Bloomberg: Kínai extra (kém)chipet találtak amerikai TOP vállalatok által használt szerver alaplapokon

 ( trey | 2018. október 5., péntek - 8:43 )

A Bloomberg szerint amerikai TOP vállalatok - beleértve Apple, Amazon stb. - által használt szerver alaplapokon extra kínai chip-et találtak, amit akár kémkedéssel is összefüggésbe lehet hozni. Az Apple, Amazon tagadja, hogy ilyen chipet találtak volna.

Részletek itt és itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nem ez az első eset, hogy zörög a haraszt:

https://hup.hu/cikkek/20170224/az_apple_szakitott_a_szerverei_egy_reszet_szallito_supermicro-val_miutan_allitolag_malware_fertozott_firmware

Mondjuk akkor még firmware-ről volt szó, de ez lehet simán az informátor pontatlansága is. Az meg, hogy tagadják? Ki a faszom ismerné el, hogy a kínaiak úgy átbaszták az egész országot, mint szart a palánkon? Ez akár nemzetbiztonsági vonatkozású is lehet, akkor meg meg van mondva központilag, hogy mit kell kommunikálni: "nincs itt semmi látnivaló".

--
trey @ gépház

Gondolom ez a kínai válasz az Intel ME-re is hasonló amcsi húzásokra.
Talán korábban kellett volna gondolkozni, mielőtt kiszervezték az utolsó gyárat is Kínába.


Normális HUP-ot használok!

+1

Az Amazon tagad, de hát mi mást is tehetne, ebből csak szarul jöhet ki.
https://aws.amazon.com/cn/blogs/security/setting-the-record-straight-on-bloomberg-businessweeks-erroneous-article/

Rögtön az első mondattal megnyertek maguknak.
"The October 8, 2018 issue of Bloomberg Businessweek incorrectly reports that Apple found “malicious chips” in servers on its network in 2015."

Bár az is meglehet a jövőből írták ezt a közleményt.

Vagy a Bloomberg kiadta a 8-i kiadást pár nappal korábban?

Pedig teljesen korrekt így a közlemény. Tényleg nem almáék találták meg a chipet és nem az akkor megjelenő újságban derül ki. Nem hazudott senki semmit. :P

Talán titokban még egy jövőbe látó kínai kvantum hálózati chipet is beleszereltek az Alma szerverekbe a kínaiak. :-)

Na és akkor a Made is China iPhone-okban milyen meglepetések lehetnek? Ha hazavinné a gyártást az Apple 1 millió felett lenne egyetlen iPhone ára, Macbook meg valahol 5 milliónál kezdődne a jelenlegi almás profitráta mellett. Annyit már a legelvakultabb Apple rajongók sem csengetnének ki.


Normális HUP-ot használok!

miért érzem azt, hogy a végén ez is csak az apple hibája lesz? :D

> "No consumer data is known to have been stolen"
cute.

"A banki páncélajtókat gyártó cég egy speciális spray alkalmazásával lehetővé tette, hogy egy fingra kinyíljanak az ajtók és kiválasztott széfek tartalma kézbesítésre kerüljön a megadott címre. Egyetlen nagymama-gyűrűje sem tűnt el az állítólagos incidens során"

honnan idéztél, mert gugli nem dobja ki?
--

A páncélajtós sprére gondoltam :)
--

bele sem merek gondolni, hogy a sok "óccó" (meg a drágább) kínai telefon mit tudhat, amit szétszórtak a világban, az emberek meg veszik, mint a cukrot...
--
www.haiku-os.org

annyira unalmas már ez a kínaizás

Na erről még nem hallottam. De ettől föggetlenül teljesen biztos voltam benne, hogy a TP-Link kémkedik.

Eddig is minden biztonságra kicsit is adó közepesen képzett felhasználó azzal kezdte, hogy kicsomi után OpenWRT-t telepített a TP-Link routerére. A firmware legendásan lyukas ennél a gyártónál. Viszont nagyon jó vasat ad kedvező áron. Ráadásul nagyon egyszerűen lehet OpenWRT-t telepíteni a TP-Linkekre.


Normális HUP-ot használok!

Aki nem OpenWrt-vel használja, meg is érdemli!

Ha jól emlékszem, az NSA csinált hasonlót, nem csak a kínaiak. És biztos vagyok benne, hogy a többi állam is, így vagy úgy, de hasonló információ szerzésre törekedik. Egyik sem szent, legfeljebb kevésbé feltűnően csinálják, mint a kínaiak.
--
www.haiku-os.org

Attól függ milyen lehetőségei vannak egy államnak. Az EU-rópai államokban már bőven több mint egy évtizede sikerült felszámolni az utolsó IT gyártósort is. Ha ajtót mutatnának Európában az kínai és amerikai cégeknek akkor úgy a Commodore Amiga szintjén lehetne újraindítani a "hazai" európai gyártást. Vagy még ott sem. Lehetne felhozni az írógépeket a raktárakból ha egyáltalán volt olyan előrelátó valaki, hogy eltegye ezeket. Titkárnők egy csöppet ingerültek lennének az irodákban.


Normális HUP-ot használok!

"IT gyártósort"
Péklapátot mindenkinek aki az ájtí blődséget meri használni bármire is.. blaaah

Mintha az NSA nem rakta volna tele a Cisco cuccokat backdoor-ral, csak nekik még mindig jobb a marketingjük.
Az az igazság, hogy mindegy hogy Apple, vagy Xiaomi nem tudhatjuk 100%-ra hogy nincs-e benne backdoor.
A legbiztonságosabb ha lecseréljük a gyári software-eket valami free-re pl. OpenWrt, LineageOs, GNU/Linux de ez se nyújt 100%-ot.

"A legbiztonságosabb ha lecseréljük a gyári software-eket valami free-re "

iPhone esetén ehhez sok sikert.

Mondjuk, jól működő hardveres backdoor esetén az OS lecserélése sem feltétlen megoldás.

--
trey @ gépház

Gyanus hálózati aktivitás ellenőrzésén kívül mit lehet csinálni a lehallgatás ellen? Nyilván érdemes nem ugyan onnan venni a hálózati eszközök megfigyelésre használt részét :), mint ahonnan a lehallgatásra érdemes eszközöket, de ezt oldja meg a rendszergazda.

Sorba kell kötni több hálózatbiztonsági eszközt :)

Egy kínait (Huawei stb), egy izraelit (Checkpoint,Radware stb) , egy oroszt (Kaspersky) egy Európait(van ilyen?, mondjuk a Stormshield állítólag az) egy amerikait (végtelen a lista). Egyiken csak elakad :)

Viszont a backdoorokat ezzel nagyon egyszeruen multiplikalod :D

De ha nem akad el, akkor legalább mindenki ismeri majd az információt, tehát senki sem tud előnyhöz jutni a többiek kárára. :-)

És máris nem lenne értelme az információlopásnak, meg is szűnne magától (mint a birka-iskola).

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

gpg, enigmail, tor, bármi, ami titkosít. Aki gmailt használ annak természetesen mindegy.

--
GPLv3-as hozzászólás.

Mondjuk, jól működő hardveres backdoor esetén az OS lecserélése sem feltétlen megoldás..
ahogyan gpg, enigmail, tor sem az. De itt most nem is magánemberek utáni kémkedés a téma.


Normális HUP-ot használok!

Ericsson távközlési cuccain is ott virít a feketedoboz csipo, amit a tervező mérnököknek az előzőleg kihagyott helyre kellett a végén beapplikálniuk
--

Proof?

Elég sok Ericsson boardot és board layoutot láttam media gateway vonalon, de semmi ilyenről nem tudok, amit írsz.
A boardokat Karlskronaban gyártják, szóval a gonosz kínaiaknak is nehezebb dolguk van. (na jó, annyira nem, mert elég multikulti az ország)

Lawful interception kód az van, de az törvényi előírás sok országban, nem pedig backdoor a titkosszolgálatok számára, és annak a kódjába akárki nem tekinthetett bele, de ez a része szerintem a görög balhé miatt van csak.

Igen, de itt pont az a poén most, hogy a szoftvert hiába cseréled le, ha egyszer már hardverszinten kémkednek utánad. Bár én kétlem, hogy egy ceruzahegy méretű chip túl nagy kémkedést tudna levágni, mert feltűnés nélkül nem tud akkora sávszélt szerezni, hogy minden az alaplapon átmenő adatot tovább tudjon küldeni, meg túl bonyolult döntést, szelekciót sem tudhat, ami mentén tudna szelektálni, hogy mit küldjön el.

De nem is kell ezért Kínáig, meg vállalati szerverlapokig elmenni, mióta minden Intel desktop prociban ott van a hivatalosan is bevallottan kémkedő, és a rendszer minden komponensét és az OS-t is megkerülő Intel ME, ami nem minden lapon kapcsolható ki.


No keyboard detected... Press F1 to run the SETUP

Pont annyit, amennyit az Alma/Samsung/stb. túlárazott szarok, mivel ugyan ott rakják össze őket ugyanazon kezek, ugyanazok a kínai alkatrészek benne vannak, ugyanazzal a mókolt firmwarrel. Ja, nem, bocs, nyugati vackoknál opcionálisan kapsz még egy NSA OS backdoort is a segged alá, az tényleg más. ;^)

Az egész világ a kémkedésröl szól, nem csak az Apple, Amazon, meg kína. Aki azt hiszi, van még privátszféra, az jó nagyot téved.
Egyéként a legnagyobb kém maga az állam. A személyi szám sem szünt meg pl., csak elrejtették a szemünk elöl.

Wikipédia is szépen fogalmaz: "Az univerzális, személyes azonosítószámnak szánt személyi szám általános használatát az Alkotmánybíróság 1991-es döntése a személyes adatok védelme érdekében megtiltotta,[3] ám a költségekre hivatkozva csak 1995-ben szorították vissza a használatát."

Vissza van szorítva a használata :)

Ez van.

--
robyboy

És mi a gond a személyi számmal? Az adatok összekapcsolása?

dupla

Igen. Tulajdonképpen mindent tudnak rólad, pl. hogy mikor voltál orvosnál, milyen gyógyszereket szedsz, mikor mütöttek mivel, stb... csak, hogy pár példát említsek a millióból.

--
robyboy

meg sok olyat aminél pont jól jött volna. például miért kapsz segélyt, amikor patent mercivel (de szabadon választott német prémium behelyettesíthető) villogsz az utcán. persze tudom a választ, a hottentotta nagynénéd adta mert cuki kisgyerek voltál.

visszaélésre is ad okot, de sok olyan nem teljesen legális dolog elkapható lenne, ami most simán működik. persze így azoké is elkapható lenne, akik nem szeretnék és közel vannak a döntési tűzhöz, tehát ilyen nem lesz. mert illúzióim azért nincsenek...


"I'd rather be hated for who I am, than loved for who I am not."

Mert ha akarják, akkor olyan baromira nehéz összekötni ám a rendszereket, születési dátum, név alapján...

A lényeg, hogy minden el van tárolva születésünktöl fogva már az államháztartásban is.
Ezen felül már csak csemege, hogy a neten is mindenki tud mindent.
Google pl. tudja, hogy mikor hol tartózkodsz, mivel nálad van a személyi GPS mindig.
Sosem hittem abban, hogy elmozdítok egy csúszkát, és akkor a funkció VALÒBAN ki van kapcsolva.

--
robyboy

Javaslom keress utána az államháztartás szó jelentésének. :)

Amúgy is csak hozzá nem értők ostobasága az, hogy a személyi szám az jajj de veszélyes, azt el kell törölni mert össze lehet kötni vele az adatbázisokat. Ugyan már, valaminek egyértelműen azonosítani kell az embert, és annak minden ilyen adatbázisban ott kell lenni. annyi változott, hogy a
"a.szemszam = b.szemszam"
feltétel helyett a
"a.nev = b.nev and a.anyjaneve = b.anyjaneve and a.szulhely = b.szulhely and a.szulido = b.szulido"
feltételt kell betenni az összekapcsolásnál. Medzsik.

Azért csendesen megemlítenék két apróságot...
- a kereső feltétel bonyolultabb lett. Nem megoldhatatlanul, de azért ezek meg nem kicsi adatbázisok.
- bármilyen meglepő, de a személyi szám utolsó számjegye egy ellenőrző összeg, tehát ha rögzítéskor elgépelés történt, akkor a rögzítő program (jó esetben) visított, hogy elszabtad az adatbevitelt. Figyelembe véve, hogy milyen nevek vannak, ez a többi beviteli mezőre nem igaz, azok nem ellenőrizhetőek. Innen kezdve az elgépelések, a név végi i vagy y már más, az összekapcsolás tehát sikertelen lesz, vagy elkezdhetünk fonetikázni, ami viszont azért lesz jó, mert úgy meg baromi sok extra találatunk lehet anélkül, hogy ez egyébként nem garancia arra, hogy a jó eredmény is benne lesz a találati listában.

Bonyolultabb, ja, írtam is hogy mennyivel. Viszont ezek - ellentétben állításoddal - kicsi adatbázisok. 10 millió rekord az semmi, manapság különösen. Nevetségesen gyenge vasakon szórakozok ilyen rekordszámokkal, pár ilyen táblát join-olva pár másodperc alatt lefut a query, már na normálisan van megírva és indexelve. És mivel szinte mindenhol az azonosítás _egyik_ módja a név/a.neve/sz.hely/sz.idő, ezekre azért szokás ezekre indexet tenni. Ha csak a születési időn van index, akkor már ez alapján max. párezer rekordra szűkül az érintett emberek száma. (50 év = kb. 18e nap; 10m/18e = 555,6; szóval ha minden magyar ember 50 év alatt született volna meg, akkor átlagosan napi 556 ember született.)

Az elgépelést pedig nem tudom érvként komolyan venni.

„a személyi szám az jajj de veszélyes, azt el kell törölni mert össze lehet kötni vele az adatbázisokat”

Az adatbázisok összekötése egy dolog. Ha nincs ilyen szám, akkor több műveletet kell végezni ahhoz, hogy egy személyről az összes adatot összegyűjtsd. Ha az adatlekérés legalitása megkérdőjelezhető, akkor személyi szám nélkül sokkal több nyomot fogsz magad után hagyni, mint személyi számmal. Tehát könnyebb lesz azonosítani, hiszen nem biztos, hogy lesz mindenhol olyan jogosultságod, hogy a logokat töröld. Bár az is igaz, hogy megette a fene, ha egy állami adatbázisnál a lekérdezést a logok törlésével el lehet tüntetni.

A másik baj az a személyi számmal, hogy a szám nem csak egyértelműen azonosít, hanem már önmagában is információt tartalmaz rólad. Amikor még nem korlátozták, hogy ki használhatja a személyi számot, akkor gyakorlatilag minden adatlapon meg kellett adnod*. Még akkor is, ha nem állami szervtől származott az adatlap.

Már régen volt, de ha jól emlékszem: Az alkotmánybíróság döntése az volt az ügyben, hogy helyette ki kell dolgozni egy olyan rendszert, ami szintén egyértelműen azonosít, de semmilyen személyes adatot nem tartalmaz. Illetve néhány szervnek megengedte, hogy az új rendszer bevezetéséig még használhatja a személyi számot. Aztán ez az alkotmánybírósággal együtt feledésbe merült.

*: És legtöbbször közvetlenül a születési év, hó, nap mezők előtt, vagy után.

Nem több, hanem ugyanannyi műveletet kell végezni, igaz kicsit összetettebbet. És ezek után semmivel se marad több nyom.

A születési idődet ma is szinte mindenhol meg kell adnod, igazából még több személyes adatot kell ma megadnod, mintha lenne szem.szám és csak azt kellene. Szinte mindenhol kell a név/a.neve/sz.hely/sz.idő négyes...

Amikor az általam említett alkotmánybírósági döntés született, akkor ez kb. így nézett volna ki:
- Elsétálsz a BM adatközpontjába, vagy egy olyan BM-es irodába, ahonnan hozzáférsz a BM szervereihez. Lekérdezel.
- Elsétálsz az APEH adatközpontjába, vagy egy…
- Elsétálsz a nyugdíjbiztosító (a fene se emlékszik, akkor éppen hogy hívták) adatközpontjába…
- Elsétálsz az egészségbiztosító adatközpontjába…

Ez már eleve több művelet. Attól nem vagyok nyugodt, hogy az összes adatbázis egyetlen egy számítógépről lekérdezhető. Attól meg pláne nem, hogy esetleg a megfelelő jelszó és felhasználói név ismeretében esetleg a világ bármelyik számítógépéről is megtehető ugyanez. Akkor már legalább tartson sokáig, amíg az egyes adatbázisokat egyesével lekérdezik. Már az is növeli az időt, ha nem egy 11 számjegyű azonosítót kell begépelni egyszer, hanem egy 20-50 karakteres név + születési idő + születési hely + anyja neve* „csomagot” minden egyes adatbázisnál újra és újra. Egy esetleges illetéktelen hozzáférés esetén az időtényező nagyon fontos lehet.

*: A 90-es évek elején osztálytalálkozót szerveztünk. Akkor még másként ment a dolog, személyesen kellett megjelenni a Kacsó Pongrác úti hivatalban az adatlekéréshez. Megvolt a név, születési idő, és az anyja neve. A születési hely nem, mert minek az. Az egyik osztálytársunk (neveket módosítottam) Teringette János, Anyja neve Teringette Matild. Az ember azt gondolná, hogy ez is elég ritka. De nem. Ugyanazon a napon 3 Teringette János született Teringette Matild nevű édesanyától. Végül az segített, hogy emlékeztünk hogy hova való volt a srác, így a születési hely alapján megsaccoltuk, hogy a három közül melyikről lehet szó. Akkor ez úgy ment, hogy az ügyintéző kifordította a monitort, és megmutatta a 3 találatot. Ez ma már nem működne így. Már a GDPR előtt sem így volt.

Az AB döntés az adatok összeköthetőségéről szólt, nem a megszerezhetőségéről. Ha 1 helyen van akkor 1 helyről lehet megszerezni, ha 5 helyen akkor 5 helyről, és ez független attól, hogy 1 mező alapján össze lehet-e kötni az egyes adatsorokat, vagy épp 4 mező kell hozzá.

Többek között az összeköthetőségről, a megszerezhetőségről, a célhoz kötöttségről. Az 15/1991-es AB Határozat 3.3-as pontja pedig arról is, a személyi szám ne tartalmazzon szenzitív adatot. Ugyanabban a mondatban azt is megemlítik, hogy terjed az a nézet, miszerint a születési idővel kapcsolatos információt se tartalmazzon.

Mivel egy szkennelt pdf-ről van szó, így nem másolom ide az idézetet, de az AB oldalán elolvasható a határozat.

Én ennyit találtam: "A személyi szám nem tartalmazhat szenzitív adatot ( pl.
nemzetiség, vallás ) - de egyre terjed a követelmény, hogy ne legyen "beszélő szám" se, tehát ne hordozzon olyan információt, mint a születési dátum vagy hely."

Ez szerintem inkább csak egy megemlítés, mint egy fő kifogás. Bár nem beszélek alkotmánybíróul...

Én meg ezt írtam: „Ugyanabban a mondatban azt is megemlítik, hogy terjed…” :-)

Ettől ez még természetesen nem fő kifogás. Csak egy a nagyon sok más mellett. De azért érezték annyira fontosnak, hogy megemlítsék. Ráadásul az akkori változat első száma utalt arra, hogy születésétől fogva magyar állampolgár-e a „tulajdonos”.

Egyébként a határozat konkrétan nem írta elő, hogy mi legyen a személyi szám helyett, csak azt írja le, hogy mi nem jó vele. Ha végigolvasod az egész határozatot, akkor nagyon sok olyan dolgot kifogásoltak 1991-ben, ami most (27 évvel későbbi) GDPR miatt került újra előtérbe.

Továbbá ugyanaz az első szám tartalmazott mostanra egyértelműen elavult infót az illető nemi hovatartozásáról. Ráadásul meglehetősen konzervatívan csak 2-félét engedélyezett :-)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Nekem kifejezett igenyem van ra, hogy az orvosom a leheto legegyszerubb modon mindenhez hozza tudjon ferni ami a kortortenetemmel kapcsolatos anelkul, hogy nekem emlekezni kene ra vagy hogy be kelljen gyujtenem egy koteg papirt mas korhazaktol. Amennyiben a hozzaferes megfeleloen szabalyozott, nekem ez kifejezetten elonyomre valik.

Még ha informatikailag megoldott is lenne, miért tenné? Állami egészségügy? Arra nincs ideje h. lezavarja a váróban ülőket naponta, nemhogy még évekre visszanyúló kórtörténeteket olvasson rólad. Mert -meglepetés- amúgy rohadtul nem érdekli...
--

Nálunk most vannak új, fiatal háziorvosok, és bizony végigkérdeztek mindent. Ja, mondjuk nem is beszélgetnek a nyugdíjasokkal 1 órát, hogy
azok ne unatkozzanak.

Az ideális elképzelés szerint az lett volna a cél, hogy az EÜ-ben egy szám, a TAJ számmal azonosítanak, az adózásban az adószámmal/jellel. Máshol mással. De egyik rendszerben sem lenne a feldolgozás és a tárolás alatt más csak ez a szám és ha személlyel kellene fizikailag összekötni, akkor azt csak az arra jogosultak tehetnék meg. Külön. Így ha a TB és az Adó és más rendszerek adatai kikerülnek, akkor sem lehetne összekötni az alanyokat, mert eltérőek a számok, és nincs mögötte identitási adat. De ez nem így lett és mindennek oka van. :(

A népnek megadták az örömet, hogy hőzönghetett a szem.szám ellen, majd szépen megcsinálódott a sok könnyen összefésülhető adatbázis, amit gyakorlatilag bárki, aki hozzáfér össze tud rakni. A balfácánság teteje az, amikor az adóbevalláson a nememet is ki kell tölteni. :)

A balfácánság teteje az, amikor az adóbevalláson a nememet is ki kell tölteni

Kipróbálhatnád h. a jövő évi SZJA-dat apacshelikopter-ként adod be.
--

"Tulajdonképpen mindent tudnak rólad, pl. hogy mikor voltál orvosnál, milyen gyógyszereket szedsz, mikor mütöttek mivel, stb..."

Fogalmazzunk inkább úgy, hogy elvben tudhatnának mindent rólad, pl. hogy mikor voltál orvosnál...
De a valóságban gyakran még abban a kórházban sem tudják mikor és mivel kezeltek téged ott korábban ahol korábban már megfordultál. Ezért kell vinned a régi zárójelentéseidet. :-)
Az állami aktatologató bürokraták bénasága innen nézve nem is rossz dolog.


Normális HUP-ot használok!

Egyszer megtaláltam a magyarorszag.hu alatt valahol az összes orvosi előzményemet. Gondolom még mindig ott van. Lehet csak pont arra nem használják amire való lenne igazából.
Amit államháztartás címszóval művelnek honfitársaink, az kimeríti a hűtlen kezelés fogalmát. Nyilvánvaló, hogy a pénz nem oda kerül, ahol valójában az igazi helye lenne. Viszont oligarcháink egész szépen híznak, ahogy elnézegetem egyik-másik honlapon.

--
robyboy

Az OEP portálra vitt át annó, jópár éve én is lekérdeztem ott. A dolog akkor vált széleskörben ismertté, mikor valakik azzal kerültek be a médiába h. a lekérdezéseik egy csomó kamu vizsgálatot fedett fel, amit biztosan nem végeztek el rajtuk, de az államnak ki lettek számlázva.
--

Igen, amikor férfiakat küldtek el nőgyógyászati vizsgálatokra...

„A személyi szám sem szünt meg pl., csak elrejtették a szemünk elöl.”

Javaslom, keresd fel szemészorvosodat, mert a jelek szerint szükséged lesz egy szemüvegre. Bár egy kicsit trükköztek, de azért – szerintem – eléggé a szemünk előtt van.

1. trükk: A személyi számot átnevezték „személyi azonosító”-ra.
2. trükk: A születési dátumot reprezentáló 6 számjegy elé és mögé beszúrtak egy kötőjelet.

Ha még most sem találod, akkor nézd meg alaposabban a lakcímkártyádat (hivatalosan: Lakcímet igazoló hatósági igazolvány).

"... we are not under any kind of gag order or other confidentiality obligations."

Mondja az is, aki igen.

Az igazság az, hogy nagyon kicsi az esélye, hogy ezt az ügyet minden kétséget kizáróan felgöngyölíti valaki. Az a nagyobb probléma, hogy egész biztos vannak ilyen jellegű törekvések, és ezért nem röhögi körbe senki a Bloomberg-et.

Hogy mi történt, és mi nem, azt nem tudom. Viszont a chipről készült fénykép (ceruzahegy + valami) kapcsán az jut eszembe, hogy ma már a egy középkategóriás telefonnal is sokkal részletgazdagabb képet lehet készíteni. A makrófényképezésről nem is beszélve. Ezen a fényképen akár egy egyszerű SMD alkatrész is lehet. De az sem kizárt, hogy a fényképnek semmi köze a történethez, és csak egy photoshopban készült „műről” van szó.

Ha a kép fake, attól még a történet lehet igaz. De bennem mindig gyanút ébreszt, ha egy hír valamelyik eleme nem tűnik hitelesnek. Ez a „nem elég becsületesnek lenni, annak is kell látszani” elv átültetése a mostani esetre.

Snowdent is ütődöttnek nézték először. Plusz hazugnak is megpróbálták beállítani.

--
trey @ gépház

Én nem vontam kétségbe a hírt. Sőt, azzal kezdtem, hogy nem tudom mi történt. Csak annyi megjegyzést tettem, hogy a hír egyik eleme (az egyik kép) nem túl meggyőző.

Egyébként a hír forrásánál, a Bloombergnél is szerepel ez a kép. Alaposan megnézve a fényeket és árnyékokat, még biztosabb vagyok benne, hogy photoshopban* készült, vagy módosított képet láthatunk.

Összegezve: Nem zárom ki annak lehetőségét, hogy a hír igaz, és csak egy buzgó újságíró akarta egy saját maga által kreált képpel „ütősebbé” tenni a cikket.

*: Bár a GIMP-et, és hasonszőrű társaikat sem tudom kizárni.

Én sem mondtam, hogy elhiszem :) A mai újságírásba simán belefér (szerintük), hogy annak a képnek nincs köze a témához. Egyszerűen csak nem volt képük és a laikusoknak betettek egy alaplapról egy képet, hogy legyen fogalmuk mekkora alkatrészről van szó. Abban sem vagyok biztos, hogy az egy Supermicro lap.

--
trey @ gépház

Amerikaban az ujsagirast komolyan veszik (mindket oldalon), az ujsag nagyon komoly pereket kockaztat, ha csak ugy vadaskodik, minden alap nelkul. Az ilyen nagysagrendu cikk megjelenese elott iszonyat mennyisegu nyomozast vegeznek, hogy adott esetben a birosagon is tudjak bizonyitani az igazukat.

Ennek megfeleloen az Apple vagy akarmelyik erintett ceg kiadhat sajtokozlemenyeket, az nem kerul semmibe (es nincs igazan vesztenivalojuk, ha azt kozlik, hogy ok artatlanok, legfeljebb kesobb majd beismerik, hogy megsem). Szoval nem tudni, mennyi a valosagtartalma ennek a cikknek, de az biztos, hogy lenyegesen nagyobb, mint 0%.

> Apple vagy akarmelyik erintett ceg kiadhat sajtokozlemenyeket, az nem kerul semmibe (es nincs igazan vesztenivalojuk, ha azt kozlik, hogy ok artatlanok, legfeljebb kesobb majd beismerik, hogy megsem).

O, dehogynem. A hivatalos kommunikacionak ezen valfaja eleg sulyos felelosseggel jar, konkretan a CEO-t racs moge is dughatjak, ha ilyen sulyu ugyben szandekosan megteveszti a kozvelemenyt/piacot/reszvenyeseket.

----------------------
while (!sleep) sheep++;

O, en nem feltem a vilag legnagyobb tech cegeinek ugyvedjeit, meg lehet ezeket a kijelenteseket ugy fogalmazni, hogy ne lehessen belekotni, hogy hazudtak.

kiveve hogyha tenyleg titkos FBI nyomozas zajlik/zajlott a hatterben, ugyanis akkor torveny kotelezi oket hogy mindenkinek hazudjanak.

Ezen a fényképen akár egy egyszerű SMD alkatrész is lehet.
A mese pont arról szól, hogy egy passzív SMD alkatrésznek álcázták. Pl egy SMD ellenálláshálózatról azért mobillal sem csinálsz túl jó képet.

Hogy a kép valódi-e, vagy illusztrációnak beraktak egy olyan SMD alkatrészt, aminek a történet szerint "látszani akart", azt nem tudjuk meg. Én az illusztrációra tippelek, nem hiszem, hogy csak az újság kedvéért kiforrasztottak egyet, olyan szépen megtisztították, mintha beültetés előtt lenne és odadták egy sajtófotóra. És azt sem, hogy tudtak szerezni egy be nem ültetett mintadarabot - legalábbis felteszem ez esetben a cikk kitért volna rá, hogy "amúgy az aliexpressről rendeltünk mi is $10 + shipping darabáron, de 1000-es tételben olcsóbb" :)

Ettől még a történet lehet igaz. Kb egy párszáz kB-os EPROM-ot SPI interfésszel meg lehet csinálni ekkora méretben és feltételezés szerint ez pont elég a backdoorhoz.
---
Régóta vágyok én, az androidok mezonkincsére már!

http://puri.sm

(Bar most elbizonytalanodtam. Ez mar az a szint, amit nagyon nehez kikerulni.)

hardvert ők gyártják? mert ha nem, akkor...


"I'd rather be hated for who I am, than loved for who I am not."

De megigertek nekik, hogy semmit nem raknak hozza... ;)

Ugyan mar ezt te se hiszed el...

Bennem az merult fel, hogy miert haznalunk szobanyi szervereket, amikor a szemlelteteshez felhasznalt meretu chip-ben elfer tobb terrabajtnyi adat, meg iszonyat meretu adatfeldolgozasra kepes.

Vagy ha tevedek, akkor az a kis chip mit is csinalt?

Egyszerűen ajtót nyitott (backdoor), aztán a telepítők már azt csináltak a szervereken, amit csak akartak. 2015-ben az Apple is úgy jött rá, hogy megnőtt a hálózati forgalmuk, de akkor még valami másra fogták.

Kedvenc tippem, az hogy BMC firmwaret piszkalja meg indulasok ;-)


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Eddigi karierem soran tapasztaltak alapjan, ahhoz hogy barmiben, meg ha en irtam, es minden bitjet ismerem, abban ilyen merteku logikat, valtoztatast akarnek beepiteni, az nem ferne el ekkora meretben. Plane nem egy kulso eszkozt modositani, aminek a firmware-je barmikor frissitheto, cserelheto, ...

Ha meg tenyleg meg tudjak csinalni ekkora meretben, akkor mar ebbol a tudasbol miliardokat tudnanak keresni!

A kínai ipar es gazdasag olyan mertekben felulmulja az EU-t, hogy azt mi el sem hisszük. Ha az ember kiutaz "hozzajuk" csodát lát...

HOAX. Valakinek a kinai termekek konkurenciat jelentenek,
vajon honnan fujhat a szel ..

Nem azt mondom hogy nem lehet ilyet csinalni,
de ha mar valaki csinalja nem ilyen nyilvanvaloan fogja tenni.


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Ahha, te aztán már tudod xD

"Mike Pence amerikai alelnök azzal vádolta csütörtökön Kínát, hogy az időközi választások közeledtével beavatkozik az Egyesült Államok belpolitikájába, és aláássa Donald Trump elnök tekintélyét: Kína „proaktívabb és kényszerítőbb módon” lép fel annak érdekében, hogy beavatkozzon az Egyesült Államok belpolitikájába – mondta az amerikai alelnök a Hudson Intézetben"

Lesz itt még pár kiderült, hogy a csúnya kínaiak a vécékefébe is képprogramot rejtettek... hír. Eddig, ezután is mindenki mindenki ellen IS kémkedik, csak van amikor le köll buktatni a gaz ellenséget. Az oroszok foglaltak jelenleg, mert ők állítólag a Trump elleniek ellen heckerkedtek (bár nem tudom, hogy most éppen mi az állása ennek a hírnek: ellene mellette vagy mindenki ellen, mindenki mellett :)) így maradtak a kinaiak :) Az kicsit égő lenne, ha a pirézek, vagy a magyarokra fognák, hogy megheckerkedték a nagy USA dolgokat :)

Tagja vagyok a coreboot listának, ott ezt írták erről a cikkről:

https://mail.coreboot.org/pipermail/coreboot/2018-October/087526.html

"They publish very limited evidence, so it leads me questioning whether the report is true. As a worker in China's hardware industry, I'm very concerned with this report. Is this true or just another fake news deliberately created to escalate the trade war between US and China?"

Hajlok rá, hogy egyetértsek, vagyis jó eséllyel ez fake news lesz, aminek valószínűleg az a célja, hogy a Trump kormányzat által indított USA-Kína kereskedelmi háború kapcsán hivatkozási alapot adjon az USA kormányának arra, hogy korlátozhassák (vagy akár teljesen ellehetetlenítsék) a kínai importot.

Nem vagyok se politológus, se közgazdász, csak próbálok józan paraszti ésszel gondolkodni.

Trump nem volt még sehol, bizonyos *fixme* Thinkpad és egyéb modelleket nem lehetett (és most sem lehet) az USA közigazgatási területein használni. komolynak tűnő adatbiztonsági aggályok miatt. csak szőr mentén írom, és ha nem jól írom kérem javítsa ki valaki.

--
Vortex Rikers NC114-85EKLS

"As a worker in China's hardware industry..."

Hat persze. Vagy csak egy kinai a falon tulrol, akit azert fizetnek, hogy a propagandat terjessze. Ne legyenek illuzioid, a kinai nagy fal es a nagy testver mindent lat...

A Bloomberg tul nagy nev ahhoz, hogy ezt egy egyszeru "fake news"-zal el lehessen intezni. Vagy te inkabb Kinanak hiszel?

A jelen politikai/gazdasági helyzetben bármi megtörténhet, őszintén szólva nem tudom eldönteni, hogy ebben a konkrét ügyben kinek higgyek... az meg csak tovább bonyolítja a helyzetet, hogy az utóbbi években világméretű trend lett az "ipari szintű" trollkodás, amiben szerintem jelen pillanatban egyértelműen az USA viszi a pálmát, de jópár ismert politikus, illetve "celeb" felfér még a dobogóra (ld. Elon Musk pedofilozós tweet-jét a barlangban rekedt gyerekeket megmentő búvárról, amiért elnézést kért, majd később ismét lepedofilozta - mi ez, ha nem trollkodás?). Sajnos iszonyű nehéz tisztán látni abban az információáradatban, ami naponta az emberre zúdul.

Szerintem kicsi a valószínűsége, hogy egy open source firmware-t fejlesztő projekt levlistájára csak így "ad hoc" módon beírjon egy kínai propagandista, de persze nem lehet kizárni sem. Ha a kínai propaganda terjesztése lenne a cél, azt szerintem inkább nagy(obb) nyilvánosság előtt tennék, pl. a sajtóban. Ja, és úgy tudom, a Kínai Nagy (Tűz)fal túloldaláról nem lehet Protonmailt használni, de FIXME, ha tévedek. :)

Az, hogy a Bloomberg mekkora név, ez esetben lényegtelen. Ha ez egy szervezett akció, akkor szinte biztos, hogy be van vonva minden érintett fél (kormány, "hárombetűs" ügynökségek, USA-beli tech cégek és persze a Bloomberg is). Ha ez így van, nyilván senki nem fog pereskedni...

+1 igazad lehet. Előzményeket figyelembe véve. Egyébként érdekes kérdés ez a trade war. Egy ideje követem, de arra még nem jöttem rá, hogy ez inkább jó, vagy inkább rossz, bármelyik oldalról is nézve. Talán inkább rossz, főleg, ha talán hamis vádak… nem szeretem, ha sérül az igazságérzetem, habár a világ nem így működik, hogy ezt figyelembe vegye.

Hát vagy fake news vagy nem, ez hit kérdése. Én inkább hiszek az amiknak mint a kínaiaknak. Főleg hogy azok eddig is mindent szépen lemásoltak, nem kizárt hogy hatékonyabbá akarták tenni az adatok ellopását. És hát trumplinak nem igazán kell arra ok, hogy lendületből gyalogoljon bele bárkibe, bármelyik országba. Most amúgy is megcsinálták a nafta2-őt, szóval ismét lehet a sárgákkal faszkodni - nem mellesleg az EU-nak is egyre jobban szúrja a szemét az amit micimackó elvtársék csinálnak.

És ez az infó azért kontextusba helyezi a hüvely kitiltását is...

Jah. Egyébként ott tart a világ, hogy mindegy is. Mindig a rágalmazónak van igaza, mert az ártatlanságot sokkal nehezebb bizonyítani, mint a vádat. Ennyi.
Ha már valakit hírbe hoznak, az régen rossz.
Tulajdonképpen az egész világbéke csak egy szándékon nyugszik: mikor hazudik valaki akkorát, hogy nekimehessen a másiknak. Volt már rá példa éppen elégszer.

--
robyboy

Micsoda? Extra hagymás-tejfölös chipset találtak az alaplapon?

Hehe, ja. Megnéztem a linkelt cikket is. Konkrétan egy balunnak, vagy egyéb PCB antenna alkatrésznek néz ki. Ami gyanús, nincs lefényképezve az alaplappal együtt, meg hogy hol található.
Szóval inkább fake. Főleg, hogy azért egy ilyen alkatrészt nem olyan nehéz kiszúrni az alaplapon, és itt most ne laikusokra, hanem az alaplap tervezőire és lekoppintani szándékozóira tessék gondolni.

A ketkedoknek idezet a cikkbol:
"The companies’ denials are countered by six current and former senior national security officials, who—in conversations that began during the Obama administration and continued under the Trump administration—detailed the discovery of the chips and the government’s investigation. One of those officials and two people inside AWS provided extensive information on how the attack played out at Elemental and Amazon; the official and one of the insiders also described Amazon’s cooperation with the government investigation. In addition to the three Apple insiders, four of the six U.S. officials confirmed that Apple was a victim. In all, 17 people confirmed the manipulation of Supermicro’s hardware and other elements of the attacks. The sources were granted anonymity because of the sensitive, and in some cases classified, nature of the information."

Tehat vagy 17 ember hallucinalt egyszerre, vagy a kinai kormany etette meg oket, hogy lehuzza sajat magat a vecen, vagy valami alapveto technikai felreertes van, es nem osztogattak, hanem fosztogattak, es nem volgat, hanem moszkvicsot. De hogy volt valami pitty-putty, az hottziher.

Nem zárom ki, hogy valóban így történt, viszont ez is felvet azért kérdéseket. Pl. miért csak most hozzák ezt nyilvánosságra? Ha jól olvasom, egy 2015-ös ügyről szól a cikk. Mi érdeke lehet bárkinek is évekig visszatartani egy ilyen súlyos incidenst, hogy aztán 3 évvel később derűlt égből villámcsapásként publikáljanak egy ilyen, igen terjedelmes cikket?

Nem szeretnék egyik oldalra se állni, csak próbálom megfejteni a megfejthetetlent. :(

2015-ben vették észre a cikk szerint, persze az is lehet, hogy valójában 2012-ben vagy épp 2017-ben, de a játék kedvéért fogadjuk el ezt a számot igaznak.

Lehet hogy ennyi időbe telt a csipes banda "hazai segítőinek" az elfogása, vagy legalábbis annyi bizonyítékot összeszedni ellenük hogy a sitten a műanyaglakat is rájuk rozsdásodjon. Vagy épp nem voltak ilyenek, de ennyi időbe telt _biztosan_ kizárni azt, hogy csájníz kém van a smci/amzn/aapl/stb. cégeknél. Az is lehet, hogy 3 évig tartott amíg az amerikai ügynökök szépen felderítették azt, hogy a kínai pajtások hogyan is dolgoznak ebben a témában.
Vagy épp 3 éve szépen gondosan külön pakolták a megpatkolt lapokat, a valóban fontos helyeken nem fertőzött eszközöket használtak, közben pedig a kínaiaknak a csippelt deszkákon keresztül hihető hazugságokat küldtek - csak közben erre azok is rájöttek.

Szóval most már nincs ok arra hogy titokban tartsák, azért így figyelmeztetnek mindenkit a kínai gyártás khm... veszélyeire, mellesleg bele is rúgtak egy nagyot a ferdeszemű kémekbe viszonzásul.

De ezek csak tippek, jó eséllyel soha nem fogják elmondani, hogy miért most...

Ha igaz akkor nem csak ők, hanem nagyon sokan érintettek lehetnek. A supermicro szervereit előszeretettel használják appliance célra is ahol a supermicro logó nem szerepel sehol.

Kíváncsi vagyok a végére. A bloomberg nem hazudik, de valaki biztos. Vagyis emberek beszélnek, vagyis hazudnak. Egy biztos, valaki nagyon sokat keresett ezen.

2006 korul volt az intelnek egy szar alaplap szeriaja (865perl), kb fel evig arultak, mire kiderult hogy az egyik beszallitojuk nem megfelelo kondikat kuldott nekik. ezek utan siman el tudom kepzelni, hogy az egyik smd alkatresz beszallito "nem megfelelo" cuccot (pl. eeprom) kuldott es az kerult az alaplapokra. ehhez nem kell az alaplap gyarto tudjon rola, es ha eleg ugyesek a chip-hamisitok akkor a QA-n is atmegy.

A'rpi

Az elkós fillérbaszásra több gyártó is ráfaragott, voltak szériahibás lapok és tápok dell és hp cuccoknál is, server témában is.
Itt elég könnyen kibukna az eeprom, mert miután a rossz (nem megfelelő minőségű) elkó megadta magát, akkor a cucc instabil lesz, nem boot-ol, stb. Elkónál ez egy időbe telik, de ha nem elkót tesznek oda, akkor már a gyártósorról úgy jönnek le a lapok, hogy nem boot-olnak...

ugy ertettem az eepromot, hogy mondjuk 128k-s eeprom valojaban 2x128k belul es bizonyos bitsorozat beirasa vagy akarmi hatasara atvalt a masik 128k-ra ahol mondjuk egy elore elrejtett kemprogram talalhato. ha ilyet epit be a gyarto mondjuk az integralt LAN biosa (PXE) tarolasara, az meg mukodhetne is.

nyilvan nem az elko helyere raknek eepromot, annak sok ertelme nem lenne :)
az elko-s peldat arra irtam, hogy az alaplap gyartok nem annyira ellenorzik hogy mit epitenek be, megbiznak az alkatresz beszallitojukban...

Jahogyja, így már értem.
Elkó témában szerintem azt látták, hogy tudnak spórolni termékenként 1-2 dollárt, ha mondjuk Panasonic helyett tesznek vele valami low end csájníz terméket, ami speckó szerint akár még meg is felelt volna...

pl. eeprom eseten is mukodhet(ett) ez, nem? mondjuk a samsunge 5$ a noname meg 3$ es specko (meg tesztek) szerint tudja ugyanazt...

Fogalmam sincs, elkó témában már megégették magukat 1x, remélhetőleg tanultak belőle.

"New Evidence of Hacked Supermicro Hardware Found in U.S. Telecom

The manipulation of the Ethernet connector appeared to be similar to a method also used by the U.S. National Security Agency, details of which were leaked in 2013. In e-mails, Appleboum and his team refer to the implant as their “old friend,” because he said they had previously seen several variations in investigations of hardware made by other companies manufacturing in China."

https://www.bloomberg.com/news/articles/2018-10-09/new-evidence-of-hacked-supermicro-hardware-found-in-u-s-telecom

Tampered Chinese Ethernet port used to hack ‘major US telecom,’ says Bloomberg report
https://www.theverge.com/2018/10/9/17955848/supermicro-telecom-server-hack-apple-amazon

Majd dobjatok egy bumpot a threadnek ha már van valahol releváns detection rule snort/suricata alá :)

Hát, kezdődik az élve nyúzás: https://www.engadget.com/2018/10/10/senators-demand-answers-for-china-spy-chip-claims/
Vajon ez is olyan lesz mint a diesel-botrány (és hasonlók), hogy szinte könnyebb összeszámolni hogy melyik gyártó nem érintett?

Igen. A hasonlat több szempontból is találó. Egyrészt valószínűleg sorozatos esetről van szó.
Másrészt meg (szerintem legalábbis) politika van mögötte. Kína lett az USA 1. számú ellensége, és most minden fronton küzdenek ellene. Egy jó kis lejárató kampány a kínai gyártók ellen komoly gazdasági károkat okozhat.

OFF
A kínaiak is buták. Elkövették ugyanazt a hibát, amit az EU 2008 előtt: fölkészületlen hadsereggel vonulnak föl az USA ellen. 2008-ban az EU úgy hívta ki maga ellen az USA-t (azzal, hogy az eurót akarta tartalékvaluta szintre emelni), hogy nem volt hitelminősítője. Az összes hitelminősítő angolszász volt, és pillanatok alatt elintézték Görögországot, valamint a PIGS országokat.
Most Kína nemzetközi sajtóhálózat nélkül ment neki az USA-nak. Mint az közismert, az USA ugyanúgy kémkedik mindenki után, mint Kína, de az USA ebből nagyobb botrányt tud csinálni.

Jaja, a mocskos amerikaiak összehoztak 100% államadósságot a görögöknek. A szemetek!

"Two centuries of Greek debt crises highlight the pitfalls of relying
on external financing. Since its independence in 1829..." https://www.brookings.edu/wp-content/uploads/2015/09/ReinhartTextFall15BPEA.pdf
https://www.vice.com/en_au/article/5gjdb8/the-history-of-greek-debt-and-bankruptcy-8876
http://www.cadtm.org/Greece-Continued-debt-slavery-from

Görögöknél az államadósság már hagyománnyal rendelkező rendszer, nem egy pillanatnyi probléma, bőven az USA nagyhatalmi státusa előtt kezdődött az egész spirál.