{"id":7297,"title":"\u0417\u0430\u043a\u0430\u0442\u0438\u043b\u0438 \u0432\u0435\u0447\u0435\u0440\u0438\u043d\u043a\u0443 vc.ru. \u0420\u0430\u0441\u0441\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u043c \u0438 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u043c, \u043a\u0430\u043a \u044d\u0442\u043e \u0431\u044b\u043b\u043e","url":"\/redirect?component=advertising&id=7297&url=https:\/\/vc.ru\/promo\/300923-proveli-vecherinku-vc-ru-i-sdelali-ofis-uyutney-s-pomoshchyu-novogo-servisa-ot-ozon&placeBit=1&hash=1786c9dcf11a3b054c8e53004e27074664313ed4055e24064ede059ebc186db8","isPaidAndBannersEnabled":false}

Акции Super Micro упали на 60% после статьи Bloomberg о возможных шпионских «жучках» из Китая в чипах компании Статьи редакции

По данным издания, от шпионских микрочипов пострадали в том числе Amazon и Apple.

Акции американского производителя чипов Super Micro упали на 60%. Утром 4 октября издание Bloomberg рассказало о том, что в продукцию компании несколько лет внедряются «шпионские» жучки из Китая.

По данным Bloomberg, в 2015 году сотрудники разработчика Elemental, которого в том же году купила Amazon, отправили на проверку в стороннюю компанию несколько серверных материнских плат от компании Super Micro. Исследователи обнаружили в них крошечные микрочипы, которые не были частью плат, и сообщили о происшествии властям США.

По словам источников издания, эти «жучки» создавали «дыры» для взломщиков, с их помощью они могли изменить принцип работы устройства. Например, их помощью можно украсть ключи шифрования или блокировать обновления безопасности, поясняет Bloomberg. По версии издания, эти чипы были установлены на продукцию Super Micro на нескольких заводах компании в Китае.

Пример похожего на «жучок» чипа. Фото: Виктор Прадо, Bloomberg

Один из анонимных чиновников рассказал, что проблема затронула около 30 компаний, в том числе господрядчиков и Apple. По словам трёх источников в Apple, компания также обнаружила чипы на платах Super Micro летом 2015 года, а в 2016 году прекратила сотрудничать с производителем без объяснения причин.

В Amazon опровергли данные о том, что компания была в курсе о «жучках», представители Apple также отрицают данные Bloomberg. В Super Micro заявили, что ничего не знают о подобном расследовании. В ФБР и ЦРУ отказались от комментариев.

Издание ссылается на шесть высокопоставленных лиц в сфере национальной безопасности: они сообщили, что Amazon сотрудничала с властями в ходе расследования дела о чипах. Четверо из них подтвердили, что Apple также пострадала. Всего Bloomberg получил информацию о расследовании от 17 источников.

{ "author_name": "Лера Михайлова", "author_type": "editor", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 52, "likes": 38, "favorites": 6, "is_advertisement": false, "subsite_label": "finance", "id": 47131, "is_wide": true, "is_ugc": false, "date": "Thu, 04 Oct 2018 19:16:52 +0300", "is_special": false }
0
52 комментария
Популярные
По порядку
Написать комментарий...

Что интересно: никаких санкций в отношении Китая, никаких разговоров о «китайских хакерах», никаких высылок сотрудников представительств Китая как агентов китайской разведки за подготовку кибератак.

Да, трамп начал торговую войну и о чем то начали говорить. Но только сейчас.

27

Потому что Китай держит 1.17 триллиона в облигациях США, массовая распродажа не пойдет США на руку.
США уже заявили, что вмешательство РФ в выборы 2016 меркнет, по сравнению с вмешательством Китая в выборы 2018, ввели пошлины на 300 миллиардов.
США посмотрели, что практика санкций работает и пошел использовать схему на всех странах.

Зависимость от $ дает возможность делать всё, что они пожелают.
Не понравилось, что гаагский суд открыл дело на США - заявили, что у него нет прав.
Не понравилось другое соглашение
"США выйдут из Факультативного протокола Венской конвенции о разрешении споров.
Как объявил советник президента США по вопросам национальной безопасности Джон Болтон, решение о выходе принято после иска со стороны Палестинской автономии в связи с решением США о переносе посольства из Тель-Авива в Иерусалим."

При этом Болтон подчеркнул, что США остаются стороной самой Венской конвенции о дипломатических сношениях и «ожидают от других стран выполнения своих обязательств в рамках» документа.

Мы выходим, а вы следуйте правилам.

23

Именно. Такой подход царя горы закладывает фундаментальную основу для кризиса, кмк.

3

У США есть возможности так поступать.

0

Разговоры о том что китайцы лезут в цифровую безопасность США идут уже лет 5 точно. И даже уже обыгрываются в художественных произведениях. По этому поводу было безумное количество скандалов и санкций разного рода. Вы как-то проспали похоже.

1

Именно. При том реальном уровне вмешательства разговоры удивительно тихие. Да, забанили поставки от китайских компаний. Но никто не высылает дипломатов

1

Комментарий удален

Тоже не слишком переживаю из-за этого. Хотя рынок США сегодня прилично просел, думаю из-за этого.

0

США полностью остановили экспорт нефти в КНР, КНР сегодня заявили о продаже очередных 3 миллиардов долга, вот и просели акции.

1

Рынок США просел задолго до этой новости, к которой еще вопросы есть.

0

после статьи Bloomberg о возможных

акции упали на 60%

Это что-то типа "Мой сосед в твиттере написал, что ему почудился таракан и теперь магазин с соседней улицы закрывается"?

5

Доброе утро, так биржи и работают

27

То есть Маску нужно было подкинуть инсайд в Bloomberg о выкупе компании с биржи чтобы обойтись без последствий для себя?

Получается, что публикация сведений каких-то неизвестных источников обрушила акции. При этом я допускаю, что слежка действительно была и обвинения обоснованны. Но если нет, то готова ли Bloomberg понести наказание за испорченную репутацию компании? Сомневаюсь.

3

Они не в первый раз выбрасывают херню. И я не помню, чтобы они хоть раз извинялись за испорченную репатриацию.
Им дядя из их Кремля сказал топить — они и топят. У них хватает своих Соловьёвых и Киселёвых. Только их ещё и умнее, потому их выдумки гораздо круче наших. Не про распятых мальчиков, а про кибершпионаж через резистор.

0

за испорченную репатриацию
чёёё?
за испорченую репарацию?
за испорченую препарацию?
за испорченую коннотацию?

1

Репутацию. Автокоррекция подвела, а исправить уже не могу.

0

блумберг чуть-чуть авторитетнее, чем "мой сосед"

10

Незначительно, в пределах мат.погрешности

8

Блумберг — это что-то типа нашей комсомолки, если говорить серьёзно. Те ещё фейк ньюс.

4

За этими "фейк ньюс" стоит мэр Нью-Йорка и один из самых талантливейших предпринимателей современности.

0

А за Мейл.ру — Москва и один из самых талантливых предпринимателей современности. Выходит твой двойник из Америки точно также доверяет мейл.ру? Одинаково же всё.

Если ты не знаешь, что блумберг сегодня совсем не тот, чем когда-то был — ну так это просто ограничение твоего кругозора.

2

За Мейл.ру стоит отвратительный человек создавший своё состояние на обмане, воровстве, криминале, агрессивных поглощениях и чуть ли не скотоложестве. Мейл.ру не СМИ, а агрегатор максимум. Нихуя не выходит двойника. Нихуя не одинаково.

Если ТЫ не знаешь, чем отличается настоящее СМИ от агрегатора, то это просто ограничение твоего кругозора. Ты выдаешь желаемое за действительное, а твой аргументы пахнут мочой.

Майкл Блумберг назвал агенство своим именем, он является публичным человеком. Агенство всегда будет ассоциироваться с его личностью, и Дмитрию Мячину из какого-то запердолья не понять чем эти факты отличаются от дырявого майл.ру.

0

Этот комментатор порвался, несите следующего.

0

Собственно вот ты и доказал свою одноклеточность и отсутствие вменяемой аргументации своего гнилого комментария. Неумеха, пытающийся вести дискуссии и сливающийся от первого обосрамса.

0

Вот это новость, обычно ЦРУ всех за фаберже держит через закладки в ПО материнок и процов, а тут американцев, вот из свежего:
https://roem.ru/04-10-2018/274170/vechniy-shpion/

5

Попахивает враньем. Большие компании покупают кастомные решения под свои ДЦ. Т.е. покупается не 400 серверов, а 10 стоек с подобием лезвий в блейдах, только лезвия одноюнитовые. Все это согласовывается с R&D заказчика, т. к. ДЦ у всех разные. Да и сам «чип» непонятно как может работать. ОС рандомизирует место загрузки ядра. Это должен быть какой-то гипервизор очень хитрый, но даже это можно поймать софтверно.

0

Достаточно вредоносной программе сделать "бессмысленные" действия, например 183 раза включить выключить флаг аккумулятора. "чип" отловит эти действия и заблокируют на выполнения все потоки кроме того кто дергал флаг. Вредонос, на зависшей системе делает свое дело, при этом всякие антивирусы логгеры и другие программные анализаторы тупа не работают и не могут мониторить активность. Далее, когда вредное дело сделано, снова дрыгаем 183 раза и "чип" восстанавливает работу процессорных потоков.

6

Чип не может останавливать потоки. Потоки и даже процессы это сущности уровня ОС, а не железа.

2

Что вы подразумеваете под словом поток? Что такое флаг аккумулятора? Под аккумулятором подразумевается регистр rax или обычная батарейка?

На текущий момент говорят, что это BMC. А следовательно к процессору доступа нет, как и к памяти. Если оно и работало, то скорее всего эмулировало диск и пыталось установить бекдор. Но опять же, это очень сложно провернуть в том же Linux.

1

Пишут, что привилегии у BMC выше остальных, он может напрямую работать с памятью и с i/o. https://mobile.twitter.com/marcan42/status/1047806561760890880?s=19

Looking at the GIF in @BW's story about China putting hardware implants into Supermicro servers, it all looks reasonably realistic as a MITM on the BMC's SPI boot flash. I don't know how real the photo is supposed to be, though.
0

Может быть кто-то модифицировал под конкретный случай, но на обычном железе bmc работает через специальный интерфейс, который позволяет логировать события(включение/выключение/ошибки памяти) и снимать информацию с сенсоров. Напрямую в память оно не умеет ходить.

0

В Apple используют SuperMicro? 😯

1

Почему нет? Они давно пользуются китайскими решениями для дата центров https://9to5mac.com/2016/04/11/apple-icloud-in-house-inspur/

2

А чем таки плох SuperMicro?

1

Тем что у них нет таких голодных маркетологов как у НР ИБМ с их конскими ценниками на оригинальную наклейку и держалку салазки для диска Seagate

1

Есть повод прикупить акции )

1

Что за чушь? Как этот мелкий чип может блокировать именно обновления безопасности? Откуда у него такие вычислительные мощности?

0

В вашей обычной симке, в таком же форм-факторе (а симка на 95% - пластик), в виртуальной машине живёт JAVA. Pentium-100 из 90-х видели? Так вот, он теперь умещается в такой мелкий чип, и натворить им, поставив в нужные места на матери, можно много.

1

И что? Симка на устройство практически не влияет. Она настолько не нужна устройству, что он к ней не обращается практически. В уже устаревших моделях телефонов и планшетов вставка лотка симки определялась аппаратно. И если этот рычаг зажать, то телефон не замечал извлечения сим и продолжал работать полноценно, в том числе после ребутов.
Я лично это видел. Своими глазами. У знакомой зубочистка заклинмла этот рычаг.

На Ютубе можно найти кучу видосов по этому поводу. Я бы считал их фейком, если бы не столкнулся с этим лично.

0

Причём здесь какие-то обращения к симке? Да, она задействуется в основном сейчас на этапе загрузки. И? Разговор был о вычислительных мощностях, которые доступны в таком микро-размере. ред.

0

Примерно никакие мощности.
Не нервничай так, чувак. Блумберг просто заказ сверху отрабатывал. Они на в первый раз это делают.

0

| Примерно никакие мощности.

"гадаю мощность по фотографии"

0

Почитайте на хабре, там больше технических деталей.
Чтобы как-то влиять на вычислительные процессы, надо иметь сопоставимые вычислительные мощности и пропускную способность.

–1

А сами читали? Дословно с Хабра.
----
После того, как сервер с материнской платой с установленным чипом, был установлен и включен, чип получал контроль над ОС и открывал возможность удаленного подключения и управления сервером. Микрочип, к примеру, мог отключать проверки паролей пользователей, так что атакующие могли без проблем установить на сервер любой код.

–1

Еще раз перечитайте. Какое там железо д.б., чтобы взять под контроль ОС?

–1

А в комментарии заглядывали? В первых комментариях дают примеры нескольких атак, причём не умозрительных. Элементарного, Ватсон, там достаточно микроконтроллера, даже ARM-ядра не нужно, русским языком написал же - такого как в симке достаточно.

0

Если атака через изменение биоса/загрузчика, то достаточно проверять хеш/подпись во время загрузки. Чип и не нужен, достаточно свой модуль вкорячить в загрузчик, чтобы отрабатывался код по внешнему сигналу.

Русским желтым написано про типы атак, которые шестиногим чипом вряд ли можно реализовать. Больше читайте блумберга и смотрите телевизор.

0

| которые шестиногим чипом вряд ли можно реализовать. Больше читайте блумберга и смотрите телевизор.

Это там вас научили определять вычислительную мощность по числу ног?

0

Скорее никак. Эта мандула не может знать и понимать, с чем сейчас взаимодействует ОС, чтобы как-то повлиять на её отдельные операции.

1

Комментарий удален

А есть какие-то доказательства, исследование, реверс инжиниринг этих чипов кроме желтых статей на желтых сайтах? Кроме двух фоток на пальце и с монеткой дальше дело не пошло, как я понимаю?

0

Нет. Заказная статья. Не в первый раз у них такое, можно и привыкнуть, что это жёлтая газетёнка.

0

Ну нихуя себе новости. Свежак.

0

По сути SuperMicro и купила вброс. Обвалила акции и затарилась подешману. Потом опровергла. Интересно сколько блумбергу отлистали

0
Читать все 52 комментария
Какие акции посоветовать новичку: российские или американские
Как улучшить идеально настроенную ecom-рекламу? Удваиваем онлайн-продажи обувной федеральной сети всего за месяц

Хитрим с Google Merchant, усмиряем алгоритмы, делимся лайфхаками. Как за неделю обрушить рекламу обувной федеральной сети, но удвоить с неё продажи всего за месяц. Свежий кейс агентства МАКО в 2021 г.

Умная боксерская груша, которая научит вас драться онлайн

Мы решили сделать устройство, которое измеряет силу и точность ударов и передает их в приложение, где можно прокачивать навыки и драться онлайн с друзьями и даже знаменитостями (ведь в интернете все равны).

Почта России запустила доставку из отделений роботами Яндекса

Почта России первой из почтово-логистических компаний начала доставлять посылки с помощью беспилотных роботов-доставщиков Яндекса. Проект реализован при поддержке Фонда «Сколково». На первом этапе 36 роверов будут осуществлять доставку из 27 отделений в Москве. Воспользоваться услугой можно будет через приложение Почты на Android, на старте…

Улыбнитесь, вас снимают: как биометрия меняет жизнь банковских клиентов

Что такое биометрия, как ее используют банки и что нас ждет в будущем с единой биометрической системой, мы узнали у Дарьи Скачковой, управляющего директора в Газпромбанке

У альфа-банка стоит ограничение на отображение баланса в пуше, его не видно полностью

Скорее всего, Альфа-банк провел свой аналог "Игры в Кальмара", где разыграл суперприз. Их версия отличается от корейской тем, что там не надо никого убивать и проходить испытания. Вы, как обычно, пользуетесь картой и получаете шанс выиграть супер приз! Когда мне пришел этот пуш, я сразу понял, что не зря был вашим клиентом столько лет! Вы…

Кикшеринг станет ещё доступнее, но для крупных игроков места больше нет: интервью с инвесторами кикшеринга «Юрент» Статьи редакции

Андрей Азаров и Михаил Гейшерик рассказали, зачем «Юрент» купил сервис аренды обычных велосипедов, продолжится ли бурный рост кикшеринга и что этому может помешать.

Михаил Гейшерик и Андрей Азаров
Классификация текста с Elasticsearch

Когда я впервые наткнулся на Elasticsearch, я был очарован его простотой использования, скоростью и параметрами конфигурации. Каждый раз, когда я работал с ним, я находил еще более простой способ достичь того, что я использовал для решения, с помощью традиционных инструментов и методов обработки естественного языка (NLP). В какой-то момент я…

«AliExpress Россия» получил контроль над KazanExpress, который хвалил за эффективность и работу с малым бизнесом Статьи редакции

Сооснователь маркетплейса Линар Хуснуллин рассказывает, что он считает особенным в своём проекте.

Предсказать и оптимизировать: плавим сталь с помощью Data Science

Как создавали программу, которая помогает металлургам экономить 3-5 млн долларов в год

null