Оновлення: Apple і Amazon у четвер опублікували довгі заяви щодо звинувачень китайських шпигунів. Ми оновили цю публікацію, включивши ці заяви.
Apple заперечує, що китайські шпигунські чіпи проникли на обладнання сервера iCloud після того, як стверджує, що материнські плати використовувані Apple, Amazon та десятками інших технологічних компаній, містять мікрочіпи, що використовуються для спостереження цілей.
Купертіно наполягає, що історія "неправильна та дезінформована". Apple також стверджує, що китайський шпигунство не має нічого спільного з рішенням компанії припинити зв'язки з постачальником.
Заява Apple йде після Bloomberg Businessweek у звіті з посиланням на 17 джерел стверджується, що Китай використав «крихітна фішка для проникнення у провідні американські компанії.”
У звіті сказано, що тисячі материнських плат сервера виробництва Super Micro містять шкідливі чіпи. Приблизно за розміром рисового зерна, китайські чіпси могли б дозволити шпигунам "отримувати доступ до цінних корпоративних секретів та чутливих урядових мереж".
Чіп, відкритий розслідуванням Amazon три роки тому, спровокував надсекретне розслідування, яке триває і сьогодні.
Підозрілий китайський чіп
Історія починається в 2015 році, коли Amazon почав оцінювати стартап під назвою Elemental Technologies. Amazon хотів придбання, яке б допомогло йому розширити Prime Video, свою послугу потокової передачі відео. Кілька великих компаній уже використовували технологію Elemental.
"Його технологія допомогла транслювати Олімпійські ігри в Інтернеті, спілкуватися з Міжнародною космічною станцією та передавати кадри з дронів Центральному розвідувальному управлінню", - пояснюється у звіті.
Частина процесу оцінки включала найм сторонніх компаній для перевірки безпеки Elemental, стверджує одне джерело. Незабаром ця компанія розкрила «тривожні проблеми». Це відкриття спонукало Amazon Web Services (AWS) придивитися до серверних продуктів Elemental.
Кілька серверів було відправлено до Онтаріо, Канада. Тестувальники виявили крихітний мікрочіп, який не входить в оригінальний дизайн материнської плати. "Amazon повідомив про відкриття владі США, що викликало здригання через розвідувальне співтовариство", - продовжується звіт.
Потаємне розслідування китайських шпигунських чіпів
Відкриття викликало великі турботи. Наприклад, Amazon, Apple та інші технологічні гіганти використовували сервери, виготовлені в Китаї компанією Super Micro. Що ще гірше, чіпи потрапили в апаратне забезпечення, яке використовується великим банком, Міністерством оборони, операціями безпілотників ЦРУ та ВМС.
І Super Micro не просто поставляла плати Elemental. Вона виробляла обладнання для сотень інших клієнтів.
Слідчі встановили, що чіп, встановлений на заводах, якими керують китайські субпідрядники, дозволив зловмисникам створити дверний отвір у приватні мережі. Цей метод виявився значно складнішим, ніж програмна атака-і потенційно набагато більш руйнівним.
Apple заперечує, що це вплинуло на апаратне забезпечення iCloud
Apple, величезний клієнт Super Micro, планувала замовити більше 30 000 своїх серверів протягом двох років. За словами трьох «старших інсайдерів», Apple також виявила шкідливий чіп влітку 2015 року. Наступного року Купертіно перервав зв'язки з компанією.
Apple оскаржує ці твердження.
«Apple глибоко розчарована тим, що у своїх стосунках з нами журналісти Bloomberg не були відкриті можливість того, що вони або їхні джерела можуть бути невірними або дезінформованими ", - йдеться у повідомленні компанії до AppleInsider на четвер. «Ми гадаємо, що вони плутають свою історію з інцидентом, про який повідомлялося раніше, коли ми виявили зараженого драйвера на одному сервері Super Micro в одній з наших лабораторій. Ця разова подія була визнана випадковою, а не цільовою атакою на Apple ».
"Смішна" претензія
Джерела всередині Apple, які залишаються безіменними зі зрозумілих причин, розповіли AppleInsider що твердження про широко розповсюджену атаку на Apple, таку як ця, є «смішними» і «дійсно, дуже помилковими».
Bloomberg Businessweek каже, що шість нинішніх і колишніх чиновників національної безпеки протистояли запереченням Apple та Amazon. "Один із цих чиновників та двоє людей у AWS надали обширну інформацію про те, як відбулася атака на Elemental та Amazon", - йдеться у сюжеті.
Загалом 17 осіб нібито підтвердили цю історію, включаючи трьох передбачуваних "інсайдерів" Apple.
The Bloomberg Businessweek Звіт стверджує, що розслідування нападу триває і сьогодні.
Заява Apple
Що Businessweek помилився з Apple
Випуск Bloomberg Businessweek від 8 жовтня 2018 року неправильно повідомляє, що Apple виявила "шкідливі чіпи" на серверах у своїй мережі у 2015 році. Як Apple неодноразово пояснювала журналістам та редакторам Bloomberg за останні 12 місяців, ці твердження не відповідають дійсності.
Apple опублікувала Bloomberg Businessweek наступну заяву:
Протягом минулого року Bloomberg неодноразово звертався до нас із заявами, часом неясними, а іноді детально розкритими, щодо нібито інциденту з безпекою в Apple. Кожного разу ми проводили ретельні внутрішні розслідування на основі їх запитів, і кожного разу не знаходили абсолютно жодних доказів на підтримку будь -якого з них. Ми неодноразово та послідовно пропонували фактичні відповіді, записані фактично, спростовуючи практично всі аспекти історії Bloomberg, що стосуються Apple.
У цьому ми можемо бути дуже чіткими: Apple ніколи не знаходила шкідливих чіпів, "апаратних маніпуляцій" або вразливостей, спеціально розміщених на будь -якому сервері. Apple ніколи не мала жодного контакту з ФБР чи будь -яким іншим агентством з приводу такого інциденту. Ми не знаємо про будь -яке розслідування ФБР, а також про наші контакти в правоохоронних органах.
У відповідь на останню версію оповіді Bloomberg ми наводимо такі факти: Siri та Topsy ніколи не мали спільних серверів; Siri ніколи не розгортався на серверах, проданих нам компанією Super Micro; і дані Topsy були обмежені приблизно 2000 серверами Super Micro, а не 7000. Жоден із цих серверів ніколи не виявляв шкідливих чіпів.
Практично, перш ніж сервери будуть запущені в Apple, їх перевіряють на наявність вразливостей безпеки, і ми оновлюємо всю прошивку та програмне забезпечення найновішими засобами захисту. Ми не виявили жодних незвичайних вразливостей на серверах, які ми придбали у Super Micro, коли ми оновлювали прошивку та програмне забезпечення відповідно до наших стандартних процедур.
Ми глибоко розчаровані тим, що у своїх стосунках з нами репортери Bloomberg не відкривали можливості того, що вони або їх джерела можуть бути неправими або неправильно поінформованими. Ми гадаємо, що вони плутають свою історію з інцидентом, про який повідомлялося раніше, коли ми виявили зараженого драйвера на одному сервері Super Micro в одній з наших лабораторій. Ця разова подія була визнана випадковою, а не цілеспрямованою атакою на Apple.
Хоча не було жодних претензій щодо залучення даних про клієнтів, ми сприймаємо ці твердження серйозно, і ми хочуть, щоб користувачі знали, що ми робимо все можливе для захисту особистої інформації, якій вони довіряють нас. Ми також хочемо, щоб вони знали, що те, що Bloomberg повідомляє про Apple, є неточним.
Apple завжди вірила у прозорість щодо способів поводження та захисту даних. Якби коли -небудь траплялася така подія, як стверджує Bloomberg News, ми б повідомили про це, і ми б тісно співпрацювали з правоохоронними органами. Інженери Apple регулярно і ретельно перевіряють безпеку, щоб гарантувати безпеку наших систем.
Ми знаємо, що безпека - це нескінченна гонка, і тому ми постійно зміцнюємо наші системи проти все більш складних хакерів та кіберзлочинців, які хочуть викрасти наші дані.
Опублікована історія Businessweek також стверджує, що Apple "повідомила про інцидент у ФБР, але зберігала подробиці про те, що вона виявила, жорстко зберігається, навіть внутрішньо". В У листопаді 2017 року, після того, як нам вперше було представлено це твердження, ми надали Bloomberg таку інформацію як частину тривалого та детального запису відповідь. Спочатку він звертається до необґрунтованих тверджень їхніх журналістів щодо передбачуваного внутрішнього розслідування:
Незважаючи на численні дискусії між кількома командами та організаціями, ніхто в Apple ніколи не чув про це розслідування. Businessweek відмовився надавати нам будь -яку інформацію для відстеження передбачуваних проваджень чи висновків. Вони також не продемонстрували розуміння стандартних процедур, які нібито обійшли.
Ніхто з Apple ніколи не звертався до ФБР з приводу подібного, і ми ніколи не чули від ФБР про таке розслідування - а тим більше намагалися його обмежити.
З'явившись сьогодні вранці на Bloomberg Television, репортер Джордан Робертсон зробив додаткові заяви щодо передбачуваного відкриття шкідливих чіпів, кажучи: «У випадку Apple, ми розуміємо, що це призвело до випадкової перевірки деяких проблемних серверів. виявлення ».
Як ми вже повідомляли Bloomberg, це абсолютно не відповідає дійсності. Apple ніколи не знаходила шкідливих чіпів на наших серверах.
Нарешті, у відповідь на запитання, які ми отримали від інших інформаційних організацій з моменту публікації журналу Businessweek, ми не підпадаємо під будь -які замовлення та інші зобов’язання щодо конфіденційності.
Заява Amazon
Встановлення рекорду щодо помилкової статті Bloomberg BusinessWeek
Сьогодні Bloomberg BusinessWeek опублікував історію, в якій стверджується, що AWS знала про змінене обладнання або шкідливі чіпи на материнських платах SuperMicro в Апаратне забезпечення Elemental Media на момент, коли Amazon придбала Elemental у 2015 році, і що Amazon знав про змінене обладнання чи чіпи в Китаї AWS Регіон.
Як ми повідомляли Bloomberg BusinessWeek кілька разів протягом останніх кількох місяців, це не відповідає дійсності. Жодного разу, в минулому чи теперішньому, ми ніколи не знаходили жодних проблем, пов'язаних із зміненим обладнанням або шкідливими чіпами на материнських платах SuperMicro в будь -яких системах Elemental або Amazon. Ми також не проводили розслідування з урядом.
У цій статті так багато неточностей, що стосуються Amazon, що їх важко порахувати. Ми назвемо тут лише деякі з них. По -перше, коли Amazon розглядала можливість придбання Elemental, ми провели багато ретельної перевірки з нашою власною команди безпеки, а також доручив окремій зовнішній охоронній компанії зробити для нас оцінку безпеки також. У цьому звіті не було виявлено жодних проблем із зміненими чіпами чи апаратним забезпеченням. Як це характерно для більшості таких аудитів, він пропонував усунути деякі рекомендовані області, і ми вирішили всі критичні проблеми до закриття закупівлі. Це був єдиний замовлений зовнішній звіт про безпеку. Справді, Bloomberg ніколи не бачив наш замовлений звіт про безпеку та будь -який інший (і відмовився передавати нам будь -які подробиці будь -якого передбачуваного іншого звіту).
У статті також стверджується, що, дізнавшись про апаратні модифікації та шкідливі чіпи на серверах Elemental, ми провела загальномережний аудит материнських плат SuperMicro та виявила шкідливі чіпи в пекінських даних центр. Це твердження так само не відповідає дійсності. Перша і найбільш очевидна причина полягає в тому, що ми ніколи не знаходили змінене обладнання або шкідливі чіпи на серверах Elemental. Крім того, ми ніколи не знаходили модифікованого обладнання або шкідливих чіпів на серверах у будь -якому з наших центрів обробки даних. І це уявлення про те, що ми продали обладнання та центр обробки даних у Китаї нашому партнерові Sinnet, тому що ми хотіли позбутися серверів SuperMicro, є абсурдним. Sinnet керував цими центрами обробки даних з моменту запуску в Китаї, їм від самого початку належали ці центри обробки даних, а ми - апаратне забезпечення «Продано» їм була угода про передачу активів, яка згідно з новими правилами Китаю передбачає, щоб некитайські хмарні провайдери продовжували працювати в Китай.
Amazon використовує жорсткі стандарти безпеки у нашому ланцюжку поставок - досліджує все обладнання та програмне забезпечення перед тим, як розпочати виробництво та проводити регулярні перевірки безпеки всередині та за допомогою нашого ланцюжка поставок партнери. Ми ще більше зміцнюємо нашу безпеку, впроваджуючи власні конструкції обладнання для критично важливих компонентів, таких як процесори, сервери, системи зберігання даних та мережеве обладнання.
Безпека завжди буде нашим головним пріоритетом. Багато з найбільш чутливих до ризику організацій світу довіряють AWS саме тому, що ми продемонстрували цю непохитну прихильність ставити свою безпеку понад усе. Ми постійно стежимо за потенційними загрозами для наших клієнтів і вживаємо швидких та рішучих заходів для їх усунення, коли вони виявляються.
- Стів Шмідт, головний директор з інформаційної безпеки
Примітка: Ми спочатку опублікували цей допис о 5:52 ранку 4 жовтня 2018 року в Тихому океані. Ми оновили його, включивши заяви від Apple та Amazon.
