Auditoria de hack do Super Micro não encontra chips espiões chineses

A Super Micro lançou um relatório de testes independente que não encontrou sinais de hardware malicioso em suas partes de computador, depois que um relatório amplamente divulgado afirmou que os servidores que usavam o hardware foram comprometidos por espiões chineses. As alegações foram contestadas por Amazon, Apple e mais, enquanto pesquisadores independentes de segurança também criticaram as acusações.

A controvérsia começou em outubro de 2018, quando um relatório da Bloomberg alegou que os serviços de inteligência chineses tinham conseguido comprometer os servidores usado por um número de empresas americanas de alto perfil. Esses espiões, de acordo com as acusações sugeridas, conseguiram instalar microchips para vigilância em placas-mãe Super Micro. Essas placas passaram a ser usadas pela Amazon para sua hospedagem AWS, a Apple por seus servidores em nuvem e muito mais.

Bloomberg citou "fontes governamentais e corporativas" para a informação, sugerindo que o hardware do servidor foi adulterado durante o processo de produção na China. As placas foram instaladas em servidores Super Micro Elemental. Eles não são usados ​​apenas por empresas comerciais, mas também por agências do governo dos EUA.

A resposta foi rápida. A Apple e a Amazon exigiram que o relatório fosse retirado, argumentando que não havia provas de qualquer adulteração de vigilância. A Super Micro seguiu uma carta aos seus clientes - publicada pela SEC - indicando que nem uma única placa-mãe modificada foi encontrada. Também explicou alguns dos processos de fabricação envolvidos.

“Seria virtualmente impossível para um terceiro, durante o processo de fabricação, instalar e alimentar um dispositivo de hardware que pudesse se comunicar efetivamente com nosso Controlador de Gerenciamento de Baseboard porque tal terceiro não teria conhecimento completo (conhecido como “conhecimento pin-to-pin”) do projeto ”, explicou a empresa. “Esses projetos são segredos comerciais protegidos pela Supermicro. O sistema é projetado de forma que nenhum funcionário, equipe única ou contratado da Supermicro tenha acesso irrestrito ao design completo da placa-mãe (incluindo hardware, software e firmware). ”

No entanto, ele passou a empreender uma investigação com um especialista terceirizado, apenas para ressaltar suas próprias práticas de segurança e fabricação. As conclusões desse relatório foram publicadas hoje. De fato, a Super Micro está comprando anúncios do Google AdWords que sinalizam a carta do presidente e diretor executivo Charles Liang quando você pesquisa o nome da empresa, junto com um vídeo explicando como a produção é gerenciada.

"Uma amostra representativa de nossas placas-mãe foi testada", escreve Liang, "incluindo o tipo específico de placa-mãe retratado no artigo e placas-mãe compradas por empresas referenciadas no artigo, bem como placas-mãe fabricadas mais recentemente. "

" Após uma análise completa e uma série de testes funcionais ", continua ele," a firma de investigações descobriu absolutamente nenhuma evidência de hardware malicioso em nossas placas-mãe. ”

Liang também descreve algumas das salvaguardas que a empresa empreende. Isso inclui ter funcionários da Super Micro no local de montagem, responsáveis ​​por realizar inspeções e testes, enquanto “nenhum funcionário, equipe ou contratado tem acesso irrestrito ao projeto completo da placa”. Cada placa é testada em cada etapa da cadeia de fornecimento. também, para detectar qualquer "aberração" para o que é esperado.

O que resta a ser visto é se a Bloomberg opta por retratar seu relatório, algo que ele teimosamente evitou fazer até agora.

Via: Slash Gear