Aktualizace: Apple i Amazon vydaly ve čtvrtek obsáhlá prohlášení týkající se obvinění z čínských špionážních čipů. Aktualizovali jsme tento příspěvek, aby zahrnoval tato prohlášení.
Apple popírá, že by čínské špionážní čipy pronikly do hardwaru serveru iCloud poté, co tvrdí, že základní desky používané společnostmi Apple, Amazon a desítky dalších technologických společností obsahovaly mikročipy používané pro sledování účely.
Cupertino trvá na tom, že příběh je „špatný a dezinformovaný“. Apple také říká, že čínské špehování nemělo nic společného s rozhodnutím společnosti přerušit styky s dodavatelem.
Prohlášení společnosti Apple přichází po Bloomberg Businessweek zpráva s odvoláním na 17 zdrojů tvrdila, že Čína použila „malý čip k infiltraci do špičkových amerických společností.”
Zpráva říká, že tisíce serverových základních desek vyrobených společností Super Micro obsahovaly škodlivé čipy. Čínské čipy o velikosti zrnka rýže by mohly špionům umožnit „přístup k vysoce hodnotným firemním tajemstvím a citlivým vládním sítím“.
Čip objevený vyšetřováním Amazonu před třemi lety vyvolal přísně tajnou sondu, která pokračuje dodnes.
Podezřelý čínský čip
Příběh začíná v roce 2015, kdy Amazon začal vyhodnocovat startup s názvem Elemental Technologies. Amazon chtěl akvizici, která by mu pomohla rozšířit Prime Video, jeho službu streamování videa. Několik velkých společností již používalo technologii Elemental.
"Jeho technologie pomohla streamovat olympijské hry online, komunikovat s Mezinárodní vesmírnou stanicí a zaznamenávat záběry dronů do Ústřední zpravodajské služby," vysvětluje zpráva.
Jeden z hodnotících procesů zahrnoval najímání společnosti třetí strany na kontrolu zabezpečení Elementalu. Netrvalo dlouho a tato společnost odhalila „znepokojující problémy“. Tento objev přiměl Amazon Web Services (AWS), aby se blíže podíval na serverové produkty společnosti Elemental.
Několik serverů bylo odesláno do Ontaria v Kanadě. Testeři tam našli malý mikročip, který nebyl součástí původního designu základní desky. "Amazon oznámil objev americkým úřadům a rozechvěl se skrz zpravodajskou komunitu," pokračuje zpráva.
Přísně tajná sonda čínských špionážních čipů
Objev vyvolal velké starosti. Za prvé, Amazon, Apple a další technologičtí giganti použili servery vyrobené v Číně společností Super Micro. Ještě horší je, že čipy se dostaly do hardwaru používaného hlavní bankou, ministerstvem obrany, operacemi dronů CIA a námořnictvem.
A Super Micro nedodával deskám pouze Elemental. Vyrábělo hardware pro stovky dalších zákazníků.
Vyšetřovatelé zjistili, že čip vložený do továren provozovaných čínskými subdodavateli umožňoval útočníkům vytvořit vchod do soukromých sítí. Tato metoda se ukázala být mnohem sofistikovanější než softwarový útok-a potenciálně mnohem ničivější.
Apple popírá, že by byl ovlivněn jeho hardware iCloud
Apple, obrovský zákazník Super Micro, plánoval během dvou let objednat více než 30 000 svých serverů. Podle tří „starších zasvěcených“ však Apple také v létě 2015 objevil škodlivý čip. Cupertino přerušil vztahy se společností následující rok.
Apple tato tvrzení zpochybňuje.
"Apple je hluboce zklamaný, že v jednání s námi nebyli reportéři Bloomberg otevřeni." možnost, že oni nebo jejich zdroje mohou být špatní nebo dezinformovaní, “uvedla společnost v prohlášení na AppleInsider ve čtvrtek. "Náš nejlepší odhad je, že si pletou svůj příběh s dříve hlášeným incidentem z roku 2016, kdy jsme v jednom z našich laboratoří objevili infikovaného ovladače na jednom serveru Super Micro." Tato jednorázová událost byla určena jako náhodná, nikoli jako cílený útok proti společnosti Apple. “
„Směšné“ tvrzení
Řekly to zdroje uvnitř společnosti Apple, které z pochopitelných důvodů zůstávají bezejmenné AppleInsider že obvinění z rozsáhlého útoku na Apple, jako je tento, jsou „k smíchu“ a „opravdu, opravdu špatná“.
Bloomberg Businessweek říká, že šest současných a bývalých představitelů národní bezpečnosti se postavilo proti odmítnutí společností Apple a Amazon. "Jeden z těchto úředníků a dva lidé uvnitř AWS poskytli rozsáhlé informace o tom, jak útok probíhal na Elemental a Amazon," říká příběh.
Celkově údajně příběh potvrdilo 17 lidí - včetně tří údajných „zasvěcených“ Apple.
The Bloomberg Businessweek zpráva tvrdí, že vyšetřování útoku pokračuje i dnes.
Prohlášení společnosti Apple
V čem se Businessweek mýlil ohledně Applu
Vydání Bloomberg Businessweek z 8. října 2018 nesprávně uvádí, že Apple v roce 2015 našel na serverech ve své síti „škodlivé čipy“. Jak Apple opakovaně vysvětloval reportérům a redaktorům Bloomberg za posledních 12 měsíců, na těchto tvrzeních není nic pravdy.
Apple poskytl agentuře Bloomberg Businessweek před zveřejněním jejich příběhu následující prohlášení:
V průběhu minulého roku nás Bloomberg několikrát kontaktoval s tvrzením, někdy vágním a někdy podrobným, o údajném bezpečnostním incidentu v Apple. Pokaždé jsme provedli přísná interní vyšetřování na základě jejich šetření a pokaždé jsme nenašli absolutně žádný důkaz, který by některý z nich podpořil. Záznamy jsme opakovaně a důsledně nabízeli věcné odpovědi, které vyvracely prakticky každý aspekt Bloombergova příběhu týkajícího se Apple.
V tomto si můžeme být zcela jasní: Apple nikdy nenašel škodlivé čipy, „hardwarové manipulace“ ani zranitelnosti záměrně uložené na žádném serveru. Společnost Apple nikdy neměla ohledně takového incidentu žádný kontakt s FBI ani jinou agenturou. Nejsme si vědomi žádného vyšetřování FBI ani našich kontaktů v oblasti vymáhání práva.
V reakci na nejnovější verzi příběhu Bloomberg uvádíme následující skutečnosti: Siri a Topsy nikdy nesdílely servery; Siri nikdy nebyla nasazena na serverech, které nám Super Micro prodává; a data Topsy byla omezena na přibližně 2 000 serverů Super Micro, nikoli 7 000. U žádného z těchto serverů nebyl nikdy nalezen škodlivý čip.
Z praxe vyplývá, že před uvedením serverů do výroby u společnosti Apple se kontrolují bezpečnostní chyby a veškerý firmware a software aktualizujeme pomocí nejnovějších ochran. Když jsme aktualizovali firmware a software podle našich standardních postupů, neodhalili jsme žádné neobvyklé chyby na serverech, které jsme zakoupili od Super Micro.
Jsme hluboce zklamáni, že při jednání s námi reportéři agentury Bloomberg nebyli otevření možnosti, že by se oni nebo jejich zdroje mohli mýlit nebo dezinformovat. Našim nejlepším odhadem je, že si pletou svůj příběh s dříve hlášeným incidentem z roku 2016, kdy jsme v jednom z našich laboratoří objevili infikovaného ovladače na jednom serveru Super Micro. Tato jednorázová událost byla stanovena jako náhodná a ne cílený útok proti společnosti Apple.
Přestože nebyl vznesen žádný nárok na zahrnutí údajů o zákaznících, bereme tato obvinění vážně a my chtějí, aby uživatelé věděli, že děláme vše pro to, abychom chránili osobní údaje, které svěřují nás. Chceme také, aby věděli, že to, co Bloomberg o Apple uvádí, je nepřesné.
Apple vždy věřil v transparentnost ve způsobech, jak nakládáme a chráníme data. Pokud by někdy došlo k takové události, jak tvrdí agentura Bloomberg News, byli bychom o tom připraveni a úzce bychom spolupracovali s orgány činnými v trestním řízení. Inženýři společnosti Apple provádějí pravidelné a přísné bezpečnostní kontroly, aby zajistili bezpečnost našich systémů.
Víme, že zabezpečení je nekonečný závod, a proto neustále posilujeme naše systémy proti stále sofistikovanějším hackerům a kyberzločincům, kteří chtějí ukrást naše data.
Publikovaný příběh Businessweeku také tvrdí, že Apple „incident nahlásil FBI, ale podrobnosti o tom, co zjistil, uchovával pevně držené, a to i interně“. v Listopad 2017, poté, co jsme byli poprvé seznámeni s tímto obviněním, jsme poskytli Bloomberg následující informace v rámci dlouhého a podrobného záznamu Odezva. Nejprve se zabývá nepodloženými tvrzeními jejich reportérů o údajném interním vyšetřování:
Přes četné diskuse napříč více týmy a organizacemi nikdo z Applu o tomto vyšetřování nikdy neslyšel. Businessweek nám odmítl poskytnout jakékoli informace ke sledování předpokládaných řízení nebo zjištění. Neprokázali ani porozumění standardním postupům, které byly údajně obcházeny.
Nikdo z Applu nikdy o ničem podobném FBI nedosáhl a od FBI jsme nikdy neslyšeli o vyšetřování tohoto druhu - tím méně se ho pokoušeli omezit.
Dnešní ráno v televizi Bloomberg reportér Jordan Robertson učinil další tvrzení o údajném objevu škodlivé čipy a říkají: „V případě společnosti Apple chápeme, že to vedlo k náhodné namátkové kontrole některých problematických serverů. detekce. "
Jak jsme již dříve informovali Bloomberg, je to zcela nepravdivé. Apple na našich serverech nikdy nenašel škodlivé čipy.
Konečně, v odpovědi na otázky, které jsme obdrželi od jiných zpravodajských organizací od doby, kdy Businessweek zveřejnil svůj příběh, se na nás nevztahuje žádný druh dávkovače ani jiné povinnosti týkající se důvěrnosti.
Prohlášení Amazonu
Nastavení záznamu přímo na chybný článek Bloomberg BusinessWeek
Bloomberg BusinessWeek dnes zveřejnil příběh, ve kterém tvrdí, že AWS věděl o upraveném hardwaru nebo škodlivých čipech na základních deskách SuperMicro v Hardware Elemental Media v době, kdy Amazon získal Elemental v roce 2015, a že Amazon věděl o upraveném hardwaru nebo čipech v Číně AWS Kraj.
Jak jsme s Bloomberg BusinessWeek několikrát sdíleli za posledních pár měsíců, není to pravda. V žádném okamžiku, v minulosti ani současnosti, jsme nikdy nezjistili žádné problémy týkající se upraveného hardwaru nebo škodlivých čipů na základních deskách SuperMicro v žádném systému Elemental nebo Amazon. Nezúčastnili jsme se ani vyšetřování s vládou.
V tomto článku je tolik nepřesností, jak se týká Amazonu, že je těžké je spočítat. Zde jmenujeme jen několik z nich. Za prvé, když Amazon zvažoval získání Elementalu, udělali jsme hodně due diligence s našimi vlastními bezpečnostní tým a také pověřil jedinou externí bezpečnostní společnost, aby pro nás provedla posouzení bezpečnosti také. Tato zpráva neidentifikovala žádné problémy s upravenými čipy nebo hardwarem. Jak je pro většinu těchto auditů typické, nabídlo některé doporučené oblasti k nápravě a před uzavřením akvizice jsme vyřešili všechny kritické problémy. Toto byla jediná objednaná externí bezpečnostní zpráva. Společnost Bloomberg samozřejmě nikdy neviděla naši pověřenou bezpečnostní zprávu ani žádnou jinou (a odmítla s námi sdílet jakékoli podrobnosti o jakékoli domnělé jiné zprávě).
Článek také tvrdí, že poté, co jsme se dozvěděli o hardwarových úpravách a škodlivých čipech na serverech Elemental, jsme provedl audit celé sítě základních desek SuperMicro a objevil škodlivé čipy v pekingských datech centrum. Toto tvrzení je podobně nepravdivé. Prvním a nejzjevnějším důvodem je, že jsme na serverech Elemental nikdy nenašli upravený hardware nebo škodlivé čipy. Kromě toho jsme v žádném z našich datových center nikdy nenašli na serverech upravený hardware nebo škodlivé čipy. A tato představa, že jsme prodali hardware a datová centra v Číně našemu partnerovi Sinnet, protože jsme se chtěli zbavit serverů SuperMicro, je absurdní. Sinnet provozoval tato datová centra od chvíle, kdy jsme spustili v Číně, vlastnili tato datová centra od začátku a my hardware „Prodáno“ jim byla dohoda o převodu aktiv nařízená novými čínskými předpisy, aby nečínští poskytovatelé cloudu nadále působili v Čína.
Amazon v celém našem dodavatelském řetězci používá přísné bezpečnostní standardy - zkoumá veškerý hardware a software před vstupem do výroby a prováděním pravidelných bezpečnostních auditů interně a prostřednictvím našeho dodavatelského řetězce partneři. Naše posílení zabezpečení dále posilujeme implementací vlastních návrhů hardwaru pro kritické komponenty, jako jsou procesory, servery, úložné systémy a síťová zařízení.
Zabezpečení bude vždy naší nejvyšší prioritou. AWS je důvěryhodné mnoha světově nejcitlivějšími organizacemi právě proto, že jsme prokázali tento neochvějný závazek klást jejich zabezpečení na první místo. Neustále jsme ostražití ohledně potenciálních hrozeb pro naše zákazníky a podnikáme rychlé a rozhodné kroky, abychom je vyřešili, kdykoli jsou identifikováni.
- Steve Schmidt, hlavní důstojník pro bezpečnost informací
Poznámka: Tento příspěvek jsme původně publikovali v 5:52 Pacific dne 4. října 2018. Aktualizovali jsme ji, aby obsahovala prohlášení od Apple a Amazonu.