忘了中国间谍芯片的故事？我们还没有——它是错的

xiannv 2054天前

10月4日，彭博社报道称，中国政府在中国制造过程中将微型监控芯片放入选定的Super Micro服务器主板中，这些被窃听的电路板据称被运往大约30个组织 - 从主要银行和美国政府承包商到苹果和亚马逊 - 据称这些芯片旨在打开后门，允许数据被中国国家间谍提取。

这篇文章很快引起争议，因为没有人可以证实这个故事。就像Super Micro一样，苹果和亚马逊都发布了多次反驳，将自己的声誉放在了第一位，声明这一切都没发生过。

Supermicro立即反驳了这份报告，并聘请了一家外部调查公司。许多客户还进行了多次审核。Nardello测试了目前正在生产的主板以及过去曾出售给Apple和亚马逊的型号。该公司还研究了可疑的软件活动。

今天，Nardello得出结论，主板上没有任何恶意硬件的证据。

至关重要的是，Super Micro还将其客户咨询的副本转发给美国的金融监管机构 - 美国证券交易委员会（Securities and Exchange Commission），后者已在网上发布。

在给客户的信中，超微公司首席执行官查尔斯·梁和两位资深人士说，他们相信彭博的监控芯片插入其产品的故事是错误的。

“正如我们在报道这些指控后反复说过的那样，没有任何政府机构通知我们他们在我们的产品上发现了恶意硬件; 没有客户告诉我们他们在我们的产品上发现了恶意硬件; 我们从未在我们的产品上看到任何恶意硬件的证据，“Supermicro高管在信中写道。

无论如何，尽管没有任何证据证明存在恶意硬件芯片，但该公司正在“对其供应链进行复杂且耗时的审查”。

付出很大的代价

Bloomberg的文章发表于10月3日，在几个小时内就让Super Micro的股价下跌超过40％。但是，尽管报告中包括三家主要公司 - 苹果，亚马逊和超微 - 所有人都坚决否认这个故事，但Super Micro的股价并没有恢复。

在这个事件之后，它跌至12.46美元的低点，从21.40美元急剧下跌，但到撰写本文时，股价为14.74美元。这意味着9％的复苏，但在故事发布之前仍然下降了31％。

Super Micro强调说，彭博的文章没有得到任何官员的支持，包括联邦调查局局长克里斯托弗·雷，国家安全局高级网络安全顾问罗伯乔伊斯，国家情报部门主任Dan Coats，美国国土安全部和英国GCHQ都质疑这个故事。

然而，由于指控的性质 - 一个高度机密的国家支持的黑客行为 - 每个人，特别是股票市场，仍然保持警惕。长期以来，情报部门发布误导性的，有时是彻头彻尾的虚假陈述，并不能使它们成为最可靠的信息来源。

苹果和亚马逊也表现出强烈倾向，通过精心构建的反驳来摆脱尴尬局面。当然，反驳这个事件也非常符合Super Micro的利益。

也就是说，否认具有异乎寻常的特殊性和绝对性。随着时间的推移，越来越多的共识似乎是彭博社错误地讲述了这个故事。虽然更好的解释可能是它准确地报告了一些情报部门组织的错误信息活动。

虽然Bloomberg通常是新闻业的黄金标准，但原始作品存在许多问题。首先，几乎不可能从数据中心的漏洞机器中泄露数据，因为Apple和亚马逊至少拥有能够捕获意外网络流量的复杂监控工具。同样，他们应该能够检测到对操作系统和应用程序的未经授权的更改，这些更改是由于所谓的间谍芯片在引导期间将后门代码注入软件堆栈而引起的。

他们还检查硬件之前，它被投入生产：以及目视检查，它可以扫描主板的电磁辐射，并确定什么意外，比如走私到或PCB中一个微小的芯片-甚至还有一个专利在此一种技术。最后，Bloomberg中显示的芯片太小，不能真实地包含必要的逻辑和所有数据，以便将可行的后门插入软件堆栈。这可能仅仅是一个案例 - 意思是，记者没有证据显示芯片。

IT专家在此对Bloomberg的报告进行了更多的分析，或者更确切地说是技术性的删除。

撤回？

虽然这种解释足以满足大多数情况，但亚马逊和苹果等公司以及美国军方都在使用Super Micro的主板这一事实，中国政府仍有可能愿意投入大量资源，实施此类黑客攻击，这似乎是合情合理的。

然而，该声明确实反映出，越来越多的人认为，彭博社对这一事件进行了轰炸。上周，苹果首席执行官蒂姆库克呼吁新闻专线撤回这个报道，实际上是承认它的错误。今天早上，亚马逊网络服务负责人Andy Jassy加入了这次反驳，发推文称：“彭博社的事件也是亚马逊的错误。他们没有提供任何证据，故事不断演变，除非我们能够验证，否则他们对我们的答案毫无兴趣。记者要么被玩弄，要么肆意评论。彭博社应该撤回。“

到目前为止，彭博一直坚持自己的报道。

事件详情：https://nosec.org/home/detail/1873.html

来源：https://techcrunch.com/2018/12/11/supermicro-says-investigation-firm-found-no-spy-chips/

https://www.theregister.co.uk/2018/10/22/super_micro_chinese_spy_chip_sec/