超微:獨立調查未發現主板存在惡意硬件
責編:gltian |2018-12-17 11:11:20服務器制造商超微公司(Supermicro)敬告客戶,駁斥彭博社供應鏈攻擊指控,稱其針對主板供應鏈攻擊的調查并未發現任何攻擊證據。
12月11日,超微公司發布公開信,宣稱針對10月彭博社轟動性文章中指出的供應鏈攻擊指控,其引入第三方調查,卻未發現任何攻擊指征,無論是彭博社文章中提到的主板,還是最近產生的主板上均未發現被入侵的證據。
在致客戶的公開信中,超微斷言:
正如我們自該指控發布后反復聲明的一樣,沒有任何政府機構曾通告我們稱在我們的產品中發現了惡意硬件;沒有任何客戶告訴我們說在我們的產品中發現了惡意硬件;我們自己也從未在產品中發現過惡意硬件存在的任何證據。
公開信中還稱:今天的聲明應能消除對超微主板的不實指控。彭博社至今堅稱自己的文章沒錯,超微是否計劃對彭博社采取法律行動尚未可知。
彭博社10月初的文章宣稱超微公司在中國的制造工廠淪為了復雜供應鏈攻擊的受害者,其銷往蘋果和亞馬遜之類客戶的高端服務器均被植入惡意芯片。
該報道稱,超微的硬件被滲透,其服務器主板上被安裝了可以滲漏數據的微小芯片。該報道還引用了與政府官員和其他消息來源的訪談以支持該攻擊是中國情報機構所為的論調。
然而,報道一出,就有很多有識之士對其提出了質疑。11月,谷歌著名漏洞研究員塔維斯·奧迪曼就直指彭博社,令其要么拿出證據支持自己的論點,要么撤回那篇文章。
距離彭博社關于超微芯片的文章發布,已經過去了1個月,卻依然沒有任何解釋或撤回。我猜我們是看不到他們做出正確的動作了,此后我們大概都得忍受那些無稽之談被無數次引用了吧。真是有趣。
——谷歌安全研究員 塔維斯·奧曼迪 (@taviso) 2018年11月6日
彭博社指稱超微服務器上裝了中國間諜芯片的事已經過去兩周了。但根本沒有任何證據證明此事為真。所有公司都很憤怒地向國會否認了此事。包括特朗普政府網絡安全協調員羅布·喬伊斯在內的美國高級情報官員也駁斥了彭博社的報道。
——SwiftOnSecurity (@SwiftOnSecurity)2018年10月19日
同時,獨立安全記者布萊恩·克雷布斯表示,他在彭博社的報道刊出幾個月前就得知了所謂主板被篡改一事,但他缺乏足以支撐該指控的證據。
我幾個月前就聽說了此事,但并沒有足夠的消息來源加以證實。二手報道中最難的就是證實了。
——安全博主 布萊恩·克雷布斯(@briankrebs) 2018年10月5日
在公開信中,超微公司重申了其保護產品完整性與可靠性的制造過程:
- 制造過程中每一步都進行了測試。整個過程中每塊主板的每一層都經受了測試。
- 超微員工必須在組裝現場,執行多項檢查,包括自動化光學、視覺、電氣和功能測試。
- 超微主板設計的復雜性也提供了額外的安全保障。整個供應鏈中,每塊主板都要對照設計進行反復測試,檢查是否偏離原始設計,任何不匹配設計的主板都不會被接受。
- 為防篡改,任何員工、團隊或承包商都接觸不到完整的主板設計。
- 定期對承包商的過程、品質和控制進行審計。
超微高管的公開信:
https://www.supermicro.com/en/news/CEO-3rdPartySecurity-Update