Atualização: A Apple e a Amazon emitiram longas declarações na quinta-feira sobre as alegações do chip espião chinês. Atualizamos este post para incluir essas declarações.
A Apple nega que chips espiões chineses tenham se infiltrado em seu hardware de servidor iCloud após alegar que placas-mãe usado pela Apple, Amazon e dezenas de outras empresas de tecnologia continham microchips usados para vigilância finalidades.
Cupertino insiste que a história está “errada e mal informada”. A Apple também diz que a espionagem chinesa não teve nada a ver com a decisão da empresa de cortar relações com um fornecedor.
A declaração da Apple vem depois de um Bloomberg Businessweek relatório, citando 17 fontes, afirmou que a China usou “um minúsculo chip para se infiltrar nas principais empresas da América.”
O relatório diz que milhares de placas-mãe de servidor fabricadas pela Super Micro continham chips maliciosos. Mais ou menos do tamanho de um grão de arroz, os chips chineses poderiam permitir que espiões “acessassem segredos corporativos de alto valor e redes governamentais sensíveis”.
O chip, descoberto por uma investigação da Amazon há três anos, desencadeou uma investigação ultrassecreta que continua até hoje.
Um chip chinês suspeito
A história começa em 2015, quando a Amazon começou a avaliar uma startup chamada Elemental Technologies. A Amazon queria uma aquisição que a ajudasse a expandir o Prime Video, seu serviço de streaming de vídeo. Várias grandes empresas já usaram a tecnologia da Elemental.
“Sua tecnologia ajudou a transmitir os Jogos Olímpicos online, a se comunicar com a Estação Espacial Internacional e a canalizar as imagens do drone para a Agência Central de Inteligência”, explica o relatório.
Parte do processo de avaliação envolveu a contratação de uma empresa terceirizada para examinar a segurança da Elemental, afirma uma fonte. Não demorou muito para que a empresa descobrisse "problemas preocupantes". Essa descoberta levou a Amazon Web Services (AWS) a examinar mais de perto os produtos de servidor da Elemental.
Vários servidores foram enviados para Ontário, Canadá. Os testadores encontraram um minúsculo microchip não incluído no design original da placa-mãe. “A Amazon relatou a descoberta às autoridades dos EUA, causando um arrepio na comunidade de inteligência”, continua o relatório.
Uma investigação ultrassecreta de chips espiões chineses
A descoberta gerou grandes preocupações. Por um lado, Amazon, Apple e outros gigantes da tecnologia usaram os servidores, fabricados na China pela Super Micro. Pior ainda, os chips encontraram seu caminho para o hardware usado por um grande banco, o Departamento de Defesa, as operações de drones da CIA e a Marinha.
E a Super Micro não se limitou a fornecer placas para a Elemental. Ela fabricou hardware para centenas de outros clientes.
Os investigadores determinaram que o chip, inserido em fábricas administradas por subcontratados chineses, permitia que os invasores criassem uma porta para as redes privadas. Este método provou ser significativamente mais sofisticado do que um ataque baseado em software - e potencialmente muito mais devastador.
Apple nega que seu hardware iCloud tenha sido afetado
A Apple, um grande cliente da Super Micro, planejava encomendar mais de 30.000 de seus servidores em dois anos. De acordo com três “insiders seniores”, no entanto, a Apple também descobriu o chip malicioso no verão de 2015. Cupertino cortou relações com a empresa no ano seguinte.
A Apple contesta essas reivindicações.
“A Apple está profundamente decepcionada que, em suas negociações conosco, os repórteres da Bloomberg não estivessem abertos para a possibilidade de que eles ou suas fontes possam estar errados ou mal informados ”, disse a empresa em um comunicado para AppleInsider na quinta feira. “Nosso melhor palpite é que eles estão confundindo sua história com um incidente relatado anteriormente em 2016, no qual descobrimos um driver infectado em um único servidor Super Micro em um de nossos laboratórios. Esse evento único foi determinado como acidental e não um ataque direcionado contra a Apple. ”
Uma afirmação "risível"
Fontes dentro da Apple, que não foram identificadas por razões óbvias, disseram AppleInsider que as alegações de um ataque generalizado à Apple como este são “risíveis” e “muito, muito erradas”.
Bloomberg Businessweek diz que seis atuais e ex-funcionários da segurança nacional contestaram as negações da Apple e da Amazon. “Um desses funcionários e duas pessoas dentro da AWS forneceram informações extensas sobre como o ataque ocorreu na Elemental e na Amazon”, diz a história.
No total, 17 pessoas supostamente confirmaram a história - incluindo três supostos “internos” da Apple.
o Bloomberg Businessweek relatório afirma que a investigação sobre o ataque continua até hoje.
Declaração da Apple
O que a Businessweek errou sobre a Apple
A edição de 8 de outubro de 2018 da Bloomberg Businessweek relata incorretamente que a Apple encontrou “chips maliciosos” em servidores em sua rede em 2015. Como a Apple explicou repetidamente aos repórteres e editores da Bloomberg nos últimos 12 meses, não há verdade nessas afirmações.
A Apple forneceu à Bloomberg Businessweek a seguinte declaração antes de sua história ser publicada:
Ao longo do ano passado, a Bloomberg nos contatou várias vezes com alegações, às vezes vagas e às vezes elaboradas, de um suposto incidente de segurança na Apple. Todas as vezes, conduzimos investigações internas rigorosas com base em suas investigações e, em todas as vezes, não encontramos absolutamente nenhuma evidência para apoiar qualquer uma delas. Temos oferecido respostas factuais repetida e consistentemente, oficialmente, refutando virtualmente todos os aspectos da história da Bloomberg relacionada à Apple.
Sobre isso podemos ser muito claros: a Apple nunca encontrou chips maliciosos, “manipulações de hardware” ou vulnerabilidades plantadas propositalmente em qualquer servidor. A Apple nunca teve qualquer contato com o FBI ou qualquer outra agência sobre tal incidente. Não temos conhecimento de nenhuma investigação do FBI, nem nossos contatos na aplicação da lei.
Em resposta à última versão da narrativa da Bloomberg, apresentamos os seguintes fatos: Siri e Topsy nunca compartilharam servidores; O Siri nunca foi implantado em servidores vendidos para nós pela Super Micro; e os dados de Topsy foram limitados a aproximadamente 2.000 servidores Super Micro, não 7.000. Nenhum desses servidores jamais foi encontrado para conter chips maliciosos.
Por uma questão de prática, antes de os servidores serem colocados em produção na Apple, eles são inspecionados quanto a vulnerabilidades de segurança e atualizamos todo o firmware e software com as proteções mais recentes. Não descobrimos nenhuma vulnerabilidade incomum nos servidores que adquirimos da Super Micro quando atualizamos o firmware e o software de acordo com nossos procedimentos padrão.
Estamos profundamente decepcionados que, em suas negociações conosco, os repórteres da Bloomberg não estivessem abertos à possibilidade de que eles ou suas fontes estivessem errados ou mal informados. Nosso melhor palpite é que eles estão confundindo sua história com um incidente relatado anteriormente em 2016, no qual descobrimos um driver infectado em um único servidor Super Micro em um de nossos laboratórios. Esse evento único foi determinado como acidental e não um ataque direcionado contra a Apple.
Embora não tenha havido nenhuma reclamação de que dados do cliente estivessem envolvidos, levamos essas alegações a sério e deseja que os usuários saibam que fazemos todo o possível para proteger as informações pessoais que eles confiam nós. Também queremos que eles saibam que o que a Bloomberg está relatando sobre a Apple é impreciso.
A Apple sempre acreditou em ser transparente sobre a maneira como lidamos e protegemos os dados. Se houvesse um evento como o Bloomberg News alegou, seríamos francos sobre ele e trabalharíamos em conjunto com as autoridades policiais. Os engenheiros da Apple conduzem rastreios de segurança regulares e rigorosos para garantir que os nossos sistemas estão seguros.
Sabemos que a segurança é uma corrida sem fim e é por isso que constantemente fortalecemos nossos sistemas contra hackers e cibercriminosos cada vez mais sofisticados que querem roubar nossos dados.
A história publicada da Businessweek também afirma que a Apple “relatou o incidente ao FBI, mas manteve os detalhes sobre o que detectou, mesmo internamente”. No Novembro de 2017, depois de termos sido apresentados pela primeira vez com esta alegação, fornecemos as seguintes informações à Bloomberg como parte de um longo e detalhado, no registro resposta. Ele primeiro aborda as alegações infundadas de seus repórteres sobre uma suposta investigação interna:
Apesar das inúmeras discussões entre várias equipes e organizações, ninguém na Apple jamais ouviu falar dessa investigação. A Businessweek se recusou a nos fornecer qualquer informação para rastrear os supostos procedimentos ou descobertas. Nem demonstraram qualquer compreensão dos procedimentos padrão que foram supostamente contornados.
Ninguém da Apple jamais contatou o FBI sobre algo assim, e nunca ouvimos do FBI sobre uma investigação desse tipo - muito menos tentou restringi-la.
Em uma aparição esta manhã na Bloomberg Television, o repórter Jordan Robertson fez mais afirmações sobre a suposta descoberta de chips maliciosos, dizendo: "No caso da Apple, nosso entendimento é que foi uma verificação aleatória de alguns servidores problemáticos que levou a isso detecção."
Como informamos anteriormente à Bloomberg, isso é completamente falso. A Apple nunca encontrou chips maliciosos em nossos servidores.
Finalmente, em resposta às perguntas que recebemos de outras organizações de notícias desde que a Businessweek publicou sua história, não estamos sob qualquer tipo de ordem de silêncio ou outras obrigações de confidencialidade.
Declaração da Amazon
Definindo o recorde direto no artigo errôneo da Bloomberg BusinessWeek
Hoje, a Bloomberg BusinessWeek publicou uma história alegando que a AWS estava ciente de hardware modificado ou chips maliciosos em placas-mãe SuperMicro em Hardware da Elemental Media na época em que a Amazon adquiriu a Elemental em 2015, e que a Amazon estava ciente de hardware ou chips modificados na China da AWS Região.
Como compartilhamos com a Bloomberg BusinessWeek várias vezes nos últimos dois meses, isso não é verdade. Em nenhum momento, passado ou presente, encontramos qualquer problema relacionado a hardware modificado ou chips maliciosos em placas-mãe SuperMicro em qualquer sistema Elemental ou Amazon. Nem nos envolvemos em uma investigação com o governo.
Existem tantas imprecisões neste artigo no que se refere à Amazon que são difíceis de contar. Vamos citar apenas alguns deles aqui. Primeiro, quando a Amazon estava pensando em adquirir a Elemental, fizemos muita diligência com o nosso próprio equipe de segurança, e também contratou uma única empresa de segurança externa para fazer uma avaliação de segurança para nós também. Esse relatório não identificou nenhum problema com chips ou hardware modificados. Como é típico da maioria dessas auditorias, ele ofereceu algumas áreas recomendadas para correção e corrigimos todos os problemas críticos antes do fechamento da aquisição. Este foi o único relatório de segurança externa encomendado. A Bloomberg reconhecidamente nunca viu nosso relatório de segurança comissionado nem qualquer outro (e se recusou a compartilhar quaisquer detalhes de qualquer suposto outro relatório conosco).
O artigo também afirma que depois de aprender sobre modificações de hardware e chips maliciosos em servidores Elemental, nós conduziu uma auditoria em toda a rede de placas-mãe SuperMicro e descobriu os chips maliciosos em um banco de dados de Pequim Centro. Esta afirmação é igualmente falsa. A primeira e mais óbvia razão é que nunca encontramos hardware modificado ou chips maliciosos em servidores Elemental. Além disso, nunca encontramos hardware modificado ou chips maliciosos nos servidores de nenhum de nossos data centers. E essa noção de que vendemos o hardware e o datacenter na China para nosso parceiro Sinnet porque queríamos nos livrar dos servidores SuperMicro é absurda. A Sinnet administrava esses data centers desde que lançamos na China, eles eram os donos desses data centers desde o início e o hardware que nós "Vendido" a eles foi um acordo de transferência de ativos exigido pelos novos regulamentos da China para que os provedores de nuvem não chineses continuem a operar em China.
A Amazon emprega padrões de segurança rigorosos em toda a nossa cadeia de abastecimento - investigando todo o hardware e software antes de entrar em produção e realizar auditorias de segurança regulares internamente e com nossa cadeia de suprimentos parceiros. Fortalecemos ainda mais nossa postura de segurança ao implementar nossos próprios projetos de hardware para componentes críticos, como processadores, servidores, sistemas de armazenamento e equipamentos de rede.
A segurança sempre será nossa prioridade. A AWS tem a confiança de muitas das organizações mais sensíveis a riscos do mundo, precisamente porque demonstramos esse compromisso inabalável em colocar sua segurança acima de tudo. Estamos constantemente vigilantes sobre ameaças potenciais aos nossos clientes e tomamos medidas rápidas e decisivas para abordá-las sempre que são identificadas.
- Steve Schmidt, Diretor de Segurança da Informação
Observação: originalmente publicamos esta postagem às 5h52, horário do Pacífico, em 4 de outubro de 2018. Nós o atualizamos para incluir declarações da Apple e da Amazon.
