Čínské bezpečnostní služby údajně propašovaly drobné špionážní čipy do amerických serverů. To by byl jistě skandál, ale v tomto příběhu lze najít i řadu nesrovnalostí. Kde je pravda?
Spekulace o čínských špionážních čipech se rychle šířily po internetu. Vyvolal je článek z Businessweeku společnosti Bloomberg ze dne 4. října, který popisoval, jak Čína infiltrovala desítky amerických společností prostřednictvím malého čipu umístěného na základních deskách počítačů, a technologický svět zatajil dech. Pomocí sedmnácti anonymních zdrojů tento časopis zrekonstruoval, jak se agentuře Čínské lidové osvobozenecké armády prostřednictvím dodavatelů amerického výrobce serverů Supermicro Computer z Číny a Tchaj-wanu podařilo umístit elektronická zadní vrátka do serverových základních desek. Šlo přitom o skutečně miniaturní čip velikosti zrnka rýže, který se maskoval jako neškodná komponenta skrytá mezi vrstvami desky (viz obrázek vpravo nahoře).
Sedmnáct anonymních zdrojů, málo důkazů
Podle článku se v uplynulých dvou letech měly takto infikované servery dostat asi do třiceti amerických firem, poskytovatelů služeb ve veřejném sektoru, do armády i do některých amerických bezpečnostních služeb. Tento podvod údajně vyšel najevo v roce 2015, kdy Amazon a Apple objevily podivné chyby při rutinním vyšetřování, do kterého se pak zapojila i bezpečnostní služba FBI.
Oficiální vyšetřování tohoto případu ještě stále probíhá. Jasné je zatím pouze jedno: čip, který byl údajně propojen s kontrolérem správy základní desky (Baseboard Management Controller, BMC), má přístup na kontrolované moduly počítače i na konzoli vzdálené správy. Typické bývá napojení na teplotní senzory, stav CPU, možnost vzdáleně počítač restartovat i možnost konfigurovat vzdáleně BIOS. Hackerům by se tak prostřednictvím tohoto čipu mohlo podařit získat přístup k síťovým zdrojům i systémové paměti. Toho by pak mohli využít ke stažení zmanipulovaného firmwaru z podobně napadeného serveru Supermicro a k instalaci malwaru, případně i k oslabení ochrany heslem. Po objevení tohoto problému se Apple údajně zbavil přibližně 7 000 serverů od společnosti Supermicro a zrušil objednávku na dalších 30 000. Do Amazonu se pak měl tento čip dostat tak, že byl součástí serverů společnosti Elemental Technologies, kterou Amazon převzal v rámci akvizice. Postiženého výpočetního centra umístěného v Číně se pak Amazon zbavil.
Bohužel zmíněný článek příliš nepopisuje technické detaily. Ačkoli se autoři odvolávají na nejméně sedmnáct zdrojů z postižených firem, jejich jména také neuvádějí. Přesto článek zasáhl IT svět jako bomba. To, že některé státy používají různé bezpečnostní mezery nebo jsou výrobci nuceni nechávat ve svých produktech tzv. zadní vrátka, je už celkem známé. Ale infiltrovat celý dodavatelský řetězec, aby bylo možné špehovat, případně sabotovat zahraniční firmy a vládní agentury a instituce ve velkém měřítku, to staví věc na zcela jinou úroveň. Nejde totiž v tomto případě o nějaký jednorázový hackerský útok, ale o útok na celou technickou infrastrukturu a důvěryhodnost celého odvětví.
A přinejmenším u společnosti Supermicro jde v podstatě o přežití. Den po oznámení těchto informací totiž došlo k poklesu ceny akcií o téměř 50 procent, na historicky nejnižší hodnotu, a k obnovení už v podstatě nedošlo. „25 let růstu a inovací“, jak se píše na webových stránkách této společnosti, tak mohlo být zničeno jedním novinovým článkem. Ani dementi samozřejmě v takovémto případě nepomůže.
Kde je tedy pravda? Spekulace, nebo skutečnost?
S neobvyklou vehemencí a důrazem odmítly společnosti Amazon, Apple a Supermicro to, že by k nějakému takovémuto incidentu došlo, a téměř agresivně zpochybnily základy celého článku. Nic o tom nevíme, s FBI na tom nespolupracujeme a příběh, který Bloomberg popisuje, nám není známý. V dopise Kongresu USA uvedl viceprezident společnosti Apple pro bezpečnost informací George Stathakopoulos, že zpráva Bloombergu není „pravdivá“: „Nakonec naše vnitřní vyšetřování přímo odporuje jakémukoli tvrzení uvedenému v článku.“ Tvrdí také, že Apple nikdy neobjevil čipy na deskách, nepřišel na manipulaci s hardwarem nebo na záměrně umístěné bezpečnostní mezery na svých serverech. „Ani jsme o takovýchto informacích neinformovali FBI a FBI ani nebyla v této záležitosti kontaktována. Dokonce i agentura NSA (National Security Agency), odborník na rafinované hackerské útoky, jak všichni víme od dob odhalení Snowdena, vyloučila, že o tom něco ví. Jsme překvapeni, pokud někdo disponuje takovýmito informacemi, měl by se obrátit na příslušné úřady.“
Takže jak to tedy doopravdy je? O proveditelnosti a smysluplnosti takovéhoto špionážního útoku se pochopitelně začalo rychle diskutovat na sociálních sítích i technologických stránkách. Hodně z toho byly samozřejmě pouhé spekulace, protože článek Bloombergu neobsahoval technické podrobnosti. Objevila se ale i řada základních faktů: takovýto hardwarový hackerský útok je extrémně komplikovaný, drahý, a jakmile jednou dojde k jeho odhalení, je rychle neutralizován. Pachatel může být rychle odhalen, a to ještě dřív, než stačí zmanipulovat servery v počítačovém centru. Bez ohledu na to, jak je čip velký, mění síťové proudy, které jsou nejprve zachyceny firewallem datového centra. Obecně platí, že existují mnohem jednodušší, bezpečnější a přímější způsoby, jak do hardwaru proniknout. Ukázalo se například, že mezi roky 2013 a 2014 měly konkrétně servery Super Micro vážné bezpečnostní mezery. Bezpečnostní výzkumník Michiganské univerzity o nich usoudil, že v jejich případě musí jít „buď o neschopnost, nebo o lhostejnost k bezpečnosti zákazníka“.
Bloomberg si každopádně za svou zprávou stojí a o týden později ještě přilil palivo do ohně. Zveřejnil totiž, že další velká americká telekomunikační společnost údajně objevila zmanipulovaný hardware Supermicro a v srpnu jej odstranila. Možná že tento příběh nezní přesvědčivě jen proto, že je ve skutečnosti mnohem složitější, než jak byl popsán. Tato poučení bychom si měli vzít z příkladu mistrovského počítačového červu Stuxnet, jehož skutečné schopnosti a cíle byly identifikovány až několik měsíců po jeho objevení.
Foto popis| Špion v serveru V článku Bloombergu byla zobrazena základní deska B1DRI společnosti Supermicro. Špionážní čip podle něj leží mezi čipem BMC a sběrnicí SPI (Serial Peripheral Interface). Není však jasné, zda nejde jen o ilustraci.
Foto popis| Počítačové centrum z modulární sady Supermicro nabízí hotové servery s deskami B1DRI, ale vyrábí také produkty přesně podle požadavků zákazníka.
Foto popis| Žádný hardware není zcela bezpečný Také NSA využívá hackerský hardware. Tento speciální kabel od monitoru převádí obrazové signály na radarový, aby ho bylo možné vzdáleně snímat.
O autorovi| FELIX KNOKE, autor@chip.cz