Apple meldt congres VS dat het geen malafide chips heeft gevonden
Apple heeft het het Amerikaanse Congres verteld dat het geen malafide microchips in de eigen systemen heeft aangetroffen zoals Bloomberg Businessweek vorige week berichtte. Volgens Bloomberg had het Chinese leger malafide microchips aan moederborden van Supermicro toegevoegd. Deze moederborden werden vervolgens gebruikt in servers die onder andere bij Amazon en Apple zouden zijn aangetroffen.
Via de chips zou het mogelijk zijn om de servers op afstand te benaderen. Apple en Amazon plaatsten op hun eigen website uitgebreide verklaringen waarin ze het verhaal van Bloomberg ontkenden. Nu heeft Apple ook een brief naar het Amerikaanse Congres verstuurd waarin het de eerdere verklaring herhaalt. "De beveiligingstools van Apple scannen continu naar precies dit soort uitgaand verkeer, aangezien het op de aanwezigheid van malware of andere kwaadaardige activiteiten wijst. Er is nooit iets gevonden", aldus Apple-topman George Stathakopoulos.
Verder laat Stathakopoulos weten dat Apple nooit malafide microchips of kwetsbaarheden heeft aangetroffen die doelbewust aan servers zouden zijn toegevoegd, zo blijkt uit de brief die Apple naar het congres stuurde en in handen van persbureau Reuters kwam. Ook heeft het geen contact met de FBI over dergelijke zaken gehad, zoals Bloomberg beweerde. Eerder stelden de Amerikaanse en Britse overheid dat ze niet aan de verklaringen van Apple en Amazon twijfelden.
Ik ben niet deskundig genoeg om een waardevolle mening te geven wie er gelijk heeft. De onderbuik geeft Bloomberg gelijk, omdat A) geen belang hebben bij een hoax en als er een rechtszaak komt (en die komt er vast) en ze zouden ongelijk hebben, dan stopt het bestaan van Bloomberg direct door de megaclaims die Apple/Amazon zullen neerleggen en B) het verhaal van Bloomberg is net even te gedetailleerd voor een hoax die daardoor goed controleerbaar zou zijn.
Anyway, vermakelijke kost en de komende periode zal er nog veel over geschreven worden.
Een Supermicro server met een 'Intel inside' sticker heeft in ieder geval een hele nieuwe betekenis gekregen........
http://blog.ptsecurity.com/2017/08/disabling-intel-me.html
Het is nu allemaal, "Hey, look-out - Red under my Bed!".
Zo lang de rechter een massa claim steeds kan afwijzen, zoals bij Google in het Verenigd Koninkrijk voor het omzeilen van privacy instellingen, heeft Big Tech niets te vrezen.
Verder we horen het nooit echt wie het heeft gedaan, China Super-spy chip of toch een NSA backdoor via deze chip.
Totaal gebrek aan kritische geest.
Dus daarmee kunnen ze dit zo afdoen.
Ik vraag me meer af waarom ze niet bij Bloomberg aankloppen. Zij beweren de bewijzen te hebben. Één bewijs kan 1000 ontkenningen ontkrachten.
1 je kunt er vrij zeker van zijn dat dit op een geblokkeerd VLAN zit (ik richt vanuit security altijd netwerken zo in dat IPMI/Drac/ILO alleen via stepping stones te bereiken is, en die niet naar buiten kunnen.
2 direct iets in de bios van IPMI/Drac/ILO zetten veel handiger is.
3 er legio bedrijven zijn die het niet eens aansluiten.
4 waarom Apple servers van een andere partij zou kopen.
Ik vraag me meer af waarom ze niet bij Bloomberg aankloppen. Zij beweren de bewijzen te hebben. Één bewijs kan 1000 ontkenningen ontkrachten.
Als journalist kan je niet altijd je bron verklaren, het zijn insiders geweest die het verhaal hebben geklikt.
De FBI kan ook gewoon gezeggen: Apple en Amazon zijn niet bij ons geweest en wat Bloomberg zegt is vals dus Bloomberg moet geld betalen wegens laster aan Apple en Amazon. Dat dit niet is gebeurd zegt al genoeg. Voor een journalist zijn geloofwaardigheid is dit enorme risico wat Bloomberg niet zomaar zal nemen.
Ik vraag me meer af waarom ze niet bij Bloomberg aankloppen. Zij beweren de bewijzen te hebben. Één bewijs kan 1000 ontkenningen ontkrachten.
Als journalist kan je niet altijd je bron verklaren, het zijn insiders geweest die het verhaal hebben geklikt..
Dat is geen argument in deze context, want Apple en Amazon hoeven ook geen inzicht te geven. In Nederland is het nog steeds zo dat diegene die aanklaagt, met de bewijzen moet komen voor zijn aanklacht. Als je dus wilt weten of de bewering echt klopt, moet je zijn bij diegene die de beschuldigingen uit.
Je kunt de vraag ook anders stellen - wat _WETEN_ wij nu eigenlijk ?
We hebben een vlot geschreven verhaal van Bloomberg met een heleboel beweringen die aan anonieme bronnen worden toegeschreven.
We hebben een lange - hypothetische - zorg wat er gedaan zou kunnen worden door iemand die in de supply chain kan manipuleren.
We hebben in dat Bloomverg verhaal een paar technische details die onjuist of minimaal onnauwkeurig moeten zijn.
En er beginnen nu niet-anonieme bronnen op te duiken die verklaren dat ze hun hypothetische ":stel dat" scenario's die ze met de betreffende reporters besproken hebben in zorgelijk detail in de reportage terugzien als 'feit' .
En de als slachtoffer genoemde bedrijven ontkennen nadrukkelijk - (waar publiek liegen over koersgevoelige zaken in de VS echt harde consequenties kan krijgen.) .
Je kunt natuurlijk een heel groot complot veronderstellen waarin al die spelers bezig zijn om de waarheid uit het artikel onder de pet te houden.
De andere verklaring is dat de reporters niet de realiteit hebben weergegeven.
(waarom is een tweede vraag . Misschien zijn ze op de loop gegaan met vage geruchten en hebben ze in alles een bevestiging gezien, misschien zijn ze gevoed door sommige van hun bronnen die dit verhaal wilden lanceren - bijvoorbeeld om de profiteren van de koerssprongen van de betreffende bedrijven. )
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.