Apple отказалась от публикации Bloomberg в Китае
На прошлой неделе Bloomberg опубликовал рассказ о боеголовках, связанный с аппаратным взломом, который позволил китайскому производителю вносить на материнские платы SuperMicro модификации оборудования размером не более, чем зерно риса, что подрывало их безопасность и позволяло машинам отправлять домашние данные даже тогда, когда предположительно обеспечено. Этот тип взлома на стороне предложения был предсказан исследователями безопасности в течение многих лет. Широкий отчет Блумберга был получен в 17 различных источниках, включая несколько высокопоставленных правительственных агентов и инсайдеров в таких компаниях, как Apple и Amazon, а также один источник в китайском правительстве.
Поскольку отчет поступил вживую, произошли две вещи. Во-первых, такие компании, как Apple и Amazon, категорически отрицали и отклоняли отчетность, взрывая их невиновность и заявляя, что изобретателей, описанных в отчете Bloomberg, абсолютно не произошло. Компания продолжала удваивать свои атаки на историю Блумберга, так как дала показания в письме Конгрессу о том, что отчет Bloomberg является измышлением.
Вот вице-президент Apple в полном письме InfoSec к Доме США и Сенату, опровергающему рассказ Блумберга «Большой хак».
Отрицания не становятся сильнее этого.
(По-прежнему нет слов о других 28 компаниях, заявленные Bloomberg, были скомпрометированы.) Pic.twitter.com/XGQAFe6rQJ
- Рене Ричи (@reneritchie) 8 октября 2018 года
В письме в Конгресс Apple пишет, что он общался с Bloomberg, начиная с октября 2017 года, но:
Хотя мы неоднократно обращались к ним с просьбой поделиться конкретными сведениями о предполагаемых злонамеренных фишек, они, похоже, были уверены, что они не желают или не могут предоставить более чем расплывчатые счета из вторых рук ... В конце концов, наши внутренние расследования прямо противоречили каждому последующему утверждению, сделанному в статье, некоторые из которых, мы отмечаем, были сделаны одним анонимным источником.
Apple никогда не находила вредоносных чипов, «аппаратных манипуляций» или уязвимостей, целенаправленно установленных на любом сервере. Мы никогда не предупреждали ФБР о любых проблемах безопасности, подобных тем, которые описаны в этой статье, и ФБР никогда не связывалось с нами по поводу такого расследования.
Эти опровержения становятся все более ошеломляющими, но Блумберг не отступает. В ответ на письмо Apple Блумберг переиздал свой собственный ответ, сказав:
Расследование Bloomberg Businessweek является результатом более чем года отчетности, в ходе которого мы провели более 100 интервью. Семнадцать отдельных источников, включая правительственных чиновников и инсайдеров в компаниях, подтвердили манипуляцию аппаратными средствами и другими элементами атак. ... Мы поддерживаем нашу историю и уверены в наших отчетах и источниках.
Когда Apple и Amazon вышли с их первоначальными опровержениями, мы были сильно на стороне Bloomberg. В конце концов, это было бы далеко не в первый раз, когда компании издавали опровержения и тщательно сформулированные заявления о характере проблемы только для того, чтобы эти отрицания взорвались свежей информацией. Но Apple сохранила свое оружие на этом и продолжала издавать очень четкие заявления, осуждающие любое участие в этом вопросе. В то же время, Bloomberg придерживается своих собственных орудий, несмотря на то, что Департамент внутренней безопасности выпустил замечания, которые поддерживают версии событий Apple.
Если Apple или другие компании лгут, они столкнутся с потенциальными штрафами со стороны акционеров и SEC. В то же время невероятно маловероятно, что Bloomberg поставит всю свою журналистскую репутацию на преднамеренную попытку исказить такие критические проблемы. Заявить, что компания была проникнута шпионскими агентами иностранной державы, не является тривиальным обвинением. Вероятно, поэтому исследование заняло год в первую очередь, и любое расследование, которое продолжается в течение целого года, вероятно, будет иметь несколько уровней контроля и оценки в игре, чтобы избежать такого сценария.
Но вот мы, пять дней спустя, и выводы, которые, по мнению Блумберга, еще не были подтверждены никакими другими точками. Компании, участвующие в проекте, продолжают активно протестовать. Bloomberg продолжает так же решительно поддерживать свою историю. Потенциальное участие национальной безопасности усложняет ситуацию, потому что федеральное правительство вполне способно приказывать компании лгать о том, получилось ли сообщение, но компании, которые лежат, склонны ошибаться, говоря точно, что они могут сказать, и драгоценные немного еще , Это самый верный способ избежать неприятностей. Может ли история и решительные отказы по-прежнему быть частью истории национальной безопасности, предназначенной для того, чтобы сеять FUD о том, что Соединенные Штаты действительно знают или не знают об разведывательных способностях Китая? Конечно. На данный момент это имеет такой же смысл, как и все. Но основы этой ситуации не имеют большого смысла, периода.
На этом этапе, утверждая, что одна сторона или другая лежит, чувствует себя довольно упрощенно. Мы находимся в точке, где последствия лжи начинают строить. Bloomberg удваивает ложь, которая может понести значительный репутационный ущерб, в то время как Apple будет лгать Конгрессу и общественности о некоторых невероятно важных проблемах. Возможно, люди, выдающие эти заявления, не знают правды, а не лгут, но это только вызывает больше вопросов о том, кто знает, что на самом деле произошло, а кто нет.
Возможно, я лично немного подошел слишком быстро, чтобы отклонить отказ Apple. На данный момент я действительно не уверен. Но здесь может быть только один набор историй. Либо эти события произошли, либо нет - и до сих пор нет никакого независимого подтверждения того, что история Блумберга верна. В то же время новости об аппаратной атаке вроде этого - длинно-теоретизированный вектор атаки - это не произошло, было бы удивительно безответственно. Несмотря на то, что Apple подразумевает, что Bloomberg просто ошибся в истории, истории, которые исследуются в течение года, не должны быть такими историями, которые можно просто «ошибаться». Это не сообщение о том, что один человек постучал в два часов для онлайн-статьи. И чем больше функция, тем больше глаз, как правило, в истории, прежде чем она выйдет вживую.
Людям нравится цинично подразумевать, что средства массовой информации делают все, что он делает для кликов, но не имеет смысла запускать историю такого масштаба на мистификацию. Ущерб личной и корпоративной репутации и потенциальный будущий доход от рекламы опережает любые возможные выгоды за несколько дней увеличения трафика. И с учетом того, что федеральные источники были вовлечены в поиск этой истории, неясно, какие проблемы национальной безопасности могут быть также сыграны, что еще более помутняет проблему.
Неясно, кто лжет, кто говорит правду, и кто может просто быть монументально ошибочным. Но мы еще не дошли до этой истории.
Читать далее
Intel не раскрыла Призрак, Meltdown для правительства США, пока не появилась публикация
Intel теперь признала, что решила не сообщать правительству США о Meltdown или Spectre, предпочитая вместо этого публиковать новости. У него не было таких сомнений в предупреждении других клиентов.