O clima entre Apple e Bloomberg ainda está bastante estremecido após o veículo afirmar que tanto a Maçã quanto a Amazon e outras empresas do setor — incluindo também órgãos governamentais — teriam sido espionados pela China numa manobra envolvendo a instalação de microchips em servidores utilizados por essas empresas e agências do governo.
Muita água já rolou mas, até agora, os dois lados estão irredutíveis: enquanto a dupla Apple e Amazon continua afirmando que não há a menor chance de a história ser verídica (por tudo que já foi investido e, até agora, nada foi confirmado), a Bloomberg continua afirmando que a acusação foi fruto de uma investigação de mais de um ano, evolvendo mais de 17 fontes.
Pois vamos aos novos desdobramentos!
Inteligência Nacional também rebate a Bloomberg
O diretor de inteligência nacional dos EUA, Dan Coats, foi mais um a afirmar que, até o momento, o governo “não viu nenhuma evidência” de que chips de espionagem chineses tenham sido instalados em tais servidores, como informou o CyberScoop.
Não vimos nenhuma evidência disso, mas não estamos dando nada como garantido. Nós não vimos nada, mas estamos sempre de olho.
O comentário foi feito antes de um discurso na CyberTalks, onde o diretor abordou esses problemas na cadeia de suprimentos como uma faceta de ameaças à segurança cibernética e corroborou afirmações semelhantes vinda de pessoas como Rob Joyce (consultor sênior para estratégia de segurança cibernética na NSA).
Amazon também se posiciona
A Amazon Web Services, na figura do seu CEO Andy Jassy, também se posicionou.
@tim_cook is right. Bloomberg story is wrong about Amazon, too. They offered no proof, story kept changing, and showed no interest in our answers unless we could validate their theories. Reporters got played or took liberties. Bloomberg should retract. https://t.co/RZzuUt9fBM
— Andy Jassy (@ajassy) 22 de outubro de 2018
@tim_cook está certo. A história da Bloomberg está errada sobre a Amazon, também. Eles não ofereceram nenhuma prova, a história continuou mudando e não mostraram nenhum interesse em nossas respostas a menos que nós pudéssemos validar suas teorias. Repórteres foram manipulados ou falaram sem provas. A Bloomberg deve se retratar.
As palavras de Jassy dão peso à recente declaração do CEO da Apple, de que nada disso é verdade e que a Bloomberg deve se retratar.
Super Micro reavaliando seus produtos
A Super Micro (peça central nessa história, já que foi ela a acusada de manipular os servidores), por sua vez, anunciou que vai reavaliar as suas placas-mãe em busca de qualquer prova de chips maliciosos, como destacou a Reuters.
“Apesar da falta de qualquer prova de que existe um chip de hardware malicioso, estamos realizando uma revisão complicada e demorada para investigar as alegações da matéria”, informou a empresa em um comunicado.
Paralelamente, o CEO da empresa também se juntou a Cook ao pedir que a Bloomberg se retrate pela história, como informou Steve Kopack, da CNBC:
A Super Micro está empenhada em criar servidores de classe mundial e produtos de armazenamento. A história recente da Bloomberg criou confusão e preocupação injustificadas para nossos clientes e causou danos a nossos clientes e a nós. A Bloomberg deve agir com responsabilidade e retratar suas alegações não suportadas de que componentes de hardware mal-intencionados foram implantados em nossas placas-mãe durante o processo de fabricação.
As alegações implicam que há um grande número de placas-mãe afetadas. A Bloomberg não mostrou uma única placa-mãe afetada, não vimos nenhum componente de hardware malicioso em nossos produtos, nenhuma agência do governo nos contatou sobre componentes de hardware mal-intencionados e nenhum cliente informou ter encontrado componentes de hardware mal-intencionados.
Bloomberg está sozinha
Erik Wemple, crítico do The Washington Post (e que tem um blog dentro do jornal), falou sobre o assunto e, basicamente, disse que a bola agora está com a Bloomberg.
De acordo com suas fontes, New York Times, Wall Street Journal e The Post investigaram a história para ver se descobririam algo e, quem sabe, confirmar a história ou dar alguma outra versão dos fatos; mas nada foi encontrado.
Para Wemple, o melhor jornalismo é aquele que coloca em prática o que chamamos de engenharia reversa. Ele usou o maior case de sucesso atual para exemplificar isso: a recente investigação do New York Times sobre as finanças da família Trump, na qual o jornal publicou documentos, citou fontes — basicamente fez um levantamento completo da “acusação”, mostrando provas concretas do conteúdo do texto.
A Bloomberg, por outro lado, não deu praticamente nenhum roteiro para que as informações sejam reproduzidas (o que ajuda a explicar por que veículos concorrentes se esforçaram para confirmar tudo, mas não conseguiram). As negações das empresas (Apple e Amazon) e do governo americano basicamente obrigam a Bloomberg a acrescentar algum tipo de prova (seja atribuir mais repórteres à história, reentrevistar as fontes, pedir fotos e emails que comprovam algo… não importa). Se o veículo não fizer isso, Wemple acredita que a única solução é uma retratação.
Espionagem tecnicamente impossível?
Nós já comentamos que, do ponto de vista técnico, instalar um microchip em servidores par espionar uma empresa seria tecnicamente possível — pelo menos de acordo com uma ex-funcionária da Apple. Um especialista no assunto também afirmou que tal técnica é plausível, ainda que estivesse longe de ser a utilizada por ele para conseguir atingir tal finalidade. Mas não parece ser bem assim.
Resumidamente, uma analise bem aprofundada feita pelo site Serve The Home identificou como principal problema dessa história toda a descrição da matéria original de que os chips ficam “conectados ao controlador de gerenciamento da placa-mãe, um tipo de superchip que os administradores usam para fazer login remoto em servidores problemáticos, dando acesso ao código mais sensível mesmo em máquinas problemáticas ou desligadas”. Os chips também seriam capazes de dizer ao dispositivo conectado para se conectar a computadores externos e instalar códigos recebidos desses servidores no sistema operacional do dispositivo.
A alegação de que o dispositivo se comunica externamente é considerada falsa por eles devido às práticas básicas de segurança do setor (os BMCs1Baseboard management controller, ou controlador de gerenciamento de baseband. são normalmente conectados em rede separadamente das conexões voltadas para internet). Segundo o site, as firmas identificadas no relatório, incluindo Apple e Amazon, provavelmente têm melhores proteções de segurança do que uma pequena ou média empresa, o que incluiria segurança reforçada para BMCs, tornando esses ataques praticamente impossíveis.
O acesso a códigos sensíveis em máquinas com falhas ou desligadas também foi descartado pelo site, já que “não é assim que essa tecnologia funciona”. Quando o BMC está ligado, os armazenamentos de dados e o processador não estão ligados e não podem ser diretamente comunicados nesse estado. Ou seja, se o armazenamento do servidor não estiver ativado, ele ficará inacessível e nenhuma injeção de código tem como ser executada.
O site ainda rebateu outras partes do relatório da Bloomberg e basicamente insiste na ideia de que o veículo precisa apresentar informações verossímeis e verificáveis para provar que essa história é verdadeira — e que, se tais evidências ou informações não estiverem disponíveis, a Bloomberg deve se retratar e investigar como isso acabou passando na sua redação.
· • ·
A coisa está ficando feia para a Bloomberg…
via AppleInsider, Daring Fireball, Cult of Mac, 9to5Mac, Daring Fireball, AppleInsider
Notas de rodapé
- 1Baseboard management controller, ou controlador de gerenciamento de baseband.
