位置 :  主页 > 六合彩结果 >

118心水论坛: 彭博社在中国间谍芯片调查中引用的安全研究人员对

118心水论坛  菲茨帕特里克在周一发布的播客中详细介绍了他与彭博社与风险商业公司的帕特里克格雷的交易。
 
去年,安全专家首次与Robertson进行了交谈,就在DEF CON黑客大会上介绍硬件植入物之前。罗伯逊的质疑背后的推动力直到上个月才向菲茨帕特里克透露。
 
在与记者的谈话中,Fitzpatrick详细介绍了硬件植入物的工作原理,特别是他在2016年在Black Hat上展示的成功的概念验证设备。虽然他是一名安全研究员,但Fitzpatrick并不是向客户销售此类设备的业务。 - 更不用说民族国家了 - 并且大部分都在研究多年来教导别人如何保护自己硬件的理论。
 
当被问及究竟是什么时候,他发现布隆伯格的说法很奇怪,菲茨帕特里克说:“令我惊讶的是,在我描述这些事情的情况下,他会去确认这些并且我所描述的100%被确认为来源“。
 
此外,讲述的故事“真的没有意义”。正如Fitzpatrick所指出的那样,有更容易,更具成本效益的方法来实现对目标计算机网络的后门访问。
 
彭博社在其文章中声称,中国的操作人员设法将一块小于一粒米的微芯片偷偷带到由硬件供应商Supermicro生产的主板上。该芯片由中国军方设计,充当“任何网络的隐形门”,并为连接的计算机系统提供“长期隐形访问”。
 
据报道,有近30家公司受到违规行为的影响,但故事中只提到亚马逊和苹果。两家公司都发布了措辞强硬的否认,苹果将这份报告描述为“错误和误导”。
 
“传播硬件恐惧,不确定和怀疑完全取决于我的经济利益,但它没有意义,因为有这么多简单的方法来做到这一点,”菲茨帕特里克说,指的是声称的硬件植入。 “有很多更简单的硬件方式,有软件,有固件方法。你所描述的方法是不可扩展的。这不符合逻辑。我不会这样做。或者我知道的人会怎么做。”
 
菲茨帕特里克在一次电子邮件交流中对Robertson说了很多,他指出所描述的后门攻击可以通过远程修改“大多数BMC”(基板管理控制器)的固件来实现,就像许多运行过时的软件一样。他接着询问,据称在电路板上发现的额外硬件资源是否只是假冒防范,绕过植入物或合法第三方添加的其他功能组件。
 
在一次电子邮件交流中,他警告说,没有经验的观察者可能会将组合硬件 - 例如闪存和微控制器 - 误认为硬件植入。彭博调查称,间谍芯片被整合到另一个不起眼的组件中,这些组件呈现出信号调理耦合器的外观。
 
罗伯逊通过电子邮件回复证实这个想法“听起来很疯狂”,但表示“很多消息来源”证实了这一消息。菲茨帕特里克不相信。
 
“而且你知道我仍然持怀疑态度。我跟着说,'好吧,如果他们想要为每一块Supermicro主板提供后门,我想这是有道理的方法,”他告诉格雷说。 “但我仍然在脑海中,我无法理解这是任何人都会采取的方法。”
 
Robertson无法提供相关芯片的照片证据,称他们是受保护的来源向他描述的。事实上,罗伯逊在9月份向菲茨帕特里克询问了“信号放大器或耦合器”是什么样子,这表明该出版物将攻击包缩小到特定组件。 Fitzpatrick向Robertson发送了一个由Mouser Electronics出售的非常小的信号耦合器的链接。
 
菲茨帕特里克说:“事实证明,这是故事中所有图像的精确耦合。”
 
虽然Bloomberg故事中使用的插图就是这样,但Fitzpatrick认为类似的组件对于所描述的攻击向量来说是不太可能的选择。虽然没有那么显眼的硬件,但可以使用更大的硬件,即模仿SOIC-8封装的芯片。此外,小型信号耦合器不是不包括Wi-Fi或LTE的服务器主板的标准费用。
 
“但这并不是最容易选择使用这类产品的软件包,它不是你希望在主板上找到的软件包,”他说。 “如果你的主板上有这样的东西,你就会感觉到,'为那里做什么是什么?'”


Supermicro板是否集成了无线电技术还不清楚。
 
彭博支持其最初的报道。为期一年的调查纳入了17个消息来源的信息,其中一些消息来源为据称受影响的公司或美国政府工作或工作。
 
“作为典型的新闻实践,我们联系了许多主题专家,帮助我们理解和描述攻击的技术方面。植入物的具体工作方式由我们的主要来源描述,确认和阐述直接了解受损的Supermicro硬件.Joe FitzPatrick不是这17个个人主要来源之一,其中包括公司内部人员和政府官员,他在故事中的直接引用描述了硬件攻击如何发挥作用的假设示例,如故事“彭博新闻”发言人在向AppleInsider发表的一份声明中说道。 “我们的记者和编辑在出版前彻底审查每一个故事,这也不例外。”
 
苹果高管和高级安全工程师表示,对彭博的索赔进行的内部调查显示,没有证据表明硬件被篡改,该公司也未发现可能出现这些指控的无关事件。
 
苹果公司在周末发给国会的一封信中大致相同。
 
就他而言,菲茨帕特里克表示布隆伯格对所发生的事情的描述(如果有的话)是可疑的。
 
“我有专业知识来查看他的技术细节,我有知识来查看技术细节,看看他们是混乱的。他们不是完全错误,但他们是理论上的,”他说。 “我不知道其他对话的知识 - 其他17个来源和他们所说的内容,但我可以根据事情的技术方面推断,事情的非技术方面可能会以同样的方式混乱。”