schickt es zu dir.


na, so plump wie mit nem zusatzchip war das nicht und da wird es schon aufwendiger.
du kannst ja nicht einfach einen chip hinbauen wo sich alle fragen was der macht. Der chip soll ja winzig gewesen sein und da ist es auch so eine sache mit den signalleitungen. je kleiner, desto weniger funktionen und speicher.

Echt schade, dass es darüber keine informationen gibt.


Persönlich wundert mich das vorgehen. Ich hätte eher den software weg erwartet. Abfang der ware beim zoll...

Dementi seitens Apple & Amazon:
https://www.apple.com/newsroom/2018/10/what-businessweek-got-wrong-about-apple/
https://aws.amazon.com/de/blogs/security/setting-the-record-straight-on-bloomberg-businessweeks-erroneous-article/


klar dementis, sonst haben die nen riesen shitstorm an der backe... das geht da um min. 1.5 milliarden potenzieller opfer :eek:

Bist in der ersten Reihe Sanktionen gegen China zuzustimmen - Mission erfüllt. Ein Feind wurde gefunden! Und morgen ein Präventivschlag gell =)


ich bin auch eher dafür, das sicherheitskritische dinge wieder in eigenen ländern produziert werden, heisst alles was für behörden ist, muss im inland produziert werden, ohne russische oder asiatische technologie. haben hier genug standorte für chipfertigung(grad so banale chips wie für router zb.)

wobei, die industrie ist ja wie eine heuschrecke... in den kommenden 10 jahren wirds eh zu teuer in china, dann gehen sie alle woanders hin... schätze ma indien oder oakistan wo dann was hochgezogen wird.... um dann weiter richtung afrika zu gehen und danach wieder im inland zu landen, weils dort dank massenarbeitslosigkeit auf einmal billiger ist personal zu bekommen als jetzt noch in china. :freak:

https://www.heise.de/security/meldung/Winzige-Spionage-Chips-aus-China-Was-dafuer-spricht-und-was-dagegen-4182159.html
... Spätestens in ein oder zwei Wochen sollte etwas klarer sein, was wirklich Phase ist. Angesichts der angeblich bereits über Jahre laufenden Angriffe und Ermittlungen sollten wir uns den Luxus erlauben, darauf zu warten.

Interessanter Punkt:
Bloomberg-Reporter kriegen einen Bonus, der davon abhängt, wieviel Marktbewegung ihr Reporting erzeugt hat
https://blog.fefe.de/?ts=a549cb41

Ob das in Trumps Sinne ist, wage ich zu bezweifeln.
http://www.spiegel.de/netzwelt/web/spionagechips-in-apples-und-amazons-servern-knueller-oder-knalltuete-a-1231778.html
... Der angebliche Knüller hat auch den Börsenkurs des US-Unternehmens SuperMicro um zwischenzeitlich 50 Prozent abstürzen lassen und könnte die ohnehin extrem angespannten diplomatischen Beziehungen zwischen den USA und China weiter verschärfen.

ich bin auch eher dafür, das sicherheitskritische dinge wieder in eigenen ländern produziert werden, heisst alles was für behörden ist, muss im inland produziert werden, ohne russische oder asiatische technologie.

dann sind die sachen nur utopisch teuer und eine garantie auf sicherheit hast du trotzdem nicht. Du brauchst auch geld und experten für die software.
Am ende schleust die gegenseite einfach personal ein oder es bleiben andere türen offen.

dann sind die sachen nur utopisch teuer und eine garantie auf sicherheit hast du trotzdem nicht. Du brauchst auch geld und experten für die software.
Staatssicherheit wegen Kosten riskieren?

Utopisch teuer vs Unbezahlbar :uponder: Mal davon abgesehen, daß es doch nicht schaden kann auch ein paar Experten im eigenen Land zu haben ;)

Ich hätte bspw. nichts dagegen, wenn die EU unsere Steuern dazu nutzen würde bspw. die GloFo Fabrik in Dresden zu kaufen und eigene Hardware für sensible Bereiche entwickeln würde, während sie gleichzeitig ein eignes Linux basteln würden. Stattdessen gibt es halt Hardware designed in USA, manufactured in Asia mit Software aus aller Welt :rolleyes:

Nochmal Fefe (http://blog.fefe.de/?ts=a54990fb), bzw eine Verlinkung von ihm zu dem Thema:

Wo wir gerade bei Hardware-Implants waren: Lustige Geschichten aus der Payment-Industrie! Die kaufen ihre Bezahl-Terminals auch in China, und da wurde auch schon Manipulation festgestellt. Allerdings ist das Problem, dass die Hardware ja gerade tamperproof sein soll, d.h. du kannst die nicht aufmachen und nach Manipulationen gucken. Das merkt das Gerät und schrottet sich.
Also haben sie die Geräte gewogen. Ja, auf einer Waage. Die zusätzliche Elektronik wiegt ja was.

Das haben die Spitzbuben gemerkt und angefangen, innen entsprechend Plastik abzuschmirgeln.

Und jetzt? Jetzt machen sie Drehimpulsmessungen. Nein, wirklich!

Was ich mich dabei immer frage: Daten abgreifen ist wohl einfach, aber wie bekommt man die Daten nach außen? Im Netzwerk-Traffic fällt dass doch auf, oder nicht?

Was ich mich dabei immer frage: Daten abgreifen ist wohl einfach, aber wie bekommt man die Daten nach außen? Im Netzwerk-Traffic fällt dass doch auf, oder nicht?
Ich denk mal so ein Chip soll einem Angreifer, der in der Firma eingeschleust ist, ermöglichen in das System einzudringen. Der schickt nichts nach draußen, manipuliert/belauscht aber vielleicht Passwort Hashes etc.

Nach dem Bericht ist es wegen dem Traffic erst aufgefallen.

ich bin auch eher dafür, das sicherheitskritische dinge wieder in eigenen ländern produziert werden, heisst alles was für behörden ist, muss im inland produziert werden, ohne russische oder asiatische technologie. haben hier genug standorte für chipfertigung(grad so banale chips wie für router zb.)


Wird es doch eh schon. Z.b Bei AT&T ist ein ganzes Stockwerk von der NSA besetzt.
Jedes Unternehmen dieser Größenordnung, wird von der NSA dirigiert. Bevor etwas auf den Markt geschmissen wird, muss von denen das Grüne Licht erfolgen. Drum ist die Anschuldigung, dass es sich um China handeln soll ja so lustig. Es ist eher umgekehrt der Fall. Aber das lenkt halt ab. Darüber reden wird man schnell eh nicht mehr. Im Hinterkopf weiß dann aber jeder: " Ja ja, der Chinese, der eh alles kopiert und klaut, genau der war das" und unser Helmut Schmidt hat schon damals warnend gesagt: "Passt auf den Chinesen auf" aber im Stillen Kämmerlein (https://www.welt.de/politik/deutschland/article148728238/China-trauert-um-den-alten-Freund-Helmut-Schmidt.html) beste Freunde :freak:
Das aber der Westen genau das will und China zugepumpt hat mit Westlicher-Technologie und zu welchem Zweck, dass klammert man fein aus. Die billigen Arbeitskräfte sind ein nettes Alibi und Zugpferd, um auch die kleinsten Unternehmen dort ansässig zu machen. Gründe hat das aber ein anderer, nämlich die eigene Technologie dort flächendeckend einzuschleusen und die ganze Welt damit voll zu kleistern. Intel spielt hinsichtlich NSA auch noch eine große Rolle. Damals, als es die Conspiracy Theory noch nicht gab, gab es viele mutige Journalisten die dem auf den Grund gingen. Im Internet sind deren Berichte noch zu finden.

Im Grunde ist das alles nur noch Propaganda, Indoktrination und Ablenkung. Da hat man sich wahrlich Mühe gegeben, seine Schäfchen nachhaltig in die gewünschte Marschrichtung zu blasen, ohne blasen zu müssen. Denn jeder weiß doch, der Russe ist Böse, der Chinese klaut und kopiert und wird zur Gefahr, in Germany ist noch immer alles Braun und in den USA spielt man gerne Krieg und überhaupt, sind doch eh alles Waffen-Narren, die sich doch eh übern Haufen schießen. Unvoreingenommen ist doch eh keiner mehr, nicht mal mit dem Spiegel würde man das zugeben. Hirnwäsche vom feinsten.

haptsache draufkloppen. dein post trägt nichts zum thema bei.


mit den chips gibt es eine neue stufe und der weitere verlauf wird interessant.

Hier die – wie ich finde – bisher immer noch beste Analyse des Themas:
ServeTheHome: Bloomberg Reports China Infiltrated the Supermicro Supply Chain We Investigate (https://www.servethehome.com/bloomberg-reports-china-infiltrated-the-supermicro-supply-chain-we-investigate/)

haptsache draufkloppen. dein post trägt nichts zum thema bei.


mit den chips gibt es eine neue stufe und der weitere verlauf wird interessant.
Schönes beispiel.
So wird ein Gerücht zur bewiesenen Wahrheit.
Schöne neue Welt...

Der pöhse Russe dient nicht mehr ausreichend als Feindbild. Das freie liberale demokratische Amerika und seine Vasallen benötigt aber eines als Legitimation für innen- und aussenpolitisches Handeln. Nun ists halt der pöhse Chinese.

Schonmal aufgefallen, das nahezu jeder technische Spionagevorwurf gegen China respektive dessen Firmen wirklich jeden Beweis oder auch nur nachvollziehbares Indiz schuldig blieb? Ausnahmslos? Selbst wenn Sanktionen gegen diese Firmen erhoben wurden die sehr offensichtlich wirtschaftlich begründet waren?
Schon mal aufgefallen, das dasselbe für die immer wieder klischeehaft vorgebrachten Vorwürfe gegen Russland gilt?
Aber der furchtsame und US hörige Michel adaptiert das mal trotzdem gern als bewiesene und unumstössliche wahrheit. Die NSA vorgehensweise ist bis ins detail nachgewiesen und dargelegt. Spionage explizit gegen uns gerichtet. Niemand bezweifelt das die USA dies weiter tun, was sie ja letztlich nicht mal bestreiten. Aber tangiert uns das? nein. Wir verweigern bis heute selbst demjenigen Unterstützung, der dieses perverse Handeln unseres "grossen Bruders" gegen uns offengelegt hat.
Erschreckend zu sehen, wie brainwashed ein grosser Teil der Menschen ist.

Schönes beispiel.
So wird ein Gerücht zur bewiesenen Wahrheit.
Schöne neue Welt...

Der pöhse Russe dient nicht mehr ausreichend als Feindbild. Das freie liberale demokratische benötigt aber eines als Legitimation für innen- und aussenpolitisches Handeln. Nun ists halt der pöhse Chinese.

Schonmal aufgefallen, das nahezu jeder technische Spionagevorwurf gegen China respektive dessen Firmen wirklich jeden Beweis oder auch nur nachvollziehbares Indiz schuldig blieb? Ausnahmslos? Selbst wenn Sanktionen gegen diese Firmen erhoben wurden die sehr offensichtlich wirtschaftlich begründet waren?
Schon mal aufgefallen, das dasselbe für die immer wieder klischeehaft vorgebrachten Vorwürfe gegen Russland gelten?
Aber der furchtsame und US hörige Michel adaptiert das mal trotzdem gern als bewiesene und unumstössliche wahrheit. Die NSA vorgehensweise ist bis ins detail nachgewiesen und dargelegt. Spionage explizit gegen uns gerichtet. Niemand bezweifelt das die USA dies weiter tun, was sie ja letztlich nicht mal bestreiten. Aber tangiert uns das? nein. Wir verweigern bis heute selbst demjenigen Unterstützung, der dieses perverse Handeln unseres "grossen Bruders" gegen uns offengelegt hat.
Erschreckend zu sehen, wie brainwashed ein grosser Teil der Menschen ist.

Gebt ihnen Brot und Spiele, Brot und Spiele!! Und kleine Skandale, damit die armen Dummen abgelenkt sind :D

ich hatte das bloomberg bild noch im kopf. gerücht oder nicht, alleine die idee ist diskussionswürdig und mich interessiert hier eher die technische umsetzung und weniger wer es war. So science fiction mässig klingt es auch nicht.



Bei scripal muss man sich auch fragen, warum nowitschok eingesetzt wurde. Das ist ja auch so abgehoben und irgendwo dreist. So etwas hätte man in einem film als erfindung abgestempelt und leider ist es real. Die vorgehensweise macht einfach null sinn.

ich hatte das bloomberg bild noch im kopf. gerücht oder nicht, alleine die idee ist diskussionswürdig und mich interessiert hier eher die technische umsetzung und weniger wer es war. So science fiction mässig klingt es auch nicht.


Apple und Amazon haben das von sich gewiesen... das ganze ist also sehr wahrscheinlich nur Fake News von Bloomberg. Und du hältst es für die Realität...


Bei scripal muss man sich auch fragen, warum nowitschok eingesetzt wurde. Das ist ja auch so abgehoben und irgendwo dreist. So etwas hätte man in einem film als erfindung abgestempelt und leider ist es real. Die vorgehensweise macht einfach null sinn.

sicher macht es Sinn. Für die, die die Russen als die Bösen hinstellen wollen. Für die Russen würde es wirklich keinen Sinn machen ein Nervengift zu benutzen, dass man so leicht auf sie zurückverfolgen kann.

Für die Russen würde es wirklich keinen Sinn machen ein Nervengift zu benutzen, dass man so leicht auf sie zurückverfolgen kann.
Die Briten (also das britische Verteidigungsministerium) haben nicht nur nie behauptet das sie den Kampfstoff selbst nach Russland zurückverfolgen konnten, sie haben es explizit verneint. Da hat der Qualitätsjournalismus mal wieder ganze Arbeit geleistet.

Je lauter/intensiver Regierung und Geheimdienste dementieren desto weniger glaubwürdig sind sie.

Apple und Amazon haben das von sich gewiesen... das ganze ist also sehr wahrscheinlich nur Fake News von Bloomberg. Und du hältst es für die Realität...


ich habe dazu gar keine meinung was es denn nun ist!
was für ein gelabere. :rolleyes:

Ich hatte noch das bloomberbg bild im kopf. So abgedreht wäre die sache auch nicht.

Ich vermute es war einfach ein Insidergeschäft von Jemanden bei Bloomberg, der auf sinkende Aktienkurse von Microsemi gewettet hat.

Wenn das so ist dürfte der von der SEC in der Luft zerrissen werden.

Die lassen sehr viel durchgehen.
Der Threadtitel könnte mal zumindest in eine Frage umgewandelt werden.

Also wenn ich jetzt von unserer Boardfertigung ausgehe... dann stelle ich mir das extrem schwierig vor da Bauteile auszutauschen oder sogar erst extra in das Layout hinzuzufügen.

Anpassung PCB Design und Manipulation der Verifizierung
Anpassung des Screen Printing
Programmierung der Bestückungsautomaten
Das Bauteil in entsprechender Form in das "Warehouse" bringen (Zulieferung in SMD Rollen, Bauteilnummer in der Datenbank, Zulieferer in der Datenbank)
...

Wenn das so ist dürfte der von der SEC in der Luft zerrissen werden.
Hat nicht Elon Musk sie Shortseller Enrichment Commission genannt?

Interessante Lektüre: https://fm4.orf.at/stories/2940104/

(durch fefe drauf gestoßen)

Heise: Neue Vorwürfe zu Spionage-Implantaten in Supermicro-Boards (https://heise.de/-4186462)
ServeTheHome: Yossi Appleboum on How Bloomberg is Positioning His Research Against Supermicro (https://www.servethehome.com/yossi-appleboum-disagrees-bloomberg-is-positioning-his-research-against-supermicro/)

I asked Mr. Appleboum if he had a sense of how much happens in the manufacturing process versus after.

I don’t have the numbers or statistics around how much it happens in the manufacturing process or how much it happens after. My educated guess is that most of it happens later because it is much easier and much harder to find the source. If you do this through the manufacturing, eventually there is a name and address to go back and ask questions. If it happens after, you go where? Who is going to answer your questions?

Summarizing Supermicro’s fault in this, he said:

I think they are innocent and someone is using them to dilute the story instead of mitigating the threat. Please help me, them, and everyone else to understand that the problem is bigger. Dealing with this as a Supermicro problem will ruin the opportunity to face the reality that we need to fix it. STH

Irgendwie scheinen STH die einzigen zu sein die das Thema wirklich gut beleuchten bzw. nüchtern erfassen.

Anpassung PCB Design und Manipulation der Verifizierung

imho stellst du dir die integration zu kompliziert vor. stell dir einen sensor vor oder irgendwas anderes wie ein controller, welcher über nen bus kommuniziert. Der wird kompromittiert und schafft bei bedarf eine lücke.

Einen Sensor oder ähnliches anzugreifen macht aber auch nur Sinn, wenn du planst physischen Zugriff auf das Gerät zu erhalten und da gibt es deutlich bessere und einfachere Wege an Daten zu kommen.

Wenn es von extern geschehen soll, muss man zwangsläufig den Netzwerkchip kompromittieren und selbst dann hängt man wohl eh noch hinter einer Firewall.

Tja, da ist der Online-Journalismus mal wieder in der Klemme, wenn mit solch einer vagen Geschichte und Quellenlage ganze Unternehmen ins Wanken gebracht werden und niemand einschreitet.

fefe mal wieder:


Tavis Ormandy hat mal dem Kronzeugen in Bloombergs aktueller Meldung hinterherrecherchiert und fand dieses Datenblatt für deren Produkt (https://web.archive.org/web/20170721190725/http://www.sepio.systems/assets/Sepio_Data_Sheet.pdf). Die eröffnen direkt mit "oh mein Gott die Supply Chains sind gefährlich" und verkaufen dann … eine Familienpackung Schlangenöl?!

Damit ist die Sache für mich klar. Bloombergs Story ist nicht glaubwürdig. Die sind auf einen Schlangenölverkäufer reingefallen.



https://blog.fefe.de/?ts=a541f4a5

imho stellst du dir die integration zu kompliziert vor. stell dir einen sensor vor oder irgendwas anderes wie ein controller, welcher über nen bus kommuniziert. Der wird kompromittiert und schafft bei bedarf eine lücke.

Im Falle des Bloomberg Artikel wurde behauptet die Fertigung wäre unterwandert worden, aber mach das erst einmal. Darum ging es mir.

Direkt das PCB noch in der Designphase zu manipulieren (so dass das illegale Bauteil automatisch verpflanzt wird) ist fast unmöglich. Während der Fertigung zusätzliche Teile auflöten dürfte bei den vielen Augen ebenfalls extrem schwierig werden.

Da ist es ja noch am einfachsten wenn ein dummes, zugeliefertes Bauteil (das Beispiel mit dem Ethernet-Port) entsprechend manipuliert wurde.
Nur muss auch hier die Eingliederung in die Fertigung richtig abgestimmt sein, denn in der Vorfertigung mit anschließender genauer Betrachtung könnte es schon wieder auffliegen.

Der simpelste Angriffsvektor bleibt "den LKW abfangen", wenn es denn direkt eine Anpassung an der Hardware sein muss.

Patrick Kennedy hat einen weiteren, sehr ausführlichen Bericht verfasst und beleuchtet darin jedes Detail der bisherigen Bloomberg Meldungen: https://www.servethehome.com/investigating-implausible-bloomberg-supermicro-stories/

Tja, da ist der Online-Journalismus mal wieder in der Klemme, wenn mit solch einer vagen Geschichte und Quellenlage ganze Unternehmen ins Wanken gebracht werden und niemand einschreitet.

Es sind doch sehr viele eingeschritten. Woher hast du denn deine Infos?

Prüfer finden keine Chips auf Supermicros Hauptplatinen:
https://www.computerbase.de/2018-12/chip-spionage-supermicro-mainboard/

Bin ja gespannt ob das noch ein Nachspiel für Bloomberg hat.

Die lassen sehr viel durchgehen.
Der Threadtitel könnte mal zumindest in eine Frage umgewandelt werden.


dürfte aber wohl auf eine privatklage hinnauslaufen, das wird unter umständen noch teurer ;D

Prüfer finden keine Chips auf Supermicros Hauptplatinen:
https://www.computerbase.de/2018-12/chip-spionage-supermicro-mainboard/

Bin ja gespannt ob das noch ein Nachspiel für Bloomberg hat.

Dass hoffe ich ja doch, weil das ist erstens Rufschädigung und zweitens Kursmanipulation.