找回密碼
 立即註冊
搜索
熱搜: 活動 交友 discuz
查看: 388|回覆: 2

彭博間諜芯片報導或擠牙膏,重創中國供應鍊

[複製鏈接]

9310

主題

0

好友

5萬

積分

論壇元老

Rank: 8Rank: 8

發表於 2018-10-11 21:45:44 |顯示全部樓層


彭博日前發表中國間諜芯片植入美企的報導儼如市場核彈,然而彭博主要收入源自終端機,對中國相關報導一向審慎,且若報導不實或被涉事公司甚至中方起訴索償,乃至影響老板米高彭博的政治抱負,留意若壞消息持續「擠牙膏式」曝光,足以導致中國的中高端科技供應鍊受嚴重衝擊,令其在貿易戰下雪上加霜。

事緣10月4日彭博發表名為「大黑客(The Big Hack)」的長篇報導,聲稱中國解放軍通過美國伺服器生產商超微電腦(Super Micro Computer, SMCI)在中國的多間外包製造商,植入只有白米大小的惡意芯片,後門分銷至世界各地,包括美國約30間企業包括型銀行和政府承包商,並點名亞馬遜和蘋果均在2015年發現有關芯片,而有關報導採訪歷時一年多,訪問了17名消息人士,包括6名美國現任和前任高級安全官員,以至亞馬遜和蘋果內部人士。

這篇重量級報導由長期報導科技保安範疇的Jordan Robertson和Michael Riley署名,是《彭博商業周刊》(Bloomberg Businessweek)的封面故事,也被彭博網站顯眼推送轉載,消息的震撼令當日美國科技股顯著震盪,Super Micro股價幾乎腰斬,雖然涉事亞馬遜、蘋果和超微隨即悉數否認,但彭博未有退縮,依然積極跟進,且多次表明彭博公司本身未有受到影響,結果更惹來市場激烈爭論,而中資硬件科技股也跟風急跌,報導可信性成為坊間激烈爭論點。

一方面,雖然以財經信息聞名的彭博信譽向來昭著,但有關報導的消息人士均屬匿名,而且技術細節描寫相對模糊,也無像樣的文件硬體證據,加上涉事公司全部否認,時間點又正值美國就貿易和知識產權糾紛極限施壓中方的時間點,特別是美國副總統彭斯同時發表針對中方的強硬演說,這是坊間主要質疑。

然而最早有系統地質疑相關報導的中文科技媒體品玩(PingWest),也提及技術上的確可以改裝濾波器,但元件尺寸若太小則很難完整啟動後門的功能,而英國老牌科技網站《The Register》作者Kieren McCarthy和柏克萊大學講師Nicholas Weaver均認為,技術上植入有關芯片於序列式電子抹除式可複寫唯讀記憶體(serial EEPROM)或序列式閃傳(serial FLASH)芯片,繼而影響底板管理控制器(BMC)的做法是可行的,雖然未必是最有效的方法。

不過在質疑聲中,10月9日彭博有名有姓的引述從事保安檢測的專家Yossi Appleboum提供文件和相關證據,表明他在8月份在一間美國電訊商的Super Micro伺服器系統中,在乙太網連接器(Ethernet connector)發現有異常硬體元件,但基於與客戶保密協議無法透露涉事企業。而他表示根據消息,有關元件是在廣州的Super Micro外包商工廠所植入,又表明在其他供應商的電腦硬體上也發現類似纂修情況,而Super Micro和其他企業均是受害者,強調是中國供應鍊的問題,結果Super Micro股價一度再跌逾兩成,收市急挫15.5%。

雖然9日報導的硬體植入攻擊有異於早前的報導採用的方法,但由於相關專家願意出面,變相證明彭博報導提及的硬件攻擊或存在,而且早在Super Micro於中國的外包生產廠房的生產過程已經開始,並藏身在伺服器所在的網絡啟動後門偷取資料。按台灣電子戰指揮官馬英漢說法,人工在主板上做手腳幾乎是不可能的,問題只會出在供應鏈最頂層。「這必定是在供應鏈的最頂層發生的事情。它肯定被置入了整個流程。」可以說是顛覆過往的硬體攻擊的做法。

目前看,由於事件真假仍然難辯,但基於各大企業的電子安全,要發現有關的間諜硬體植入相對於一般的軟體或韌體(firmware)整入困難,企業必需動用較高成本和時間檢查,短期可能導致中國作為科技公司的承包生產基地,以至中國品牌的網絡甚至電子器材的出口均會有所影響,中長期而言對中國作為科技供應鍊甚至所有來源中國的科技設備都會造成重大打擊。

與思科被植入韌體而事後須清除的做法相似,若中國在生產供應鍊頂端有硬體植入行為,基於檢測和清理成本較高,硬件生產商未來或傾向不再外包於中國生產,企業客戶也基於保安理由選擇中國以外的出品,對中國中高端供應鍊是一大打擊,事件曝光至今聯想、中興通訊以至其他中國生產的硬件股的股價大跌,有一定合理性。

平情而論,國家級的竊聽以至黑客行為並不新鮮,俄羅斯、朝鮮和中國的黑客活動近年最為活躍,《金融時報》近日報導引述網絡安全公司FireEye說法,亞太區擁有進取網絡能力的國家已由原來四個——中國、朝鮮、巴基斯坦和印度,大幅增至最少14國,而中國更成為過去兩年大幅增加網絡攻擊的國家。

西方也有類似行徑,2014年有稱美國國土安全局(NSA)會主動截停思科外寄至其他國家的伺服器、路由器或其他網絡部件,再植入韌體(firmware)達致監控其他組織的目的,在德國和英國舉行的領導人峰會中,會議東道主也會跟NSA合作監控政要的郵件和通話,包括竊聽歐洲在內的盟友的信息。

若以中國送贈非洲聯盟總部大樓,卻被指偷偷將資料回傳多年才被發現的事件引申,2015年左右中國若有類似舉動並不稀奇,問題是現階段除了少量保安嚴密諸如亞馬遜和蘋果這等級數的企業外,尚待其他企業進行檢查,若然屬實稍後必有其他跟進消息,也須慎防彭博手頭握有其他證據,先讓事件發酵再等待合適時間曝光,即以俗稱「擠牙膏」手法來引領輿論,帶來更大震憾。

特別強調一點,今次彭博報導間諜芯片若然不實,可能遭相關企業和投資者起訴索償,畢竟受消息影響最大的Super Micro股價腰斬,流失客戶之餘甚至反被提訟,加上彭博過去有因為報導習近平家屬財富而惹怒中共,影響其主要收入來源——彭博終端機在內地的銷售,之後被指有自我審查的往績,尚未計及不實造成的商譽損失,今次也有可能被中方採取局部報復影響生意。

米高彭博對掀起貿易戰的總統特朗普並無好感,轉籍民主黨的他料爭取出戰來屆總統大選,弄虛造假成本太高,而中方近期又確有大量商業間諜行為曝光。然而有關方面掙用類似的間諜芯片攻擊,不一定有所收獲,更可能是爭取撥款和資源的嘗試,故報導應傾向有較高真實性,但對中國製造的打擊似乎卻是無可挽回。

彭博間諜芯片報導或擠牙膏,重創中國供應鍊
回覆

使用道具 舉報

1萬

主題

1

好友

7萬

積分

論壇元老

Rank: 8Rank: 8

發表於 2018-10-11 22:01:03 |顯示全部樓層

[HKEPC]蘋果無辜花足數十億  多得中國香港人呃IPhone維修

Related???

[HKEPC]蘋果無辜花足數十億  多得中國香港人呃IPhone維修
全文見: https://www.hkepc.com/forum/viewthread.php?fid=110&tid=2465803

雖然蘋果經常強調大陸和中國市場的重要,但事實上除了經常無辜被共產黨政府玩外,還要面對大陸用家的詐騙。最新報道指,中國大陸和香港的蘋果商店,經常有人換走iPhone貴價零件轉售,然後去商店要求官方維修昆水。

據稱,最誇張的時候,蘋果發現在中國和香港的維修,高達60%的都是詐騙,令蘋果每年損失數十億。蘋果原本沒有太理會,但後來發現有太多「顧客」在維修後,登入其他的Apple ID,開始意識問題的嚴重性。因為真用家維修後,一定會登入同一個Apple ID。

.... more .....
回覆

使用道具 舉報

2972

主題

0

好友

2萬

積分

論壇元老

Rank: 8Rank: 8

發表於 2018-10-11 22:36:48 |顯示全部樓層
供應生産商多數轉去台灣  
回覆

使用道具 舉報

您需要登錄後才可以回帖 登錄 | 立即註冊

回頂部