Apple заперечує історію китайської хакерської корпорації Bloomberg на Конгрес

Apple заперечує історію китайської хакерської корпорації Bloomberg на Конгрес

Минулого тижня Bloomberg опублікував історію бомбардувальної розбивки про апаратне забезпечення, яке дозволило китайському виробнику вставляти материнські плати SuperMicro не більше, ніж зерно рису, завдаючи шкоди їхній безпеці і дозволяючи машинам телефонувати додому, навіть якщо це нібито забезпечений Цей тип зламу з боку постачальників був передбачений дослідниками безпеки протягом багатьох років. Широкий звіт Bloomberg був отриманий з 17 різних джерел, у тому числі кількох високопоставлених урядових агентів та інсайдерів таких компаній як Apple і Amazon, а також одне джерело у китайському уряді.

З моменту надходження звіту в життя, відбулося дві речі. По-перше, такі компанії, як Apple та Amazon, цілком заперечили та відхилили звіти, підірвали їхню невинуватість і заявили, що винаходи, описані в звіті Bloomberg, абсолютно не відбулися. Компанія продовжує подвоїти свої напади на історію Bloomberg, збираючись так далеко, щоб свідчити в листі до Конгресу, що звіт Bloomberg є фабрикою.

Ось віце-прем'єр-міністр Apple з інформаційного агентства InfoSec до Будинку та Сенату США, який спростовує історію "Big Hack" Bloomberg.

Відмови від цього не стають сильнішими.

(Усе ще ніякого слова про / з інших 28 компаній Bloomberg претензії були скомпрометовані.) Pic.twitter.com/XGQAFe6rQJ

- Рене Річі (@reneritchie) 8 жовтня 2018 року

У листі до Конгресу Apple пише, що вона поспілкувалася з Bloomberg починаючи з жовтня 2017 року, але:

Хоча ми неодноразово попросили їх поділитися конкретними подробицями про передбачуваних зловмисних чіпах, вони, здавалося, були певними, вони не бажали або не могли надати більше, ніж розпливчасті другі рахунки ... Врешті-решт, наше внутрішнє розслідування прямо суперечило кожному окремому послідовному твердженню, зробленому в статті, деякі з них, ми відзначаємо, були зроблені одним анонімним джерелом.

Apple ніколи не знайшла зловмисних чипів, "апаратних маніпуляцій" або вразливостей, цілеспрямовано висаджених на будь-якому сервері. Ми ніколи не повідомляли ФБР про будь-які проблеми безпеки, подібні до тих, що описані в статті, а також про те, що ФБР коли-небудь звернувся до нас з приводу такого розслідування.

Ці відмови стають дедалі частіше, але Bloomberg не відстає. У відповідь на лист компанії Apple, Bloomberg перевидав власну відповідь, кажучи:

Розслідування компанії Bloomberg Businessweek є результатом більш ніж року звітування, протягом якого ми провели понад 100 інтерв'ю. Сімнадцять окремих джерел, включаючи урядовців та інсайдерів на підприємствах, підтвердили маніпулювання обладнанням та іншими елементами нападів. ... Ми підтримуємо нашу історію та впевнені у своїх звітах та джерелах.

Від ілюстрації китайського сервера Bloomberg, але ми до сих пір не знаємо, чи було зображення дійсним макетом обладнання чи ні.
Від ілюстрації китайського сервера Bloomberg, але ми до сих пір не знаємо, чи було зображення дійсним макетом обладнання чи ні.

Коли Apple та Amazon вийшли з їх початковими відмови, ми були сильно на бік Bloomberg. Врешті-решт, далеко не перший випадок, коли компанії видали відмову та ретельно формулювали твердження про характер проблеми, лише щоб ці відмови були підірвані нової інформацією. Але Apple тримав свої рушниці на цьому і продовжував видавати дуже чіткі заяви, що заперечують будь-яку участь у цьому питанні. У той же час "Блумберг" застряг у власних рушницях, незважаючи на те, що Міністерство внутрішніх справ видає зауваження, що підтримують версії подій компанії Apple.

Якщо Apple або інші компанії лежать, вони зіткнулися із можливими покараннями від акціонерів та SEC. У той же час, це неймовірно малоймовірно, що Bloomberg буде зацікавити всю свою журналістську репутацію шляхом навмисної спроби викривити такі критичні питання. Заявляючи, що компанія проникли шпигунськими агентами іноземної держави, це не є тривіальним звинуваченням. Цілком імовірно, чому розслідування передусім понад рік, і будь-яке розслідування, яке триває протягом цілого року, може мати декілька рівнів нагляду та оцінки у грі, саме для того, щоб уникнути подібного сценарію.

Але ми тут, через п'ять днів, і висновки Bloomberg, які, як стверджували, ще не були підтверджені ніякими іншими відділеннями. Залучені компанії продовжують рішуче протестувати. Bloomberg продовжує так само жорстко стояти за своєю історією. Потенційне залучення національної безпеки ускладнює ситуацію, оскільки федеральний уряд цілком здатний замовляти компанію, щоб вона брехала про те, чи отримала вона повідомлення - але компанії, які лежать, схильні помилятися, кажучи саме те, що вони можуть сказати, і ще дорогоцінне . Це найнадійніший спосіб уникнути неприємностей. Чи може ця історія та сильні відмови в житті залишатись частиною історії національної безпеки, яка призначена для того, щоб посіяти FUD про те, що Сполучені Штати насправді знають або не знають про розвідувальні можливості Китаю? Впевнений На цьому етапі це робить стільки ж сенсу, скільки завгодно. Але основи цієї ситуації не мають сенсу, період.

На цьому етапі, стверджуючи, що одна сторона або інша лежить, вважає себе досить спрощеною. Ми знаходимося в тому місці, де починають будувати наслідки брехні. Bloomberg подвоюється на брехні, які можуть призвести до значної шкоди репутації, тоді як Apple буде брехати Конгресу та громадськості про деякі неймовірно важливі проблеми. Цілком можливо, що люди, які видають ці заяви, не знають істини замість того, щоб брехати, але це лише ставить додаткові питання про те, хто знає, що дійсно відбулося, а хто ні.

Я, можливо, особисто трохи трохи занадто швидко, щоб відхилити відмову компанії Apple. На даний момент я справді невпевнений. Але тут може бути тільки один набір оповідань. Або ці події відбулися або вони не відбулися - і поки що немає незалежного підтвердження того, що історія Bloomberg справжня. У той же час новини про апаратну атаку, як це - довгоосвітлений вектор атаки - це не було, було б дивовижно безвідповідально. Для всього того, що Apple вважає, що Bloomberg просто не зрозумів цю історію, розповіді, які досліджуються на рік, не повинні бути подібними історіями, можна просто "помилитися". Це не той звіт, за яким одна людина збита вдвох годин для онлайн-статті. І чим більше ця функція, тим більше очей, як правило, потрапляє до історії, перш ніж вона почне діяти.

Людям подобається цинічно підказати, що ЗМІ робить все, що він робить для клацань, але це мало сенсу розповісти про таку величину з приводу обману. Збиток від особистої та корпоративної репутації та потенційного майбутнього доходу від реклами перевершує будь-яку можливу вигоду від кількох днів збільшення трафіку. І з огляду на те, що федеральні джерела були залучені до пошуку джерел, незрозуміло, які проблеми національної безпеки можуть також відігравати, і далі поглиблювати цю проблему.

Незрозуміло, хто бреше, хто говорить правду, і хто може просто монументально помилятися. Але ми ще не до кінця цієї історії.

Читати далі

Apple, щоб блокувати поліцію iPhone хакерські інструменти в майбутньому оновлення

Як повідомляється, Apple почав шукати в експерименті GrayKey після новини про пристрій, що з'явився в минулому році. Замість того, щоб грати в кішку і мишу з компанією для виправлення експлойтів, Apple просто вирішила обмежити дані на USB-порту.

Bloomberg претендує на хакерський сервер SuperMicro, знайдений в US Telecom

Минулого тижня Bloomberg опублікував вибухову статтю про те, що сервери SuperMicro були знайдені з критичними компромісами на рівні апаратного забезпечення, які могли бути вставлені лише на заводі. Звинувачення викликали потрясіння через міжнародну технічну спільноту. Теорія таких атак була теоретично можлива протягом багатьох років, але ніхто, як відомо, фактично не відбувся. Але в ...

Microsoft: Російські хакерські компанії, націлені на обладнання через IoT

Ми вже бачили зловмисне програмне забезпечення, яке націлене на обладнання IoT, але зараз Microsoft каже, що виявила скоординовану хакерську кампанію, орієнтовану на уряд, політичні групи та благодійні організації через пристрої, такі як принтери та телефони VoIP.