Gadgets

Chinois puce d’espionnage montre le rapport de la chaîne d’approvisionnement, reste l’ultime faiblesse

Jeudi, l’ explosif par Bloomberg révèle des allégations détaillées que les Chinois militaire intégré de minuscules puces dans les serveurs, qui ont fait leur chemin dans des centres de données exploités par des dizaines de grandes entreprises des états-UNIS.

Nous avons couvert l’histoire antérieure, y compris les refus par Apple, Amazon et Supermicro — le serveur maker qui aurait été ciblé par le gouvernement Chinois. Apple n’a pas répondu à une demande de commentaire. Amazon a déclaré dans un billet de blog qu’il “emploie des normes de sécurité rigoureuses dans notre chaîne d’approvisionnement.” Le FBI n’a pas de retour une demande de commentaire, mais a refusé de Bloomberg, et le Bureau du Directeur du Renseignement National a refusé de commenter. C’est une histoire complexe qui repose sur plus d’une douzaine de sources anonymes — dont beaucoup sont partage classés ou des informations hautement sensibles, faire des commentaires impossible sans répercussions. Malgré les compagnies de refus, Bloomberg est de mettre sa foi en ce que le lecteur aura la confiance de la communication.

Une grande partie de l’histoire peut se résumer par cette ligne à partir d’un ancien responsable AMÉRICAIN: “Attaquer Supermicro cartes mères, c’est comme attaquer Windows. C’est comme attaquer le monde entier.”

C’est un juste point de. Supermicro est l’une des plus grandes entreprises de haute technologie que vous avez probablement jamais entendu parler. C’est un calcul supergéante basée à San Jose, Calif., avec global des opérations de fabrication à travers le monde — y compris la Chine, où il construit la plupart de ses cartes mères. Ces cartes mères filet dans le reste du monde de la tech — et ont été utilisés dans Amazon le centre de données de serveurs que de la puissance de son nuage Amazon Web Services et de l’iCloud d’Apple.

Un officiel du gouvernement parlant de Bloomberg a déclaré que la Chine dans le but à long terme de l’accès à la haute valeur de secrets d’entreprise et sensibles du gouvernement de réseaux”, qui s’inscrit dans le playbook de la Chine depuis des afin de voler la propriété intellectuelle.

“Pas de données sur les consommateurs est connu pour avoir été volé”, a dit Bloomberg.

Infiltrant Supermicro, si vrai, ont une longue durée d’effet d’entraînement sur l’ensemble de l’industrie des technologies et comment ils abordent leurs propres chaînes d’approvisionnement. Ne vous méprenez pas — introduire toute sorte de externe tech dans votre centre de données n’est pas pris à la légère par une société de haute technologie. La crainte de l’entreprise et de la tutelle de l’état d’espionnage a été monnaie courante depuis des années. Il est chef de l’une des raisons pourquoi les états-UNIS et l’Australie ont effectivement interdit, certains Chinois telecom géants comme ZTE — de l’exploitation de ses réseaux.

Avoir une partie essentielle de votre processus de fabrication infiltré de manière piraté — met chaque cru-à-être-sécurité d’approvisionnement de la chaîne en question.

Avec presque tous les consommateurs de l’électronique ou l’automobile, les fabricants ont à se procurer des différentes pièces et de composants provenant de diverses sources à travers le monde. S’assurer de l’intégrité de chaque composant est quasi impossible. Mais, car de nombreux composants sont produits à partir de ou assemblés en Chine, il est beaucoup plus facile pour Pékin que tous les autres pays à s’infiltrer sans que personne ne le remarque.

La grande question maintenant est de savoir comment sécuriser la chaîne d’approvisionnement?

Les entreprises ont depuis longtemps perçu de la chaîne d’approvisionnement menaces comme un facteur de risque majeur. Apple et Amazon sont en baisse de plus de 1 pour cent en début de jeudi de négociation et de Supermicro est en baisse de plus de 35 pour cent (au moment de l’écriture) à la suite de la news. Mais les entreprises sont bien conscients que les tirant vers l’extérieur de la Chine leur coûtera plus cher. Le travail et l’assemblage sont beaucoup moins cher en Chine, et spécialiste des pièces et des composants spécifiques ne peuvent souvent pas être trouvé ailleurs.

Au lieu de cela, le verrouillage de la chaîne d’approvisionnement actuelle est la seule option viable.

De sécurité géant CrowdStrike récemment constaté que la grande majorité — neuf des 10 entreprises — ont souffert de logiciels de la chaîne d’approvisionnement attaque, où un fournisseur ou un fabricant a été frappé par ransomware, entraînant un arrêt des opérations.

Mais pour protéger le matériel de la chaîne d’approvisionnement est une autre tâche, au total, au moins pour le défi logistique.

Plusieurs entreprises ont déjà identifié le risque de fabrication d’attaques et de prendre des mesures pour les atténuer. BlackBerry a été l’une des premières entreprises à introduire de la racine de confiance dans ses téléphones — une fonctionnalité de sécurité cryptographique signes les composants dans chaque appareil, ce qui empêche l’appareil de matériel de manipulation. Google nouveau Titan de la clé de sécurité tente de l’empêcher de fabrication au niveau des attaques par la cuisson dans le chiffrement dans le matériel de jetons avant que la clé est assemblé.

Mais au début, ce n’est pas un one-size-fits-all solution. Ancien de la NSA pirate Jake Williams, fondateur de « Restitution » Infosec, dit que même ceux du matériel de sécurité mesures d’atténuation peuvent ne pas avoir été suffisant pour le protéger contre les Chinois, si l’implantés les copeaux avaient accès direct à la mémoire.

“Ils peuvent modifier la mémoire directement après le démarrage sécurisé processus est terminé,” il a dit TechCrunch.

Certains ont même fait de blockchain comme une solution possible. Par cryptographique de signature comme dans la racine de confiance à chaque étape du processus de fabrication, blockchain peut être utilisé pour le suivi de marchandise, de puces et de composants tout au long de la chaîne.

Au lieu de cela, les fabricants ont souvent à agir de manière réactive et traiter les menaces dès qu’elles émergent.

Selon Bloomberg, “depuis le implantée puces ont été conçues pour ping anonyme des ordinateurs sur l’internet pour de plus amples instructions, les coopératives pouvait pirater les ordinateurs pour identifier d’autres personnes qui avaient été touchées.”

Williams a dit que le rapport souligne la nécessité pour le réseau de surveillance de la sécurité. “Alors que la moyenne de votre organisation ne dispose pas des ressources pour découvrir un matériel d’un implant (tels que ceux découverts à être utilisé par le [gouvernement Chinois]), ils peuvent voir des preuves d’attaques sur le réseau,” dit-il.

“Il est important de se rappeler que les malveillants puce n’est pas de la magie pour être utile, elle doit encore communiquer avec un serveur distant pour recevoir les commandes et d’en extraire les données,” dit-il. “C’est là que les chercheurs seront en mesure de découvrir un compromis.”

La communauté du renseignement est dit être toujours en train d’enquêter après avoir détecté pour la première fois, les Chinois d’espionnage de l’effort, de près de trois ans après avoir ouvert pour la première fois, une sonde. L’enquête est censée être classés — et aucun des responsables du renseignement AMÉRICAIN ont encore à parler sur le dossier — même pour apaiser les craintes.

About the author

Cyriac

Je suis Zeh Cyriac , fondateur et chef de la direction de la société informatique DROP Corporation Inc. et blogueur indépendant aux États-Unis, avec une passion pour l'Entrepreneuriat en ligne, le marketing de contenu et toutes les choses qui tournent au tour du digital et ’informatique .

Add Comment

Click here to post a comment

Newsletter

Les dernières nouvelles du Web, de la high-tech et de l'innovation numérique tous les matins à l'heure du petit déjeuner.

Vous avez parfaitement souscrit ! Consultez vos mails pour confirmer l'inscription .