Senadores americanos questionam Super Micro e FBI sobre espionagem da China


Pelo visto, estamos diante de um dos escândalos mais cabeludos e complexos dos últimos anos no mundo da tecnologia.

Como já informamos, a Bloomberg Businessweek afirmou recentemente que data centers operados por Apple, Amazon e muitas outras empresas americanas (cerca de 30, no total) — bem como agências do próprio governo americano — podem ter sido alvo de vigilância do governo chinês.

O caso já teve diversos desdobramentos, com ex-empregado da Apple dizendo que a espionagem é possível, ex-diretor jurídico afirmando que nada disso aconteceu, pesquisador de segurança achando a história para lá de estranha e novas evidências surgindo… Agora, mais um.

Senadores americanos de ambos os partidos (democrata e republicano) querem mais respostas da Super Micro, a empresa chinesa que teria implantado microchips espiões nos servidores da Maçã e de outras empresas. Marco Rubio e Richard Blumenthal enviaram uma carta para o CEO da Super Micro, Charles Liang, com basicamente oito questionamentos, os quais nós traduzimos abaixo:

  1. Quando a Super Micro tomou conhecimento de relatórios sobre componentes de hardware e firmware maliciosos em seus computadores e hardwares? A Super Micro já encontrou adulteração de componentes ou firmware direcionados a seus produtos?
  2. A Super Micro realizou uma investigação de sua cadeia de fornecedores para identificar possíveis modificações ou problemas de segurança em seus produtos? Se encontrou adulteração, cortou laços com esses fornecedores?
  3. Se a Super Micro encontrou ou tomou conhecimento de modificação não justificada no hardware ou firmware, tomou medidas para remover o produto adulterado da cadeia de suprimentos?
  4. Quando o The Information informou, em fevereiro de 2017, que a Apple havia encontrado um firmware comprometido, a Super Micro conduziu alguma investigação sobre a possível infiltração na sua cadeia de suprimentos, conforme o Sr. Leng se comprometeu a fazê-lo? Em caso afirmativo, quais foram os resultados desta investigação?
  5. A Super Micro cooperou com órgãos e agências do governo nos Estados Unidos para tratar desses relatórios? Se for encontrada alguma adulteração, você fornecerá uma lista de clientes potencialmente afetados às autoridades dos EUA e fornecerá informações aos clientes?
  6. A Super Micro decretou medidas de triagem ou auditorias para avaliar sua cadeia de suprimentos, e detectar e mitigar quaisquer tentativas de falsificação de produtos?
  7. Se a adulteração for encontrada, a Super Micro avalia que tal adulteração pode ser mitigada com base em atualizações de firmware, patches de software, alterações de configuração ou defesas do sistema operacional?
  8. O governo chinês já solicitou acesso a informações de segurança confidenciais da Super Micro ou procurou restringir informações sobre a segurança dos produtos da Super Micro?

Mas os questionamentos do senado americano não terminaram aí, não (mais sobre isso abaixo).

Consultor da NSA questiona Bloomberg

Enquanto isso, Rob Joyce (consultor sênior para estratégia de segurança cibernética na NSA) basicamente disse que faltam evidências relacionadas às duas histórias recentes publicadas pela Bloomberg (da espionagem na Apple, Amazon e outras e de um hardware manipulado encontrado em uma grande telecom americana) e, por isso, solicitou abertamente que pessoas com conhecimento da situação prestassem algum tipo de assistência.

Joyce afirmou que todos os seus contatos na indústria estão “perdendo a cabeça” preocupados com essa possibilidade de espionagem, mas que ninguém encontrou absolutamente nada.

FBI e Departamento de Segurança Interna no Comitê de Segurança Interna do Senado

O diretor do FBI, Christopher Wray, se esquivou das perguntas no senado americano sobre a possibilidade de os serviços de inteligência da China terem utilizado subcontratantes para implantar microchips maliciosos em servidores destinados às principais empresas dos EUA, incluindo Apple e Amazon.

Ao Comitê de Segurança Interna do Senado, Wray disse: “Temos uma política muito específica que se aplica a nós como agências de aplicação da lei para não confirmar nem negar a existência de uma investigação. Eu quero ter o cuidado para que meu comentário não seja interpretado como inferindo, implicando que existe uma investigação.”

Como sabemos, de acordo com a Bloomberg (que cita autoridades de segurança nacionais familiarizadas com o assunto), o FBI investigou a suposta infiltração nos servidores montados pela Super Micro e utilizados por Apple, Amazon e outras.

O senador republicado e presidente do comitê, Ron Johnson, afirmou que a história parece ser “um relatório muito bom” e questionou como ele descobriu isso tudo pela matéria da Bloomberg em vez de por um contato do próprio governo (no caso, do FBI), dizendo ainda que, se tudo isso não é verdade, ele gostaria de ver o FBI negando.

Quem também participou da sabatina foi a Secretária de Segurança Interna, Kirstjen Nielsen, que basicamente repetiu o posicionamento já dado pelo Departamento de Segurança Interna dos EUA: “Não temos motivos para duvidar do que as empresas disseram.”

Mais um especialista contra a Bloomberg

No último artigo que fizemos sobre o assunto, falamos da nova evidencia que surgiu com a descoberta de que uma grande empresa de telecomunicações americana detectou um hardware manipulado pela mesma Super Micro em sua rede. A descoberta foi feita pelo especialista Yossi Appleboum, codiretor executivo da Sepio Systems (especializada em segurança de hardware).

Ontem mesmo, em entrevista a Patrick Kennedy (do ServeTheHome, site focado em servidores), Appleboum desabafou sobre a matéria da Bloomberg.

De forma resumida, Appleboum deu a entender que o veículo está noticiando tudo isso como um problema que afeta apenas a Super Micro, Apple, Amazon e algumas outras, quando na verdade se trata de algo muito mais abrangente, intrínseco à indústria, e que nunca recebeu a devida atenção.

Em seu trabalho, Appleboum disse que encontra esse tipo de problema em diferentes fornecedores, não apenas em produtos da Super Micro:

Descobrimos que não apenas em servidores, em diferentes variações, mas a manipulação de hardware em diferentes interfaces, principalmente em relação à rede. Encontramos em diferentes dispositivos conectados à rede, até mesmo em switches Ethernet. Eu estou falando sobre o que são consideradas grandes marcas americanas, muitas delas comprometidas pelo mesmo método.

É por isso que acho que a Super Micro não tem nada a ver com isso. Em muitos casos, a propósito, não é na fabricação [que acontece a manipulação], é depois, na cadeia de suprimentos.

As pessoas pensam na cadeia de suprimentos em um sentido muito restrito entre o fabricante e o cliente. Cadeia de suprimentos nunca termina. Existem técnicos, há integradores, tem gente que trabalha nas suas instalações. Temos visto após a instalação, após o problema de ataques, que alguém trocou algo já instalado. É por isso que a Super Micro não teria ideia do que acontece depois na cadeia de suprimentos.

[…]

Nós temos um problema. O problema é a cadeia de suprimentos de hardware. Todos nós estamos lidando com o que aconteceu com a Super Micro, se a Amazon sabia ou não. Essa não é a questão principal para mim. A questão principal é que temos um problema. É global. É por isso que eu acho que a Super Micro está sofrendo com as grandes empresas. Eu estou falando sobre as empresas realmente grandes que sabem que eles têm o mesmo problema e eles estão meio que usando a história agora mesmo para jogar a Super Micro debaixo do ônibus em vez de sair e dizer que isso é um problema global, [que] vamos consertar isso e achar uma solução.

Sem querer fazer jabá para a sua empresa — mas já fazendo —, Appleboum afirmou que são gastos cerca de US$100 bilhões em proteções contra ataques relacionados a software, mas US$0 para descobrir ou previnir ataques de hardware. “Isso é irresponsável e esse é o problema que precisamos consertar.”

Sobre em que ponto exatamente da cadeia esse tipo de problema é mais comum acontecer, o especialista disse não ter números ou estatísticas sobre o quanto isso acontece no processo de fabricação ou depois dele, mas que, se tivesse que dar um palpite, acha que a maioria acontece depois por um motivo simples: se alguém faz isso no processo de fabricação, eventualmente surgirá o nome de alguém; se acontecer depois, é muito mais difícil achar uma pessoa, um culpado.

Para Appleboum, a Super Micro é inocente e alguém está usando-a para diluir a história em vez de mitigar a ameaça: “Lidar com isso como um problema do Super Micro vai arruinar a oportunidade de encarar a realidade que precisamos consertar.”

Ou seja, já temos agora uma pitada de conspiração para deixar tudo mais animado.

via Business Insider, AppleInsider, Bloomberg

Posts recomendados
Comentários

O Modo Escuro foi ativado ou desativado.
Atualize esta página para ver os comentários.


Carregar mais posts recentes

Relatório de erro de ortografia

O texto a seguir será enviado para nossos editores: