Non è ancora chiaro quanta veridicità ci sia in questo recente Bloomberg rapporto sostenendo che ad aziende, tra cui Apple e Amazon, sono stati venduti server di dati compromessi da spie cinesi. Tuttavia, una coppia bipartisan di senatori statunitensi vuole risposte dal produttore in questione.
In una lettera indirizzata al fornitore di schede madri Supermicro, i senatori Marco Rubio e Richard Blumenthal chiedono le risposte a otto quesiti. Ecco cosa vogliono sapere:
Nella loro lettera, i senatori osservano che, "come membri del Congresso, siamo allarmati da qualsiasi potenziale minacce alla sicurezza nazionale e hanno la responsabilità di garantire che le reti sensibili della nostra nazione siano tenuto al sicuro. Scriviamo per richiedere informazioni a Supermicro su questi tentativi segnalati di sovvertire i suoi prodotti informatici per spiare gli Stati Uniti".
Quindi seguono con queste otto domande:
1) Quando Supermicro è venuta a conoscenza per la prima volta di segnalazioni relative a componenti hardware e firmware dannosi nei suoi computer e hardware? Supermicro ha mai riscontrato la manomissione di componenti o firmware mirati ai suoi prodotti?
2) Supermicro ha condotto un'indagine sulla sua catena di fornitori per identificare eventuali modifiche o problemi di sicurezza con i suoi prodotti? Se ha riscontrato manomissioni, ha interrotto i legami con quei fornitori?
3) Se Supermicro ha riscontrato o è venuto a conoscenza di modifiche non contabilizzate sull'hardware o sul firmware, ha adottato misure per rimuovere il prodotto manomesso dalla catena di fornitura?
4) Quando L'informazione ha riferito nel febbraio 2017 che Apple aveva trovato firmware compromesso, Supermicro ha condotto qualche indagine sulla potenziale infiltrazione nella sua catena di approvvigionamento poiché il signor Leng si era impegnato a farlo? Se sì, quali sono stati i risultati di questa indagine?
5) Supermicro ha collaborato con le forze dell'ordine negli Stati Uniti per affrontare tali segnalazioni? Se viene rilevata una manomissione, fornirete un elenco di clienti potenzialmente interessati alle autorità statunitensi e fornirete informazioni ai clienti?
6) Supermicro ha messo in atto misure di screening o audit per valutare la propria catena di approvvigionamento e rilevare e mitigare tali tentativi di manomissione dei prodotti?
7) Se viene rilevata una manomissione, Supermicro valuta che tale manomissione potrebbe essere mitigata in base ad aggiornamenti del firmware, patch del software, modifiche alla configurazione o difese del sistema operativo?
8) Il governo cinese ha mai richiesto l'accesso alle informazioni di sicurezza riservate di Supermicro o ha cercato di limitare le informazioni relative alla sicurezza dei prodotti Supermicro?
Dov'è la verità in tutto questo?
Appena il Bloomberg Businessweek articolo è stato pubblicato la scorsa settimana, Amazon e Apple, due delle società citate nel pezzo, sono entrate in azione per negarne la veridicità.
Amazon ha fatto saltare la storia per presunto essere pieno di imprecisioni. Apple ha scritto la propria smentita e poi l'ha cementata scrivendo una lettera al Congresso dire altrettanto. Entrambe le società sono state supportate da Intelligence britannica e statunitense, che affermano di non avere motivo di dubitare delle smentite fatte.
Nonostante ciò, Bloomberg ha raddoppiato il suo reportage. In una dichiarazione rilasciata ieri, a Bloomberg Il portavoce ha affermato che "I nostri giornalisti ed editori esaminano accuratamente ogni storia prima della pubblicazione, e questa non ha fatto eccezione". La pubblicazione ha anche pubblicato una storia affermando che una "grande telecomunicazioni degli Stati Uniti" ha scoperto apparecchiature Supermicro compromesse ad agosto.
Qual è la verità in tutto questo? Siamo con i senatori Rubio e Blumenthal su questo: abbiamo sicuramente alcune domande a cui vorremmo rispondere.
Fonte: Business Insider