Het is nog niet duidelijk hoeveel waarheidsgetrouwheid er is aan de recentelijk Bloomberg verslag doen van beweren dat bedrijven, waaronder Apple en Amazon, dataservers werden verkocht die waren gecompromitteerd door Chinese spionnen. Een tweeledig paar Amerikaanse senatoren wil echter antwoorden van de fabrikant in kwestie.
In een brief aan moederbordleverancier Supermicro vragen senatoren Marco Rubio en Richard Blumenthal om de antwoorden op acht vragen. Dit is wat ze willen weten:
In hun brief merken de senatoren op dat, "als leden van het Congres, we gealarmeerd zijn door elk potentieel" bedreigingen voor de nationale veiligheid en hebben de verantwoordelijkheid om ervoor te zorgen dat de gevoelige netwerken van ons land: veilig gehouden. We schrijven om informatie van Supermicro te vragen over deze gerapporteerde pogingen om zijn computerproducten te ondermijnen om de Verenigde Staten te bespioneren."
Vervolgens beantwoorden ze deze acht vragen:
1) Wanneer kreeg Supermicro voor het eerst meldingen over kwaadaardige hardwarecomponenten en firmware in zijn computers en hardware? Heeft Supermicro ooit manipulatie van componenten of firmware gevonden die gericht waren op zijn producten?
2) Heeft Supermicro een onderzoek uitgevoerd naar zijn leveranciersketen om mogelijke wijzigingen of beveiligingsproblemen met zijn producten te identificeren? Als het geknoei heeft ontdekt, heeft het dan de banden met die leveranciers verbroken?
3) Als Supermicro onverklaarde wijzigingen op hardware of firmware heeft gevonden of anderszins ontdekt, heeft het dan stappen ondernomen om het product waarmee is geknoeid uit de toeleveringsketen te verwijderen?
4) Wanneer? De informatie in februari 2017 meldde dat Apple gecompromitteerde firmware had gevonden, heeft Supermicro onderzoek gedaan naar de mogelijke infiltratie van zijn toeleveringsketen, zoals de heer Leng had toegezegd dit te doen? Zo ja, wat waren de resultaten van dit onderzoek?
5) Heeft Supermicro samengewerkt met wetshandhavingsinstanties in de Verenigde Staten om dergelijke meldingen aan te pakken? Als er geknoei wordt gevonden, geeft u dan een lijst met mogelijk getroffen klanten aan de Amerikaanse autoriteiten en verstrekt u informatie aan klanten?
6) Heeft Supermicro screeningmaatregelen of audits uitgevoerd om zijn toeleveringsketen te beoordelen en om dergelijke pogingen om met producten te knoeien op te sporen en te verminderen?
7) Als manipulatie wordt gevonden, beoordeelt Supermicro dan of dergelijke manipulatie kan worden beperkt op basis van firmware-updates, softwarepatches, configuratiewijzigingen of bescherming van het besturingssysteem?
8) Heeft de Chinese overheid ooit om toegang tot de vertrouwelijke beveiligingsinformatie van Supermicro gevraagd of geprobeerd om informatie over de beveiliging van Supermicro-producten te beperken?
Waar is de waarheid in dit alles?
Zo snel als de Bloomberg Zakenweek artikel vorige week werd gepubliceerd, kwamen Amazon en Apple - twee van de bedrijven die in het stuk worden genoemd - in actie om de waarachtigheid ervan te ontkennen.
Amazon ontplofte het verhaal omdat het zogenaamd was vol onnauwkeurigheden. Apple schreef zijn eigen ontkenning en bevestigde dit door te schrijven een brief aan het congres zoveel te zeggen. Beide bedrijven zijn ondersteund door: Britse en Amerikaanse inlichtingendiensten, die zeggen dat ze geen reden hebben om te twijfelen aan de ontkenningen.
Desondanks verdubbelde Bloomberg zijn reportage. In een gisteren uitgegeven verklaring Bloomberg woordvoerder zei: "Onze verslaggevers en redacteuren onderzoeken elk verhaal grondig voor publicatie, en dit was geen uitzondering." de publicatie publiceerde ook een verhaal beweren dat een "grote Amerikaanse telecom" in augustus gecompromitteerde Supermicro-apparatuur ontdekte.
Wat is de waarheid in dit alles? We zijn hierover met senatoren Rubio en Blumenthal: we hebben zeker een aantal vragen die we graag beantwoord willen zien.
Bron: Business insider