Názory k článku
Supermicro: audit v našich serverech štěnice nepotvrdil
-
PetebLazar (neregistrovaný)
Otázkou je kdy by funkce takového škodlivého chipu(modifikace) vůbec byla aktivní, může to například čekat na splnění určitých podmínek. Co se týká odhalení skryté komunikace, nemusí být dáno jen vlastním datovým obsahem, ale i způsobem přenosu bežného datového provozu.
Například zakódováním prozrazovaného obsahu (který může být relativně malý) do časové posloupnosti odesílání běžných packetů, změny nepodstatných atributů či průběžnými změnami segmentace packetů. Z odchyceného obsahu venku na cestě (například zachyceného na "spřátelených" prvcích síťové infrastruktury) pak útočník může zpětně dekódovat obsah (kritické stroje budou vetšinou kvalitně připojeny, takže podíl latenčního "šumu" daného okamžitým vytížením sítě může být relativně malý). Mám obavu, že na toto by asi žádný současný deteční mechanismus nezabral.
-
Sinuhet (neregistrovaný)
Zdá se mi, že máte fakt malou představivost.
Ta malá mrcha může umět spoustu zajímavých věcí. Tím, že nevíme vůbec nic o tom, co to bylo, kam a čím to bylo připojeno, můžeme jen fantazírovat, ale to dává netušené možnosti.Ta mrška mohla klidně zasahovat do paměti a měnit tak software zevnitř nebo generovat nedatový provoz. Při dostatečné penetraci, kdy by tahle mrška byla na všech síťových prvcích, lze předpokládat, že by ani datový provoz žádný firewall neukázal, protože by mu to HW zatajil.
Těch možností je bambilion, a protože toho víme asi tak jako o UFO, úplně stejně o tom můžeme spekulovat. Ostatně on ten Management Engine, respektive další takové od jiných výrobců, taky umí spoustu kouzel, ale bohatě by stačil cinknutý firmware v iLO a pod.
-
LDASCZ (neregistrovaný)
Koukni se: https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies
Kdyby takové čipy byli o takové velikosti tak technologický skok by byl jistě větší než doposud. Takový čip nemůže počítat a zároveň odesílat data a i přijímat a ještě k tomu za zády čipu, za zády os, za zadá biosu.... Jooooo ty pi** je to možný přece! Je to v mission impossible a v Bondovi!! -
Tahle blbůstka má vyjma procesoru a paměti také A/D převodník, D/A převodník, komparátory, časovače, interface pro touch screen, SPI/I2C/USART a pár dalších věcí.
https://www.microchip.com/wwwproducts/en/ATTINY1616Tady můžete vidět Tiny85 jako emulátor několika RFID karet. Jsou použité jen dva piny, ani jeden není napájení nebo země :)
https://trmm.net/AVR_RFIDPodotýkám že jde o sériově vyráběné programovatelné čipy, které obsahují spoustu pro daný účel zbytečného HW. Pokud jde o velikost, tak jednoduché čipy jsou poměrně malé, řádově čtvereční milimetry. Ten "velký" plastový obal s piny je potřeba jen proto, aby se daly snadno připevnit na desku plošných spojů bez nutnosti použití mikroskopu :). Pro ilustraci:
https://i.stack.imgur.com/QIT0V.png
https://i.stack.imgur.com/whWVa.jpgOdbočka: Intel x64 CPU je složitý a velký "jako mamut", má cca 100-300 mm2. Ovšem většina z toho je cache. AMD Zen má samotná jádra o velikosti 7 mm2, celé čipy (jádra + cache + memory controller + PCIe + SATA + USB...) mají velikost srovnatelnou s Intelem.
https://en.wikichip.org/wiki/amd/microarchitectures/zen#DieTohle je 4 roky stará kamera s elektronikou, průměr 1.5mm.
https://3c1703fe8d.site.internapcdn.net/newman/gfx/news/hires/2014/1-singlechipde.jpgNavíc takový čip vůbec nepotřebuje sám komunikovat s vnějším světem. Motherboard je plný různých zařízení, a spousta z nich je programovatelná. Koukněte se jen na hacking IME. Takových možností je spousta.
https://en.wikipedia.org/wiki/Intel_Management_Engine#Ring_−3_rootkitTakže můj závěr? Není to nic nemožného, jen je to zatraceně náročné.
Že audit problém nenašel? To je možné. Jenže se nezabývali konkrétními infikovanými kusy HW. Když dojde ke kompromitaci výrobního procesu, tak přece není nutné infikovaný každý kus HW. Naopak pokud se povede nasměrovat modifikovaný HW jen vybraným odběratelům, je to velká výhra.
-
Cabrón (neregistrovaný)
> jednoduché čipy jsou poměrně malé, řádově čtvereční milimetry
A to jen proto, že se obvykle syntetizují "velkou" technologií (typicky i jednotky µm). Když se to udělá relativně moderní technologií (40 nm), máte celý ARM Cortex M23 na *jedné setině čtverečního milimetru*. Komerčně vyráběné Cortexy A (na kterých se běžně provozuje Linux) jsou mezi 0.5 a 1.0 mm².
-
PetebLazar (neregistrovaný)
Mávnutí ruky je to nejhorší co by se mohlo stát. Ne kvůli Supermicro, ale obecně. I kdyby splnili vše co deklarují tak první doplňkový obvod (například NIC třetího dodavatele) se škodlivou funkcionalitou může diskreditovat server jako celek.
Vzhledem k dnešnímu pravidlu, že se vybírá nejlevnější řešení se to vše jenom usnadňuje. Stačí nabídnout své řešení za dumpingovou cenu a cíl si jej od Vás rád pořídí. Chcete dostat do státní správy "své řešení", nabídněte jej za extrémně nízkou cenu zajišťující jednoznačné vítězství ve veřejné soutěži. Nahoře si pak mohou gratulovat kolik to zase ušetřili. Vzhledem k centralizaci nákupů se pak o to snadněji výkrývá zájmová oblast.
-
LDASCZ (neregistrovaný)
Asi nějak takhle: https://i.iinfo.cz/images/53/bloomberg-cip-mince.jpg
Je to sepsané zde: https://www.root.cz/clanky/cinane-infikovali-pri-vyrobe-servery-supermicro-miniaturni-stenici/
Už jenom podle fotek a popisu médií je to prostě hovadina.... -
LDASCZ (neregistrovaný)
Víc ti spíš řekne tenhle obrázek na začátku článku: https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies
Je tam i zakroužkovanej ten čip.... Prostě ta hovadina přímo z toho křičí...
-
ITFUN (neregistrovaný)
najhoršia štenica na doske je predsa INTEL CPU s INTEL MANAGEMENT ENGINE! Žiadne ďaľšie netreba :-). Ale ináč tí, ktorí tvrdia, že čip tretej strany s chybným návrhom môže zdiskreditovať celý server - majú pravdu.
Mňa len zaujíma to, že BLOOMBERG - ktorý je dosť schopný spravodajský server - si stojí za svojím a článok je vždy ešte verejne dostupný. Pozrite sa, ak by tá štenica aj existovala, kto by si to priznal? Veď Amazon by v momente sa stal nedôveryhodným a stratili by veľa zákazníkov. Možno tá štenica je hoax, možno nie. Ale pozrite sa čo sa deje v Huawei, keď tú čínsku pipku zatkli, lebo údajne Huawei porušuje Iránske sankcie a ich 5G riešenie umožňuje špehovať.
Lebo US AMD, INTEL a UK ARM sú úplne 100% OK v tomto smere všakže? Podľa mňa tu ide o to, že mnoho mocných ľudí z USA si nepraje globalizáciu na čele s Čínou. Tá štenica je len špičkou ľadovca. -
Prečo mi to pripomína výroky rozhodcu amerického futbalu, pri preskúmaní situácie na videu. Toto vyzerá ns bod 2.
1. "is confirmed" - na videu bol dôkaz, že sa situácia stála presne tak, ako zahlásil rozhodca pôvodne
2. "stands as called" - na videu nebol ani dôkaz o tom, že mal rozhodca pravdu, ani dôkaz, že sa mýlil, teda jeho chyba sa nepotvrdila.
3. "is changed" na videu je dôkaz, že s rozhodca pomýlil...?
-
To je možné, ale práve práva taká komplexnosť je
1. na škodu pri bežných veciach
2. výhodou pri skúmaní niečoho nového napr. asi bz sa nikdy neprišlo na
Linux in mixed-criticality systems
[LWN subscriber-only content]
By Jonathan Corbet
December 13, 2018
https://lwn.net/Articles/774217/Bohužial link predplateiteľa, ktorý pošle priateľom, aby videli článok skôr ako 10 dní po vydaní nemôže ísť do verejných diskusií...
-
PetebLazar (neregistrovaný)
A oni věděli, které modely a přesná sériová čísla výrobků jež mají být údajně kompromitované? Nejsem si jist, zda jim tyto informace byly dostupné.
I když je pravděpodobnost relativně malá, dopady případného úspěchu v širším měřítku jsou značné. Náklady na útok tohoto typu mohou být někde v řádu desítek mil$ (včetně případných úplatků zainteresovaným), což jsou v rozpočtech tajných služeb/armád velkých států vetší drobné. Nemusí jít jen o težení informací (špionáž vojenskou/průmyslovou), ale o i možnost ochromení infrastruktury protivníka bez jediného výstřelu. Příklady o účinnosti takévých postupů z minulosti tu asi již máme (Stuxnet).
-
Unknown (neregistrovaný)
....a proto jsou knihkupectvi plna Dana Browna ci "Alternativni historie". Lide si tim kupuji alibi pro svou pasivitu ve verejne sfere:
" Tato, dneska jsou ty volby, pujdem tam?"
"At te to ani nenapadne Mamo! Vsechno je stejne to predem dohodnuty, prece jim u toho nebudem delat stafaz. Podej mi radsi z lednice jeste jednoho lahvace......" -
Unknown (neregistrovaný)
"Nahnat volit lidi které to nezajímá je super nápad, speciálně pokud si někdo vykalkuluje že je hezky na poslední chvilku zpracuje aktuální mainsteam"
Zkusenosti ze zemi kde jsou volby povinne nic takoveho nenaznacuji. Mate to nejak podlozene nebo sirite dezinformace?
Navic tuhle sanci maji teoreticky vsichni politicti hraci, takze by to bylo demokraticke ;-) -
null null (neregistrovaný)
@Unknown
Myslím si to na základě toho, že lidé kteří nejdou k volbám tak činí z určitého důvodu a řekl bych hlavně ze dvou důvodů: protože je to nezajímá nebo si nemají koho vybrat. Tedy, pokud je tam někdo nažene, tak si budou muset vybrat a pravděpodobně tak část, nebo velká část, učiní podle poslední nabídky bez nějakého dlouhodobého "výběru". Každý kdo má trochu rozumu a nějaké aspoň průměrné IQ ví moc dobe jak se rozhoduje člověk který si musí vybrat navzdoruy tomu že vlastně vůbec nechce.
Vede mě k tomu také to jak se na to některé eurohujerní strany a jedinci třesou - kdyby si mysleli že to přinese hlasy někomu jako Okamura, pomlouvali by to jako referendum - které ale najednou už není pro osvícené voliče .... zajímavé.Demokracie je o způsobu výběru - hlasováním, resp. volbou chceš-li. To co vede k té šanci uspět ve volbách je něco úplně jiného a podstatné části tohoto se říká kampaň - jiný princip, jiná kritéria a jiný důvod, jiné metody - proto jsem mluvil o mainstreamu - to už nemá s demokraciií nic společného.
Zkušenosti ze kterých zemí to nenaznačují a na základě jakých podkladů?
-
Unknown (neregistrovaný)
"Myslím si to na základě toho, že lidé kteří nejdou k volbám tak činí z určitého důvodu a řekl bych hlavně ze dvou důvodů: protože je to nezajímá nebo si nemají koho vybrat. Tedy, pokud je tam někdo nažene, tak si budou muset vybrat a pravděpodobně tak část, nebo velká část, učiní podle poslední nabídky bez nějakého dlouhodobého "výběru". Každý kdo má trochu rozumu a nějaké aspoň průměrné IQ ví moc dobe jak se rozhoduje člověk který si musí vybrat navzdoruy tomu že vlastně vůbec nechce.
Vede mě k tomu také to jak se na to některé eurohujerní strany a jedinci třesou - kdyby si mysleli že to přinese hlasy někomu jako Okamura, pomlouvali by to jako referendum - které ale najednou už není pro osvícené voliče .... zajímavé."Diky za fundovane sociologicko/politologicke okenko.
"Demokracie je o způsobu výběru - hlasováním, resp. volbou chceš-li. To co vede k té šanci uspět ve volbách je něco úplně jiného a podstatné části tohoto se říká kampaň - jiný princip, jiná kritéria a jiný důvod, jiné metody - proto jsem mluvil o mainstreamu - to už nemá s demokraciií nic společného."
Demokracie je hlavne o vychove a vzdelavani. Nevzdelany volic se mene orientuje v mlze kampane a hure dokaze rozpoznavat populismus.
"Zkušenosti ze kterých zemí to nenaznačují"
Treba Belgie, Australie ci Singapur, ovsem neni to cernobile, nekde je to pod sankcemi a jinde ne, kazda zeme to ma nastaveno trosku jinak.
-
null null (neregistrovaný)
@Unknown
Nemáš zač. Ocěňuji že když nevíš, tak se nebojíš zeptat a slušně poděkuješ. Když vyndáš nos z brožury a začneš si vsímat dění okolo, tedy ve všech směrech, časem ti to taky dojde ...
Demokracie je o způsobu hlasování. Kromě toho že v podstatě obsahuje už název a taky definice [1] která o výchově a vzdělání nic neříká. O výchově a vzdělání je hlavně indokktrinace a propaganda, proto si ji taky usurpují režimy čím horší tím více - a smutné je že moderní EU už si bez toho taky nedokáže výchovu představit, samozejmě vrchní novomarističtí ideologové taky ne. Jak jinak. Je zajímavé že svobodní lidé jaksi bez pořádné indoktrinační dogmatické přípravy výhody EU jaksi neoceňují .... čím to asi bude ...
Pak je tu ještě otázka co je nevdělaný volič. Řekl bych že vzdělání máme v ČR slušné, ovšem evideentně ne to správně politické. On ten populismus je ošemetné slovíko - stačí jenom vyslyšet přání voličů/občanů které establishment slyšet nechce a už jsi tam ... To je celkově problém nadužívání techto nálepek mainstreamem. Nejdříve funguje, jenomže pak až jsou populisti všichni kdo "nehrají basu", pak už to přestává na málo (politicky) "vzdělané" fungovat. Samozřejmě dobře připravení jedinci odolávají ....No země jsi sice nějaké vyjmenoval, ještě i Švýcarsko by tam myslím patřilo*, ale proč konkrétně je to dobře a jak je to jaksi změřeno nebo vyjádřeno - ten přínos - to jsme se nedozvěděli a počítám jak tě znám že kromě slov o "nezpochybnitelné pravdě" se nic ani nedozvíme ...
* Tuším že jsi ho vynechal protože mají to referendum a to se do této debaty nehodí. S těmi klapkami na očích bývá problém - hezky se jede v před, ale pouze do první/druhé křižovatky ....
[1] https://cs.wikipedia.org/wiki/Demokracie#Definice_a_charakter
-
Unknown (neregistrovaný)
Snuska zpochybnujicich a nicnerikajicich blabolu co nestoji za komentar. Fakt tam neni ani jeden, kdyz nepocitam blabol s povinnymi volbami ve Svycarsku (ta povinnost je tam jen v jednom jedinem malinkem kantonu o 40000 obyvatelich jmenem Safhusy).
Je videt ze jste se v zivote nenechal moc "indoktrinovat" ;-)
-
null null (neregistrovaný)
@Unknown
Vtipné, když se podívám zpět tak nic jiného než "Snuska zpochybnujicich a nicnerikajicich blabolu" je pesný popis tvých příspěvků. Počítám že skutečný důvod bude spíš to že jsem ti doložil tvůj omyl s demokracii a indokrinaci skutečným linkem a dokonce bych mohl chtít odpověď na otázku k tvému moudru:
" ... proč konkrétně je to dobře (povinná vol. účast) a jak je to jaksi změřeno nebo vyjádřeno - ten přínos - to jsme se nedozvěděli a počítám jak tě znám že kromě slov o "nezpochybnitelné pravdě" se nic ani nedozvíme ... "
No je vidět že jsem počítal dobře ...
-
null null (neregistrovaný)
@Unknown
PS: Mohl bys mi z tohoto vlákna uvést jediný fakt který jsi uvedl a který se vyslovuje k něčemu z toho o čem byla řeč kromě tří zemí [1] což byla poloviční odpověď ještě s relativizačním dovětkem?
[1]"Treba Belgie, Australie ci Singapur, ovsem neni to cernobile, nekde je to pod sankcemi a jinde ne, kazda zeme to ma nastaveno trosku jinak."
-
Unknown (neregistrovaný)
"proč konkrétně je to dobře (povinná vol. účast) a jak je to jaksi změřeno nebo vyjádřeno"
Nerekl jsem ze "je to dobre", jen ze nemame (ze zemi kde to provozuji) zadne zpravy o tom ze je to spatne. Ja to vubec nechtel resit, je to otazka pro politology a rozhodne to neni binarni hodnota. Do techto koncin jste odbocil vy kdyz jsem zminil ze jednim z duvodu pro oblibu konspiraci a "alternaci" se mi zda byt i to ze poskytuje lidem aliby pro neucast na verejnem zivote (jako priklad jsem uvedl volby). Z toho vy jste si dovodil ze prosazuji povinnou volebni ucast a prohlasil jste ze vam to nepridje dobre.
Volby nechapu jako e-shop kde si bud neco vyberu a koupim nebo nevyberu a nekoupim. Volby jsou resenim problemu "smerovani statu v dalsich 4 letech" pricemz nevybrat si z nabidky neni resenim.
-
Trident (neregistrovaný)
No u mne vetsinou jsou jine duvody:
- protoze nemam jak volit ze zahranici, pripadne to pro mne znamena vice 200km cesty nekam na ambasadu a ztrata 2-3 dni. Cesty mam vetsinou naplanovane daleko dopredu pred tim nez se volby vyhlasi a nehodlam se volbami omezovat. Sluzebky navic mohou byt planovany pomerne rychle - cca 1-2 mesice dopredu. Takhle uz jsem prosvihl 6x volby na ktere jsem jit chtel.
- Kamoska ma ten samy problem. Bydli daleko od londyna a jet s novorozenetem volit tam a zpatky je znacne dementni predpoklad. Ambasady nejsou vsude.
- Nejsem padly na hlavu abych ze subantarkticke oblasti letel zpatky do chile nebo argentiny volit. Pripadne abych letel pres polovinu australie do Sydney. Tak moc vam tu politiku zas nezeru. Toto je ale predstava nasich uredniku ze se volit da i ze zahranici.
-
Unknown (neregistrovaný)
"nemam jak volit ze zahranici"
Mate pravdu, ze nelze volit ze zahranici korespondecne neni uplne spravedlive. Co vim, tak od Listopadu prichazela zmena volebniho zakona v tomto smyslu opakovane na pretres ve snemovne, ale vzdy to zamazla levicova strana spektra protoze je obecne znamo ze diaspora voli (z ceske perspektivy) spise doprava a tudiz by je to znevyhodnilo.
-
Karel (neregistrovaný)
@ Nick Sekáč Magor
Tak to bohužel je:
"Mařka, koho jsi volila?"
"No toho, jak se o něm teď furt mluví."
"Okamuru?"
"Ne, toho druhýho."
"Sobotku?"
"Kdo je to?"
"Tak Babiše?"
"Jo, toho!"
"Ale vždyť to je ta největší *****, jak jsi ho mohla volit, když na něj všichni nadávají a tahají na něj špínu? Vždyť je to na Slovensku potvrzený estébák?!"
"Vždyť je to všechno stejná pakáž, tak je to jedno. A že na něj lidi nadávají, tak to jen znamená, že to dělá dobře a někomu šlape na kuří oka! Tak to má být!"
"Aha, tak jestli kvalita politika je úměrná tomu, jak moc lidi nadávají, tak to je naším nejlepším polistopadovým politikem Míra Kalousek!"
"A to je kdo ten Kalousek?" -
null null (neregistrovaný)
@bez přezdívky
A to vycházíš z něčeho konkrétního nebo jenom ostatní soudíš podle sebe?
Ale pořád jsme u toho, pořád se nám to vrací: Kdo a na základě čeho rozhoduje co je dezinformace? Z historie víme že to není tak jednoduché a jednoznačné jak by se od různých mudrlantů mohlo zdát ...
-
Unknown (neregistrovaný)
"Kdo a na základě čeho rozhoduje co je dezinformace?"
To si musi kazdy pomoci kritickeho mysleni rozhodnout sam.
Ladislava Bittmana, ktery dvacet let prednasel o tvorbe dezinformaci na Bostonske univerzite se uz nezeptame protoze letos v zari zemrel, ale nepochybne mame i jine kapacity v tomto oboru.
-
null null (neregistrovaný)
@Unknown
Každý kdo kriticky přemýšlí ví, že se občas něco zfušuje, zapomene, zaoblí a nebo taky ne,občas se objeví nové skutečnosti, nějaký jiný zvrat nebo taky ne - takže každý kdo kritický přemýšlí se vyhýbá rychlým soudům a konečným závěrům o dezinformacích na druhý den, obzvláště na základě zprostředkovaných informací ať má zdroj v hlavičce "důvěryhodný" napsané kolikrát chce ...
-
Unknown (neregistrovaný)
"takže každý kdo kritický přemýšlí se vyhýbá rychlým soudům a konečným závěrům o dezinformacích na druhý den"
Zajimave je ze "alternativni" weby mely napriklad o tom, co se delo na Sivestra 2015 na nadrazi v Koline na Rynem, jasno hned druhy den (v Patek, na Novy rok) a "nealternativni" media byla zhusta osocovana ze "zamlcovani" ci "utajovani" kdyz cekala do pondelka 4.1. na vyjadreni vedeni policie.
"ať má zdroj v hlavičce "důvěryhodný" napsané kolikrát chce"
Nepletete si duveryhodnost se slepou virou?
-
Technik Tom (neregistrovaný)
Podle názorů některých zdejších přispěvatelů, jsou výrobci procesorů a paměťových modulů úplní diletanti, když tyto vyrábí s bambilionem nožiček - vývodů, když na vše stačí těch 6 na tom vpašovaném čipu.
Podle některých pro přímý přístup do paměti, síťový provoz atd. A navíc to můžete plácnout kamkoliv na desku, protože výrobce ji navrhnul a nechal vyrobit tak, že je tam spousta míst, kde s všechny tyhle signály sejdou na jednom místě a s vhodným rozložením vývodů. -
Ak to placnes nad PCIe x1 linku, tak ti staci 6 noziciek (vratane napajania) a mas v tom vsetko, od napajania, pristupu do pamate, moznost nieco poslat na sietovku, pripadne na disk (NVMe). Vselico sa da vymysliet, hlavne ak existuje motivacia a su k dispozicii prostriedky, co by v tomto pripade nebol problem. A velkost 1mm^2 nie je ziadne problem, do toho sa da napchat neuveritelne vela funkcionality.
ČLÁNKY DO MAILU
