上週,彭博社披露了包括亞馬遜和蘋果在內的約 30 家公司的伺服器中存在源自中國的微型間諜晶片,給人留下了深刻的印象。這非凡駭客透過影響 Supermicro(一家在中國生產其產品的加州公司)主機板的生產,就有可能實現這一目標。
這令人難以置信的獨家新聞引起了IT產業的震動。但人們開始對這個故事的真實性產生懷疑。蘋果公司毫不拐彎抹角地極力否認了這篇文章的內容。「蘋果從未發現任何惡意晶片、硬體操縱或故意插入伺服器的漏洞。蘋果從未就此類事件與聯邦調查局或任何其他機構進行任何關聯。我們不知道任何聯邦調查局的調查,也不知道我們的執法部門的聯絡人。,我們可以讀入公報。
蘋果公司證實不知道任何事情
本週日,該公司透過負責安全的副總裁喬治·斯塔薩科普洛斯(George Stathakopoulos)進一步闡述了這一點。「Apple 的專有安全工具會不斷尋找此類出站流量,因為它表明存在惡意軟體或其他惡意活動。什麼也沒找到”,他在一篇文章中寫道致國會的信,並補充說他可以就此事接受採訪。
新的:#蘋果前總法律顧問告訴我,他去年向聯邦調查局總法律顧問詢問了涉嫌調查受污染晶片的問題。聯邦調查局的高級律師說:“這裡沒有人知道這個故事是關於什麼的。”https://t.co/NuaynJFNbr
— 約瑟夫·門 (@josephmenn)2018 年 10 月 5 日
蘋果的地位得到了國家安全機構國土安全部 (DHS) 的強化。“與我們的英國合作夥伴國家網路安全中心一樣,我們現階段沒有理由懷疑本文引用的公司的聲明”,我們可以讀入公報。然而,如果有一個機構應該意識到影響了大約 30 家美國公司的駭客攻擊,那就是國土安全部。
顯然,所有這些演員可能都有義務隱瞞真相。如果聯邦調查局所謂的調查屬於機密,這些公司可能會收到法律禁令(「國家安全信」),迫使它們保持沉默。這也是愛德華·斯諾登爆料時發生的事情:網路巨頭紛紛發表否認聲明,與舉報人發布的文件相矛盾。然而,蘋果在否認中明確表示,它不承擔任何沉默義務。
文章中的缺陷
面對這些否認,布隆伯格立場堅定。但越來越多的人指出他文章中的缺陷。當然,調查是基於17個消息來源,但他們都是匿名的。此外,沒有任何文件證實記者的指控。文章談到了一份分析報告,證明亞馬遜伺服器中存在這種晶片,但這份報告並沒有被記者直接看到,只有一位消息人士看到。也沒有著名晶片的真實照片。文字隨附的所有插圖均為資訊圖表或攝影創作。
一些安全專家也確定了文章中多次出現的著名晶片。這是一個六足耦合濾波器。喬·菲茨表示,理論上可以使用這種材料插入間諜設備。但他認為這不太可能,因為根據他的說法,這些組件在主機板上從來沒有找到。
Hector 和其他人已經確定了彭博文章中用於代表硬體植入的組件。我想分享一下我對這是否現實可行的看法:https://t.co/fPsuETfFDh
— 喬·菲茨 (@securelyfitz)2018 年 10 月 5 日
面對所有這些不一致的情況,有些人懷疑彭博社是否被灌輸了虛假故事。記者金澤特則認為,這篇文章毫無疑問是真實的,但作者可能對某些資訊進行了過多的推斷,導致他們得出了某些倉促的結論。但話又說回來,對於像彭博社這樣的新聞機構來說,這仍然是非常令人驚訝的。
我不認為彭博社的故事是編造的。我認為,鑑於蘋果/亞馬遜的強烈否認,也許有人發現了間諜晶片或被植入的證據,但這些公司卻沒有。更有可能的是,將這些點連結起來的消息來源弄錯了,或者彭博社把它們聯繫錯了https://t.co/Do2pMwd37Q
— 金澤特 (@KimZetter)2018 年 10 月 5 日
