La noticia de Bloomberg fue un baldazo de agua fría para toda la industria del Hardware y si no la leyeron a continuación se las resumo. El medio se centró en una supuesta investigación del FBI ante hardware “adulterado” por el gobierno chino y que fue detectado tanto en Apple como en Amazon.
No se trata de un hack ni de un rootkit sino de hardware físicamente modificado para incorporar un chip en medio de todo su diseño y que éste pequeño pedazo de silicio pudiese interferir o transformarse en el vector de ataque en servidores de la marca Supermicro que en algún momento compraron tanto Amazon como Apple para sus servicios de Cloud.
Hasta aquí sería una historia fenomenal porque Bloomberg suele tener muy buena investigación y más aun cuando se trata de exponerse a dar nombres de empresas… y no cualquier empresa. El departamento de legales del medio seguramente chequeó y recontra chequeó las notas de los periodistas antes de darle salida a semejante artículo que recomiendo leer.
Ahora bien, Apple, Amazon y Supermicro no se quedaron de brazos cruzados y aquí lo más interesante y la razón de este artículo, contestaron, pero no a medias, con toda la furia que pudieron y eso tampoco es común, para nada, no se suele ver esto ¿Qué está sucediendo?
Como medio digital es fácil quedar en el medio de un error por apurarse a publicar y no chequear algo, es usual, pasa todos los días y no me extrañaría esto en cualquier otro medio, pero como dicen en The Register:
FWIW: Bloomberg has, internally, a zero tolerance for inaccuracies, with several layers of editors checking stories. It is a virtual army of ~2,000 journalists. The Supermicro story today took months to develop.
Today’s claims and denials are like matter and antimatter colliding
— The Register (@TheRegister) 4 de octubre de 2018
“Bloomberg tiene cero tolerancia con inexactitudes y varios abogados y editores chequeando historias. Es una armada virtual de 2000 periodistas. La historia de Supermicro de hoy llevó meses de desarrollo. La acusación y las negativas de hoy son como materia y antimateria colisionando.”
Esto es ya un wow, no es normal, una cosa es negar vagamente y otra muy distinta es la reacción que han tenido los supuestos involucrados y digo supuestos porque se encargaron no sólo de negar sino de acusar a Bloomberg de prácticamente mentir.
La historia es interesante, según Bloomberg tanto en Apple como en Amazon detectaron algunos fallos en algunos servidores que estaban probando, luego de una extensa inspección habrían detectado algo raro, un chip que no estaba en el diseño original.
Según el medio ambos, en distintos momentos y en distintos proyectos, se encontraron con lo mismo e informaron debidamente al FBI quien habría iniciado una investigación. Escribo todo esto en potencial pero básicamente es lo que dicen que sucedió.
Según ellos hasta generó investigaciones internas y se mantuvo todo con mucho secretismo, hasta se especifican movimientos comerciales y distintas acciones de las compañías pero lo interesante es que habla de fuentes de la investigación quienes habrían aportado estos datos para el artículo periodístico e incluyen fuentes secretas en las firmas.
Para Supermicro es un golpe fulminante porque es quien supuestamente incorporó esos chips en los motherboards de sus servidores, Amazon y Apple funcionan como clientes que fueron engañados pero su furibunda respuesta los pone en una posición extraña. Al parecer nadie quiere salir muy golpeado ni mucho menos expuesto.
La respuesta
Apple explicó hoy su posición, furibunda, anormal para una compañía que suele ser muy correcta al expresarse pero con una seguridad que hace temblar el artículo publicado, no sólo niegan que todo esto existió alguna vez, que ni hubo descubrimiento interno ni interacción alguna con el FBI, además comentan que cuando Bloomberg se acercó a ellos para confirmar esta historia ellos ni siquiera sabían de qué les estaban hablando.
Las preguntas duraron meses donde siempre se negó todo y jamás confirmaron nada porque, según ellos, nada de esto era real ni existía.
Amazon tiene una postura similar aunque ambos hablan de “erróneo” leyendo la publicación de prensa se nota que estan al borde de decir “mentira” pero nunca usan semejante término aunque decir “untrue” es básicamente lo mismo nunca dicen “lie”.
También aclaran que la venta de un datacenter en China no tuvo nada que ver con esto sino que fue para cumplir con las leyes del país oriental.
Por su parte Supermicro se toma de estos dos anuncios de prensa para construir su defensa pública, aunque el daño de PR ya está hecho, quién compraría un servidor de Supermicro cuando fueron acusados de semejante maniobra de poder y control por parte del gobierno de China.
Es posible?
Ahora bien, todo esto es posible? Es posible infiltrar a un proveedor de hardware para lograr incrustar un poco de hardware a medida dentro de otro?
Bueno, técnicamente siempre es posible si se tiene control de la cadena de producción. Para esto Supermicro era un buen target porque fabricaban sus propios motherboards. Para hacerlo (el ataque) era necesario tener MUCHO conocimiento del hardware y cómo funciona.
No es que uno pone un chip en el medio de cualquier bus de datos y podrá infiltrarlo, lo más probable es que rompa la comunicación y nunca funcione nada. Para que funcione se tiene que conocer a la perfección cómo señaliza, velocidades, bus de datos, etc. Algo que el artículo de Bloomberg no detalla desde ningún aspecto técnico.
De aquí en más el chip puede tener una enorme variedad de funciones. Lo más extremo sería que inflitrara código o funciones específicas para descargar un “payload” con código a ejecutar en el servidor a escondidas del sitema operativo. Esto no sería fácilmente detectable porque idealmente se podría ejecutar por fuera de toda capacidad de detección, es como un rootkit pero en hardware, casi inviolable.
El chip es demasiado chico como para ser complejo pero a veces ni hace falta que tenga mucha inteligencia, tan sólo tiene que poder liberar el hardware de alguno de tantos métodos de seguridad que trae un motherboard y así abrir una puerta hacia cualquier ataque específico bien organizado. El rango es muy amplio y tampoco se detalla demasiado.
Ahora bien, todo esto cae en un momento muy particular y por eso tomo con pinzas tanto el artículo como las virulentas respuestas, porque si bien es posible desde lo técnico y de China no me espero menos, también hay una guerra comercial bestial entre los EEUU y el gigante asiático y esto es expuesto en un momento crítico de la relación comercial entre ambos países.
Recuerden que grandes como Huawei han tenido problemas y ni hablar lo que había sucedido con ZTE, son ejemplos de la relación difícil que tienen, tranquilamente eso nos podría hacer sospechar un poco pero… ¿Por qué se suicidaría editorialmente así Bloomberg? Tampoco me cierra eso y por eso todo esto tiene un final muy abierto que no puedo augurar por qué sendero continuará pero que, sin dudas, dará para discutir mucho.
Aparentemente poner toda la producción tecnológica en manos de un país que gusta de vigilar a su propia gente no habría sido una buena idea.
Hoy leía un [em]thread[/em] sobre esto, tratando de entender, y también se mencionaba que por un lado es fácil de meter un chip en cualquier lado, pero que haga algo útil sin ser detectado ya es más difícil y que, llegado el caso, es más sencillo meterse en los firmware de cualquiera de las capas que hay desde el UEFI e incluso metiéndose con el protocolo i2c que se usa en todos lados.
Por la forma en que saltaron Amazon y Apple parecería indicar que sabían de esto desde hace rato. Usualmente ante este tipo de denuncias las grandes empresas suelen hacer declaraciones escuetas como una forma de despegarse sin hacer mucho ruido. Y no es lo que está pasando aquí.
Como sea, lo que se me ocurre es vamos a ver algún cambio importante pronto en USA del tipo que obligarán a fabricar "equipos sensibles" dentro de USA, como una forma de tranquilizar a los suyos y, de paso, que la NSA pueda [em]auditar[/em] como corresponde :D.
with several layers of editors
con varias capas de editores
no es abogados