Tech News

Chinois d’espionnage de jetons serait un  » dieu-mode’ hack, disent les experts

Chinois coopératives aurait empoisonné les techniques de la chaîne d’approvisionnement des grandes entreprises américaines, y compris Apple et Amazon, par la plantation d’une puce électronique sur leurs serveurs fabriqués à l’étranger, selon Bloomberg rapport à aujourd’hui. L’histoire prétend que la puce, qui a été assemblé pour une société appelée Élémentaire par une société distincte appelée Super Micro Computer, serait de permettre à des attaquants de façon déguisée de modifier ces serveurs, contourner les logiciels de contrôles de sécurité, et, surtout, de donner le gouvernement Chinois complet de porte dérobée dans ces réseaux des entreprises.

Entreprises concernées sont vigoureusement contester le rapport, affirmant qu’ils n’ont jamais découvert la moindre matériel malveillant ou signalé des problèmes similaires pour le FBI. Même en prenant le Bloomberg rapport à sa parole, il y a d’importantes questions au sujet de la façon largement la puce a été distribué et comment la petite porte d’accès a été utilisé.

Mais la simple idée d’un malveillant de l’implant de la puce a déjà envoyé des ondes de choc dans le monde de la sécurité, qui a traditionnellement mis l’accent sur les attaques de logiciels. Nicolas Tisserand, professeur à Berkeley International Computer Science Institute décrit un taux alarmant de l’attaque. “Ma première réaction a été: « WOW PUTAIN de MERDE » [sic],” Tisserand dit Le Point. “C’est un « mode dieu » exploiter dans le système de gestion de la sous-système.”

Les experts en sécurité ont mis en garde depuis des années que le matériel de la chaîne d’approvisionnement est à risque, surtout en considérant que la Chine a un monopole sur les pièces et la fabrication. Jusqu’à maintenant, cependant, nous n’avons pas vu une attaque généralisée sur les entreprises américaines, comme Bloomberg affirme avoir trouvé. Il n’y a pas de véritable moyen de prévenir un matériel attaque de ce type, les sources dites – Le Point, à moins que le secteur des technologies, veut radicalement repenser la façon dont il obtient ses composants et apporte des produits sur le marché.

Katie Moussouris, fondateur et chef de la direction de Luta de Sécurité, dit un attaquant pourrait utiliser ce genre de malveillant de l’implant à ignorer tous les logiciels de protections, un scénario catastrophe pour les défenseurs. “Si vous parvenez à mettre quelque chose en place dans le matériel, non seulement il est difficile à détecter, il est aussi quelque chose qui peut contourner même les logiciels les plus sophistiqués des mesures de sécurité,” Moussouris dit Le Point.

Le résultat nécessite un tout nouveau type de défense, en remplacement de l’audit de code et les chasseurs de bugs avec des contrôles physiques des interférences au niveau du matériel. Jake Williams, le fondateur de transfert, Infosec, dit que ce serait une approche entièrement nouvelle pour les équipes de la sécurité. “Nous avons un plus gros problème fondamental,” Williams dit, “qui est que ce genre de choses est méchant difficile à détecter, et nous n’avons pas les outils pour le faire.”

À certains égards, les attaques emprunter des techniques de jailbreaking, la rupture de la chaîne de confiance entre le matériel et le logiciel au lieu d’attaquer le logiciel lui-même. George Hotz, le légendaire jailbreaker tourné vers l’auto-conduite-entrepreneur, était sceptique de la Bloomberg histoire, mais il a dit un succès de la chaîne d’approvisionnement attaque serait encore presque impossible de les atténuer avec les classiques outils de sécurité. “Si vous ne pouvez pas faire confiance à votre matériel, vous ne pouvez faire confiance à ce que les vérifications de matériel,” Hotz dit. “Fondamentalement, il n’existe aucun moyen de le vérifier dans le logiciel.”

Il est difficile de dire comment les entreprises comme Apple et Amazon pour s’adapter à ces nouveaux risques. Au niveau matériel, comportement étrange serait comme essayer de détecter un souffle au cœur. Il pourrait y avoir de petites anomalies de temps en temps, mais aucun n’entraînerait immédiatement l’alarme. Et les chercheurs à la recherche pour les bugs peut-être pas beaucoup d’aide, que ce soit. Même s’ils pouvaient obtenir ces pièces de Supermicro, par exemple, qu’ils avaient besoin d’assez d’argent et une offre suffisante pour l’exécution des tests. Une fois que vous crash ou d’endommager un morceau de matériel, il est impossible de recommencer, faire classique bug bounty difficile à mettre en œuvre.

Au lieu de cela, Moussouris dit de la chaîne d’approvisionnement risques sont une réalité que nous devons accepter. Les entreprises ont déjà fait leurs compromis; en échange de pièces bon marché, ils prennent de la chaîne d’approvisionnement de risque.

“Nous avons fait le choix d’externaliser le fabricant de beaucoup de composants afin d’être en mesure d’obtenir sur le marché et avoir un produit viable”, dit-elle. “Faire en sorte que nous comprenons que nous avons faite de ces compromis est la partie qui peut prendre les gens par surprise.”

About the author

Cyriac

Je suis Zeh Cyriac , fondateur et chef de la direction de la société informatique DROP Corporation Inc. et blogueur indépendant aux États-Unis, avec une passion pour l'Entrepreneuriat en ligne, le marketing de contenu et toutes les choses qui tournent au tour du digital et ’informatique .

Add Comment

Click here to post a comment

Newsletter

Les dernières nouvelles du Web, de la high-tech et de l'innovation numérique tous les matins à l'heure du petit déjeuner.

Vous avez parfaitement souscrit ! Consultez vos mails pour confirmer l'inscription .