Güncelleme: Apple ve Amazon, Perşembe günü Çin casus çip iddialarıyla ilgili uzun açıklamalar yaptı. Bu gönderiyi, bu ifadeleri içerecek şekilde güncelledik.
Apple, anakartların Çin casus çiplerinin iCloud sunucu donanımına sızdığını iddia etti. Apple, Amazon ve düzinelerce başka teknoloji şirketi tarafından kullanılan, gözetim için kullanılan mikroçipler içeriyordu. amaçlar.
Cupertino, hikayenin "yanlış ve yanlış bilgilendirilmiş" olduğu konusunda ısrar ediyor. Apple ayrıca, şirketin bir tedarikçiyle bağları kesme kararıyla Çin casusluğunun hiçbir ilgisi olmadığını söyledi.
Apple'ın açıklaması bir süre sonra geliyor Bloomberg İş Haftası 17 kaynağa atıfta bulunan rapor, Çin'in "Amerika'nın en iyi şirketlerine sızmak için küçük bir çip.”
Rapor, Super Micro tarafından üretilen binlerce sunucu anakartının kötü amaçlı çipler içerdiğini söylüyor. Yaklaşık bir pirinç tanesi büyüklüğündeki Çin çipleri, casusların "yüksek değerli şirket sırlarına ve hassas hükümet ağlarına erişmesine" izin verebilir.
Üç yıl önce bir Amazon soruşturması tarafından keşfedilen çip, bugün de devam eden çok gizli bir soruşturmayı ateşledi.
Şüpheli bir Çin çipi
Hikaye, Amazon'un Elemental Technologies adlı bir girişimi değerlendirmeye başladığı 2015 yılında başlıyor. Amazon, video akışı hizmeti Prime Video'yu genişletmesine yardımcı olacak bir satın alma istedi. Birkaç büyük şirket Elemental'in teknolojisini zaten kullandı.
Raporda, "Teknolojisi, Olimpiyat Oyunlarının çevrimiçi olarak yayınlanmasına, Uluslararası Uzay İstasyonu ile iletişim kurulmasına ve drone görüntülerinin Merkezi İstihbarat Teşkilatına aktarılmasına yardımcı oldu" diye açıklıyor.
Bir kaynak, değerlendirme sürecinin bir parçasının Elemental'in güvenliğini incelemesi için üçüncü taraf bir şirket kiralamayı içerdiğini iddia ediyor. Bu şirketin "sorunlu sorunları" ortaya çıkarması çok uzun sürmedi. Bu keşif, Amazon Web Services'i (AWS) Elemental'ın sunucu ürünlerine daha yakından bakmaya sevk etti.
Birkaç sunucu Ontario, Kanada'ya gönderildi. Test edenler, anakartın orijinal tasarımına dahil olmayan küçük bir mikroçip buldu. Rapor şöyle devam ediyor: "Amazon, keşfi ABD makamlarına bildirdi ve istihbarat camiasını ürpertti.
Çin casus çiplerinin çok gizli bir araştırması
Keşif büyük endişelere yol açtı. Birincisi, Amazon, Apple ve diğer teknoloji devleri, Super Micro tarafından Çin'de yapılan sunucuları kullandı. Daha da kötüsü, çipler büyük bir banka, Savunma Bakanlığı, CIA'nın insansız hava araçları operasyonları ve Deniz Kuvvetleri tarafından kullanılan donanıma girmenin yolunu buldu.
Ve Super Micro, Elemental'e sadece kart tedarik etmedi. Yüzlerce başka müşteri için donanım üretti.
Müfettişler, Çinli taşeronlar tarafından işletilen fabrikalara yerleştirilen çipin, saldırganların özel ağlara giriş kapısı oluşturmasına izin verdiğini belirledi. Bu yöntemin, yazılım tabanlı bir saldırıdan önemli ölçüde daha karmaşık olduğu ve potansiyel olarak çok daha yıkıcı olduğu kanıtlandı.
Apple, iCloud donanımının etkilendiğini yalanladı
Büyük bir Super Micro müşterisi olan Apple, iki yıl içinde 30.000'den fazla sunucusunu sipariş etmeyi planlamıştı. Bununla birlikte, üç "kıdemli içeriden" göre Apple, 2015 yazında kötü niyetli çipi de keşfetti. Cupertino ertesi yıl şirketle bağlarını kesti.
Apple bu iddialara itiraz ediyor.
"Apple, Bloomberg muhabirlerinin bizimle ilişkilerinde Şirketten yapılan açıklamada, onların veya kaynaklarının yanlış veya yanlış bilgilendirilmiş olma olasılığı, ”dedi. ile AppleInsider Perşembe günü. "En iyi tahminimiz, hikayelerini, laboratuvarlarımızdan birinde tek bir Süper Mikro sunucuda virüslü bir sürücü bulduğumuz daha önce bildirilen 2016 olayıyla karıştırdıklarıdır. Bu tek seferlik olayın tesadüfi olduğu ve Apple'a yönelik hedefli bir saldırı olmadığı belirlendi.”
'Gülünç' bir iddia
Açık nedenlerle isimsiz kalan Apple içindeki kaynaklar, şunları söyledi: AppleInsider Apple'a yönelik bunun gibi yaygın bir saldırı iddialarının "gülünç" ve "gerçekten, gerçekten yanlış" olduğunu söyledi.
Bloomberg İş Haftası Altı mevcut ve eski ulusal güvenlik yetkilisinin Apple ve Amazon'un yalanlamalarına karşı çıktığını söyledi. Hikaye, "Bu yetkililerden biri ve AWS içindeki iki kişi, Elemental ve Amazon'da saldırının nasıl gerçekleştiği hakkında kapsamlı bilgi verdi" diyor.
Toplamda, sözde üç Apple “içeriden” dahil olmak üzere 17 kişinin hikayeyi doğruladığı iddia edildi.
NS Bloomberg İş Haftası Haberde saldırıyla ilgili soruşturmanın bugün devam ettiği iddia ediliyor.
Apple'ın açıklaması
Businessweek'in Apple hakkında yanlış yaptığı şey
Bloomberg Businessweek'in 8 Ekim 2018 tarihli sayısında Apple'ın 2015 yılında ağındaki sunucularda "kötü amaçlı yongalar" bulduğunu yanlış bir şekilde bildiriyor. Apple'ın son 12 ayda Bloomberg muhabirlerine ve editörlerine defalarca açıkladığı gibi, bu iddiaların hiçbir gerçeği yok.
Apple, hikayeleri yayınlanmadan önce Bloomberg Businessweek'e aşağıdaki ifadeyi verdi:
Geçen yıl boyunca, Bloomberg, Apple'da sözde bir güvenlik olayıyla ilgili bazen belirsiz ve bazen ayrıntılı iddialarla birçok kez bizimle iletişime geçti. Her defasında, onların araştırmalarına dayalı olarak sıkı iç soruşturmalar yürüttük ve her defasında hiçbirini destekleyecek kesinlikle hiçbir kanıt bulamadık. Bloomberg'in Apple ile ilgili hikayesinin neredeyse her yönünü çürüterek, kayıtlarda defalarca ve tutarlı bir şekilde gerçeğe dayalı yanıtlar sunduk.
Bu konuda çok net olabiliriz: Apple hiçbir zaman herhangi bir sunucuya kasıtlı olarak yerleştirilmiş kötü amaçlı çipler, "donanım manipülasyonları" veya güvenlik açıkları bulamadı. Apple'ın böyle bir olayla ilgili olarak ne FBI ne de başka bir kurumla hiçbir teması olmadı. FBI tarafından yürütülen herhangi bir soruşturmadan haberdar değiliz ve kolluk kuvvetlerindeki bağlantılarımız da yok.
Bloomberg'in anlatının en son versiyonuna yanıt olarak şu gerçekleri sunuyoruz: Siri ve Topsy hiçbir zaman sunucuları paylaşmadı; Siri, Super Micro tarafından bize satılan sunucularda hiçbir zaman konuşlandırılmadı; ve Topsy verileri, 7000 değil, yaklaşık 2.000 Super Micro sunucuyla sınırlıydı. Bu sunucuların hiçbirinin kötü niyetli çipleri barındırdığı tespit edilmedi.
Uygulama gereği, sunucular Apple'da üretime alınmadan önce güvenlik açıkları açısından denetlenir ve tüm aygıt yazılımlarını ve yazılımları en son korumalarla güncelleriz. Firmware ve yazılımı standart prosedürlerimize göre güncellediğimizde Super Micro'dan satın aldığımız sunucularda olağandışı bir güvenlik açığı tespit etmedik.
Bloomberg muhabirlerinin bizimle olan ilişkilerinde kendilerinin veya kaynaklarının yanlış veya yanlış bilgilendirilmiş olabileceği ihtimaline açık olmamalarından dolayı derin bir hayal kırıklığı yaşıyoruz. En iyi tahminimiz, hikayelerini, laboratuvarlarımızdan birinde tek bir Süper Mikro sunucuda virüslü bir sürücü bulduğumuz daha önce bildirilen 2016 olayıyla karıştırıyorlar. Bu tek seferlik olayın tesadüfi olduğu ve Apple'a yönelik hedefli bir saldırı olmadığı belirlendi.
Müşteri verilerinin dahil olduğuna dair herhangi bir iddia bulunmamakla birlikte, bu iddiaları ciddiye alıyoruz ve kullanıcıların emanet ettikleri kişisel bilgileri korumak için mümkün olan her şeyi yaptığımızı bilmelerini istemek Biz. Ayrıca Bloomberg'in Apple hakkında bildirdiklerinin doğru olmadığını bilmelerini istiyoruz.
Apple, verileri işleme ve koruma yöntemlerimiz konusunda her zaman şeffaf olmaya inanmıştır. Bloomberg News'in iddia ettiği gibi bir olay olsaydı, bunu açıklardık ve kolluk kuvvetleriyle yakın çalışırdık. Apple mühendisleri, sistemlerimizin güvenli olduğundan emin olmak için düzenli ve titiz güvenlik taramaları gerçekleştirir.
Güvenliğin sonsuz bir yarış olduğunu biliyoruz ve bu nedenle sistemlerimizi, verilerimizi çalmak isteyen, giderek daha karmaşık hale gelen bilgisayar korsanlarına ve siber suçlulara karşı sürekli olarak güçlendiriyoruz.
Yayınlanan Businessweek hikayesi ayrıca Apple'ın "olayları FBI'a bildirdiğini ancak tespit ettikleriyle ilgili ayrıntıları dahili olarak bile sıkı bir şekilde sakladığını" iddia ediyor. İçinde Kasım 2017'de, bu iddia bize ilk kez sunulduktan sonra, uzun ve ayrıntılı, kayıtlara geçen bir çalışmanın parçası olarak Bloomberg'e aşağıdaki bilgileri sağladık: cevap. Önce muhabirlerinin sözde bir iç soruşturma hakkındaki asılsız iddialarını ele alıyor:
Birden fazla ekip ve kuruluş arasındaki sayısız tartışmaya rağmen, Apple'da hiç kimse bu soruşturmayı duymadı. Businessweek, sözde işlemleri veya bulguları takip etmemiz için bize herhangi bir bilgi vermeyi reddetti. Ayrıca, sözde atlatıldığı varsayılan standart prosedürler hakkında herhangi bir anlayış göstermediler.
Apple'dan hiç kimse böyle bir şey hakkında FBI'a ulaşmadı ve FBI'dan da bu tür bir soruşturma hakkında hiçbir şey duymadık - kısıtlamaya çalışmak bir yana.
Bu sabah Bloomberg Televizyonu'ndaki bir görünümde, muhabir Jordan Robertson, sözde keşif hakkında daha fazla iddiada bulundu. kötü niyetli çipler, "Apple'ın durumunda, anladığımız kadarıyla, buna yol açan bazı sorunlu sunucuların rastgele bir yerinde kontrol edilmesiydi. tespit etme."
Daha önce Bloomberg'e bildirdiğimiz gibi, bu tamamen doğru değil. Apple, sunucularımızda hiçbir zaman kötü amaçlı çipler bulamadı.
Son olarak, Businessweek'in hikayesini yayınlamasından bu yana diğer haber kuruluşlarından aldığımız sorulara yanıt olarak, herhangi bir gag emri veya başka bir gizlilik yükümlülüğü altında değiliz.
Amazon'un açıklaması
Bloomberg BusinessWeek'in Hatalı Makalesinde Doğrudan Rekor Kırmak
Bugün, Bloomberg BusinessWeek, AWS'nin SuperMicro anakartlardaki değiştirilmiş donanımlardan veya kötü amaçlı yongalardan haberdar olduğunu iddia eden bir haber yayınladı. Amazon, Elemental'i 2015'te satın aldığı sırada Elemental Media'nın donanımı ve Amazon'un, AWS'nin Çin'deki değiştirilmiş donanım veya yongalardan haberdar olduğu Bölge.
Son birkaç ayda Bloomberg BusinessWeek ile birçok kez paylaştığımız gibi, bu doğru değil. Geçmişte veya günümüzde hiçbir zaman, herhangi bir Elemental veya Amazon sisteminde SuperMicro anakartlarda değiştirilmiş donanım veya kötü amaçlı yongalarla ilgili herhangi bir sorunla karşılaşmadık. Hükümetle de bir soruşturma yürütmedik.
Amazon ile ilgili olduğu için bu makalede o kadar çok yanlışlık var ki sayması zor. Biz burada bunlardan sadece birkaçına değineceğiz. İlk olarak, Amazon, Elemental'i satın almayı düşünürken, kendi işimizle ilgili birçok durum tespiti yaptık. güvenlik ekibi ve ayrıca bizim için bir güvenlik değerlendirmesi yapması için tek bir harici güvenlik şirketini görevlendirdi ilave olarak. Bu rapor, değiştirilmiş çipler veya donanımlarla ilgili herhangi bir sorun tanımlamadı. Bu denetimlerin çoğunda olduğu gibi, düzeltilmesi için önerilen bazı alanlar sundu ve satın alma kapanmadan önce tüm kritik sorunları düzelttik. Bu, görevlendirilen tek dış güvenlik raporuydu. Bloomberg, kabul edilen güvenlik raporumuzu veya başka bir raporu hiç görmedi (ve başka herhangi bir iddia edilen raporun ayrıntılarını bizimle paylaşmayı reddetti).
Makale ayrıca, Elemental sunucularında donanım değişiklikleri ve kötü amaçlı çipler öğrendikten sonra, ağ çapında bir SuperMicro anakart denetimi gerçekleştirdi ve bir Pekin verisindeki kötü amaçlı çipleri keşfetti merkez. Bu iddia da benzer şekilde doğru değildir. İlk ve en belirgin neden, Elemental sunucularında hiçbir zaman değiştirilmiş donanım veya kötü amaçlı çipler bulamamamızdır. Bunun dışında hiçbir veri merkezimizdeki sunucularda değiştirilmiş donanım veya kötü amaçlı çipler bulamadık. Ve SuperMicro sunuculardan kurtulmak istediğimiz için Çin'deki donanım ve veri merkezini ortağımız Sinnet'e sattığımız fikri çok saçma. Sinnet, Çin'de piyasaya sürüldüğümüzden beri bu veri merkezlerini işletiyordu, en başından beri bu veri merkezlerine ve sahip olduğumuz donanıma sahiptiler. Onlara "satılan", Çinli olmayan bulut sağlayıcılarının faaliyet göstermeye devam etmeleri için yeni Çin düzenlemeleri tarafından zorunlu kılınan bir varlık transferi anlaşmasıydı. Çin.
Amazon, tüm donanım ve yazılımları araştırarak tedarik zincirimizde sıkı güvenlik standartları uygular. üretime geçmeden ve dahili olarak ve tedarik zincirimizle düzenli güvenlik denetimleri gerçekleştirmeden önce ortaklar. İşlemciler, sunucular, depolama sistemleri ve ağ ekipmanı gibi kritik bileşenler için kendi donanım tasarımlarımızı uygulayarak güvenlik duruşumuzu daha da güçlendiriyoruz.
Güvenlik her zaman birinci önceliğimiz olacaktır. AWS'ye dünyanın en riske duyarlı kuruluşlarının çoğu tam olarak güvenmektedir, çünkü güvenliklerini her şeyden üstün tutma konusundaki bu sarsılmaz kararlılığı göstermekteyiz. Müşterilerimize yönelik potansiyel tehditler konusunda sürekli tetikteyiz ve tespit edildiklerinde bunları ele almak için hızlı ve kararlı adımlar atıyoruz.
– Steve Schmidt, Bilgi Güvenliği Baş Sorumlusu
Not: Bu gönderiyi ilk olarak 4 Ekim 2018'de Pasifik'te 05:52'de yayınladık. Apple ve Amazon'dan gelen ifadeleri içerecek şekilde güncelledik.