Een expert die in het chip-verhaal van Bloomberg Businessweek wordt genoemd heeft zijn twijfels over het verhaal. Bloomberg berichtte vorige week dat een eenheid van het Chinese leger malafide microchips had ontwikkeld en had toegevoegd aan moederborden van Supermicro. Deze moederborden werden vervolgens gebruikt in servers die bij Apple, Amazon en andere bedrijven werden aangetroffen.
Supermicro, Amazon en Apple ontkenden het verhaal. Bloomberg laat in het artikel weten dat het zich baseert op 17 anonieme bronnen. De enige partij die bij naam wordt genoemd is Joe Fitzpatrick, een expert op het gebied van hardwarebeveiliging. Hij had sinds halverwege 2017 geregeld contact met één van de Bloomberg-journalisten die het artikel schreven. Bij het lezen van het artikel voelde Fitzpatrick zich echter "ongemakkelijk", zo laat hij in een interview met journalist Patrick Gray weten.
Fitzpatrick heeft tijdens verschillende beveiligingsconferenties presentaties over hardware-implantaten gegeven. De expert vertelde de Bloomberg-journalist hoe dergelijke implantaten precies werken. Veel van de details in het Bloomberg-artikel lijken afkomstig te zijn van hypothetische voorbeelden die door Fitzpatrick werden gegeven. De expert stelt dat het artikel niet alleen weinig technische details bevat, maar dat de wel aanwezige details van hem afkomstig lijken te zijn.
"Wat me opviel is dat alle details die ook maar een beetje technisch zijn, afkomstig lijken van de gesprekken die ik had over hoe hardware-implantaten in theorie werken en hoe de apparaten werkten die ik twee jaar geleden tijdens de Black Hat-conferentie liet zien", zegt Fitzpatrick. De expert merkt op dat hij alleen maar hardware-implantaten voor de lol ontwikkelt om tijdens conferenties te demonstreren. Hij is niet iemand die dit voor zijn werk doet.
Toch werden alle theoretische scenario's die Fitzpatrick schetste door de anonieme bronnen van de Bloomberg-journalisten in het artikel bevestigd. "Of ik heb voorspellende gaven of er is iets anders aan de hand", merkt de expert op. Daarnaast maakte Fitzpatrick aan één van de Bloomberg-journalisten zijn twijfels duidelijk toen hij meer details over het verhaal kreeg. "Ik hoorde het verhaal en ik kon er niets van maken, wat ik hem ook vertelde." Volgens de expert zouden aanvallers die een dergelijke aanval willen uitvoeren veel eenvoudigere manieren tot hun beschikking hebben. De aanval die Bloomberg omschrijft noemt Fitzpatrick niet schaalbaar en onlogisch.
De beveiligingsexpert liet zijn twijfels over het verhaal ook merken aan de journalist. "De hele opzet slaat nergens op. Het slaat nergens op om de hoeveelheid tijd en geld te investeren in wat je beschrijft. Weet je zeker dat degene die de analyse heeft uitgevoerd echt kennis over en verstand van hardware heeft? Er zijn veel mensen op internet die van alles over gebackdoorde hardware beweren, die eigenlijk engineering-oplossingen voor problemen vinden", zo schrijft Fitzpatrick in een e-mail aan de Bloomberg-journalist. Vervolgens geeft hij verschillende voorbeelden van zogenaamde backdoors die geen backdoors bleken te zijn en herhaalt de vraag of de journalist zeker weet dat de analyse klopt. "Ik begrijp wat je zegt, maar ben zeer sceptisch", sluit de expert zijn e-mail af.
De Bloomberg-journalist erkende in een reactie dat het allemaal vreemd klonk, maar stelde dat hij meerdere bronnen had die het verhaal bevestigden. Daarop vroeg Fitzpatrick om foto's van de aangepaste Supermicro-moederborden, maar die had de journalist niet. Verder blijkt dat de expert de journalist wees naar een klein technisch onderdeel. Foto's van dit specifieke onderdeel zijn in het Bloomberg-artikel terug te vinden, ook al zou het niet logisch zijn om dit onderdeel op een moederbord te plaatsen, aangezien die meestal niet op moederborden worden gebruikt, gaat Fitzpatrick verder. Hij zegt dan ook aan het verhaal te twijfelen. De Bloomberg-journalist werd nog gevraagd om een reactie, maar die liet weten dat Bloomberg niet op het verhaal reageert.
Deze posting is gelocked. Reageren is niet meer mogelijk.