ハードウェアメーカーのSuper Micro Computer(ブランド名はSupermicro)は、顧客向け書簡の中で、現行および旧モデルのマザーボードに悪意あるハードウェアが存在しないことを外部の調査会社と協力して確認したと明らかにしました。
これは10月初めに米Bloombergが報じた、Supermicroが中国の工場で製造しているサーバー用のマザーボードに鉛筆の芯ほどのスパイチップが埋め込まれ、アップルやアマゾンを含む米国企業約30社のデータセンターに用いられていたとのスクープを受けてのもの。アップルとアマゾン、Supermicro3社ともこの報道を強く否定していました。
Supermicroは、この結果が驚くことではないと述べています。
本調査に精通している人物が米Reutersに語った話によると、世界的な企業Nardello & Coが調査にあたったとのこと。同社は現在生産されているマザーボードのサンプルと、アップルやアマゾンに販売された旧モデルの両方をテストしたと伝えられています。
また、ソフトウェアや設計ファイルも調べられており、不審な部品も見つからず、怪しい信号が送出されていない点も確認されたとのこと。
もちろん、本調査だけでスパイチップ存在が完全に否定されたわけではなく、「出荷された全サーバー」ではなく「特定サーバー」にのみ埋め込まれた可能性もありえます。
が、報道を強く否定して記事の撤回を求めていたアップルのティム・クックCEOをはじめ、アップルやアマゾンの否定声明を「疑う余地はない」としていた米国土安全保障省(DHS)などの信憑性が高まったのも確かなこと。スクープに自信を持っていたはずのBloombergでしたが、この件に関しては勇み足だった可能性が高まっています。
12月13日
https://japanese.engadget.com/2018/12/12/supermicro-bloomberg/
関連スレ
【米国】中国製の基盤から”米粒ほどのスパイチップ”が発見される サーバーが異常な通信で発覚
https://asahi.5ch.net/test/read.cgi/newsplus/1544175913/
調べれば
わかるだろ
通信の状況見るだけで分かるのなら
苦労はしないよ。
偽装の方法は山程あるし
検知を逃れる方法も山程ある。
常時フラッドなサーバーだと状況を見るという行為自体が無意味に近い
ブルームバーグがアサヒっちゃった可能性がある
これほんと不思議
EMI対策用のフィルタにしか見えんが。
が、なぜかVccでなくPCIeブリッジの真横に実装してあったり、CPUからのDMIやQPIやI/O周りの信号線に直結されてる…
もちろんダンパ抵抗なんかとは別個に
お前はスパイチップに「スパイチップ」と明記してあると思ってんのか
それ「写真はイメージです」だからな(笑)
> Supermicroが中国の工場で製造しているサーバー
Supermicro = 1993年に台湾出身のCharles Liangによって設立された
はいアウトー
>>12
台湾人は内省人だとアンチ中国で一緒にされる事を極端に嫌うし、中国人を全く信用してない。
外省人だと中身はまんま中国人。
社長がどっちかによるな。
いかにもIT機器に縁のない老害が考えそうな事だ
ソフトウェアだとOSのセキュリティをどう誤魔化すかと言う問題が
スタンドアローンの方が都合の良い事もあるだろうさ
そんな小さなチップて???何だ。そもそもプリント基板上に新たに回路を作るのは大変だよ。
そもそも、それでは目視ですぐ発見できてしまうだろwww
普通は、BIOSやファームウェアに、ウイルスソフトを入れるだろwww
そんなんすぐにバレるじゃん
記事を色々読んだら、基盤上じゃなくて基盤内に埋込みって書いてあったよ。
片面3ピン、6ピンのチップの画像だから
最初どう結線してあったのかな?と思った。
最初から中国で作らなければいいのだ。
さすがにそれは無い
もしアメリカが無かったら
世界は中世時代のまんまだぜ
この15年ぐらいの流れでみんな
中国が共産圏なのを忘れてるし
危機管理が麻痺してる。
有事の際は中国は敵国になるんだぜ。
日本と中国は友好国ですけど
反日教育やめてから言ってね
ここまで来ると、頭の病気の人が、宇宙人にチップ埋め込まれたとか、言ってるのと変わらなくなってくるんだけど
でも、メーカーとしては本当だとは言えないよね。
認めた途端、倒産コースに急降下。
この手のチェックをかけるのは軍用の納品だろ
その部門を紹介した番組があったが
年間すごい量をさばかなきゃいけないそうだ
>もちろん、本調査だけでスパイチップ存在が完全に否定されたわけではなく、
>「出荷された全サーバー」ではなく「特定サーバー」にのみ埋め込まれた可能性もありえます。
スパイチップの完全な否定ではなく完全に肯定される必要があるのでは?
発見するのは地道な調査が必要
日頃ITだの散々騒いでたくせに、本人が全く理解できていないっていう。
とにかくこいつらはコジキ企業とつるんで国民から
税金として金をふんだくって身内で使うことしか考えていないから。
情報抜くだけならそんなもんなくても他にもっと簡単な方法ありそうなもんだが
・基板に実装された状態の写真
・当該部分の回路図
・当該部分のパターン図
・部品の各端子の役割(想定)
このくらい出して欲しい
そして、IPA/ISECの見解を聞きたい
もしスパイチップでなく、正当な部品だったとしても、
(シルクにある)UM8として、
フラッシュのフットプリントを用意しておきながら、
明らかにUM8のパッケージと競合するエリアの中に、
その部品のフットプリントを用意するというのが、部品配置としておかしい
両方マウントできないじゃん
BMCはPCIeでPCHに繋がってるのか
それなら、自分がマスターになって、MemoryReadパケットを発行すれば、
物理アドレスでメモリの好きなところ読めるな
それもDMAで、OSが管理しているプログラムでのReadではないから、OSは検知できない。
NICのdescriptor(リングバッファの先頭アドレスはNICのレジスタをMemReadすれば分かる)を盗み見て、物理メモリのdestination addressに相当する部分を書き換えれば、パケット送信先を変えることも可能。
HWチップでFWを改竄することは、FWを最初から改竄した状態でSPIフラッシュに仕込むよりも、見付かりにくいかもしれない。
SPIフラッシュの中身はデータとしてリードし、バイナリコードのチェックが可能だから。
引用元
http://ai.2ch.sc/test/read.cgi/newsplus/1544702334/
この記事へのコメントはありません。