Báo cáo gián điệp chip Trung Quốc cho thấy chuỗi cung ứng vẫn là điểm yếu cuối cùng
 |
| Học lập trình viên |
Chúng tôi đã đề cập đến câu chuyện trước đó , bao gồm cả việc từ chối bởi Apple, Amazon và Supermicro - nhà sản xuất máy chủ được báo cáo nhắm mục tiêu bởi chính phủ Trung Quốc.
Táo không trả lời yêu cầu nhận xét. Amazoncho biết trong một bài đăng blog rằng nó “sử dụng các tiêu chuẩn an ninh nghiêm ngặt qua chuỗi cung ứng của chúng tôi.” FBI đã không trở lại yêu cầu bình luận nhưng từ chối Bloomberg, và Văn phòng cho Giám đốc tình báo quốc gia từ chối bình luận.
Đây là một câu chuyện phức tạp dựa trên hơn một chục nguồn vô danh - nhiều người trong số đó đang chia sẻ thông tin được phân loại hoặc có độ nhạy cao, làm cho các nhận xét trên hồ sơ không thể không có hậu quả. Bất chấp sự từ chối của các công ty, Bloomberg đang đặt niềm tin vào việc người đọc sẽ tin tưởng vào báo cáo.
Phần lớn câu chuyện có thể được tóm tắt với một dòng này từ một cựu quan chức Mỹ: “Các bo mạch chủ tấn công Supermicro giống như tấn công Windows. Nó giống như tấn công toàn thế giới. ”
Đó là một điểm công bằng. Supermicro là một trong những công ty công nghệ lớn nhất mà bạn có thể chưa từng nghe đến. Đó là một siêu máy tính có trụ sở tại San Jose, California, với các hoạt động sản xuất toàn cầu trên toàn thế giới - bao gồm cả Trung Quốc, nơi nó xây dựng hầu hết các bo mạch chủ của mình.
Những bo mạch chủ này nhỏ giọt trong suốt phần còn lại của công nghệ thế giới - và được sử dụng trong các máy chủ trung tâm dữ liệu của Amazon cung cấp năng lượng cho đám mây Amazon Web Services và iCloud của Apple.
Một quan chức chính phủ nói với Bloomberg cho biết mục tiêu của Trung Quốc là "truy cập dài hạn vào các bí mật công ty có giá trị cao và các mạng lưới chính phủ nhạy cảm", phù hợp với sách vở nỗ lực lâu dài của Trung Quốc để ăn cắp tài sản trí tuệ.
“Không có dữ liệu người tiêu dùng nào bị đánh cắp,” Bloomberg nói.
Infiltrating Supermicro, nếu đúng, sẽ có hiệu ứng gợn sóng lâu dài đối với ngành công nghiệp công nghệ rộng lớn hơn và cách họ tiếp cận chuỗi cung ứng của riêng họ. Đừng nhầm lẫn - việc giới thiệu bất kỳ loại công nghệ bên ngoài nào trong trung tâm dữ liệu của bạn không được các công ty công nghệ thực hiện một cách nhẹ nhàng.
Sợ hãi của gián điệp của công ty và nhà nước bảo trợ đã được rife trong nhiều năm. Đó là một trong những lý do tại sao Mỹ và Úc đã cấm một số người khổng lồ viễn thông Trung Quốc - như ZTE - hoạt động trên mạng của mình.
Có một phần quan trọng trong quá trình sản xuất của bạn thâm nhập - được hack một cách hiệu quả - đặt mọi chuỗi cung ứng được tin cậy vào vấn đề an toàn.
Với gần như mọi thiết bị điện tử tiêu dùng hoặc ô tô, các nhà sản xuất phải mua các bộ phận và thành phần khác nhau từ nhiều nguồn khác nhau trên toàn cầu. Đảm bảo tính toàn vẹn của mỗi thành phần gần như không thể. Nhưng vì quá nhiều thành phần có nguồn gốc từ hoặc lắp ráp ở Trung Quốc, Bắc Kinh dễ dàng hơn nhiều so với bất kỳ quốc gia nào khác để xâm nhập mà không có ai chú ý.
Câu hỏi lớn bây giờ là làm thế nào để bảo đảm chuỗi cung ứng?
Các công ty từ lâu đã nhìn thấy mối đe dọa chuỗi cung ứng như là một yếu tố nguy cơ chính. Apple và Amazon giảm hơn 1% trong phiên giao dịch đầu thứ Năm và Supermicro giảm hơn 35% (tại thời điểm viết bài) sau tin tức. Nhưng các công ty nhận thức sâu sắc rằng việc rút khỏi Trung Quốc sẽ khiến họ tốn kém hơn. Lao động và lắp ráp rẻ hơn ở Trung Quốc, và các bộ phận chuyên dụng và các thành phần cụ thể thường không thể tìm thấy ở nơi khác.
Thay vào đó, việc khóa chuỗi cung ứng hiện tại là lựa chọn duy nhất khả thi.
Người khổng lồ an ninh CrowdStrike gần đây đã phát hiện ra rằng phần lớn - 9 trong số 10 công ty - đã bị tấn công chuỗi cung ứng phần mềm, nơi một nhà cung cấp hoặc một phần nhà sản xuất bị tấn công bởi ransomware, dẫn đến việc ngừng hoạt động.
Nhưng việc bảo vệ chuỗi cung ứng phần cứng là một nhiệm vụ hoàn toàn khác - ít nhất là đối với thử thách hậu cần.
Một số công ty đã xác định được nguy cơ của các cuộc tấn công sản xuất và thực hiện các bước để giảm thiểu. BlackBerry là một trong những công ty đầu tiên đưa tin cậy vào điện thoại của mình - một tính năng bảo mật ký mã hóa các thành phần trong từng thiết bị, ngăn chặn hiệu quả phần cứng của thiết bị. Khóa bảo mật Titan mới của Google cố gắng ngăn chặn các cuộc tấn công cấp sản xuất bằng cách nướng trong mã hóa trong các chip phần cứng trước khi khóa được lắp ráp.
Mặc dù lúc bắt đầu, nó không phải là một giải pháp một kích thước phù hợp. Cựu hacker NSA Jake Williams, người sáng lập của Rendition Infosec , nói rằng ngay cả những biện pháp bảo mật phần cứng có thể không đủ để bảo vệ chống lại Trung Quốc nếu các chip cấy ghép có quyền truy cập bộ nhớ trực tiếp.
"Họ có thể sửa đổi bộ nhớ trực tiếp sau khi quá trình khởi động an toàn kết thúc," anh nói với TechCrunch.
Một số thậm chí đã chỉ vào blockchain như một giải pháp có thể. Bằng cách ký mã hóa - giống như trong thư mục gốc của sự tin tưởng - mỗi bước của quá trình sản xuất, blockchain có thể được sử dụng để theo dõi hàng hóa, chip và các thành phần trong suốt chuỗi.
Thay vào đó, các nhà sản xuất thường phải hành động một cách phản ứng và đối phó với các mối đe dọa khi chúng xuất hiện.
Theo Bloomberg, “vì các chip cấy ghép được thiết kế để ping các máy tính ẩn danh trên internet để có thêm hướng dẫn, các tác nhân có thể tấn công các máy tính đó để xác định những người khác bị ảnh hưởng”.
Williams nói rằng báo cáo nêu bật sự cần thiết phải theo dõi an ninh mạng. "Trong khi tổ chức trung bình của bạn thiếu tài nguyên để khám phá một phần cứng cấy ghép (chẳng hạn như những người phát hiện được sử dụng bởi [chính phủ Trung Quốc]), họ có thể thấy bằng chứng của kẻ tấn công trên mạng," ông nói.
"Điều quan trọng cần nhớ là chip độc hại không phải là ma thuật - để có ích, nó vẫn phải giao tiếp với một máy chủ từ xa để nhận lệnh và exfiltrate dữ liệu," ông nói. "Đây là nơi mà các nhà điều tra sẽ có thể khám phá ra một sự thỏa hiệp."
Cộng đồng tình báo được cho là vẫn đang điều tra sau khi lần đầu tiên phát hiện nỗ lực gián điệp của Trung Quốc, một số ba năm sau khi nó lần đầu tiên mở một thăm dò. Cuộc điều tra được cho là đã được phân loại - và không có các quan chức tình báo Mỹ nào chưa nói chuyện trong biên bản - thậm chí để thuyết phục nỗi sợ hãi.
Leave a Comment