• 中美大戰
  • 大車禍!
20171031-SMG0035-快訊小紅條兒

「中國在美國主機板上植入晶片開後門?」《彭博》獨家報導惹議,美資安業界:這種駭法沒道理

彭博商業周刊報導,在中國駭客攻擊行動中,亞馬遜、蘋果等大企業的資料中心伺服器遭植入微晶片。(彭博商業周刊網頁).jpg

彭博商業周刊報導,在中國駭客攻擊行動中,亞馬遜、蘋果等大企業的資料中心伺服器遭植入微晶片。(彭博商業周刊網頁).jpg

《彭博商業周刊》10月4日獨家報導〈大駭客:中國如何用一顆小晶片滲透美國企業〉,揭發中國軍方設計了一顆比米粒大不了多少的晶片,植入超微電腦生產的主機板後,便能開啟後門讓駭客來去自如。彭博還說包括蘋果、亞馬遜等30多家公司都是受害者,不過蘋果、亞馬遜均已聲明否認此事,美國的科技媒體也紛紛質疑,在主機板植入原設計以外的晶片極其困難,要找出來卻易如反掌,彭博的報導根本沒道理。

《彭博商業周刊》引述17個不具名消息來源,直指中國官員兩年來在下游合約商超微電腦(Super Micro Computer Inc.)的伺服器主機板植入惡意晶片,藉此滲透美國近30家企業,包括亞馬遜(Amazon)、蘋果(Apple)在內,此舉直到2015年才停止。《彭博》強調,這顆中國軍方所設計的晶片「非常不顯眼」,若沒有特殊設備,根本無法察覺主機板上多了個零件。

資安業界:不懂彭博說什麼?

但科技網站《主機板》(Motherboard)10日表示,彭博刊出報導後,網路安全業界都搞不清楚這則獨家到底在說什麼。因為這則報導的內容與現況不符,整起故事根本改變了網路安全的論述。

本‧古里安大學(Ben Gurion University)資工系的博士生史瓦茲(Omer Shvartz)說:「我想這則報導遺漏了太多細節」。史瓦茲去年發表的一篇文章,談的正是如何以惡意晶片達成一連串的駭客行動。但這位以色列的網路安全專家說,彭博報導的內容當然有可能,問題是他有一籮筐的問題想問:「我想看看那顆拆下來的晶片,至少讓我看看整張主機板的X光片。」

史瓦茲說:「如果想知道這顆晶片的功用是什麼,這個動作是進一步分析的標準程序。」

要找出惡意晶片很難?業界:才怪

一間專門販售檢查惡意晶片X光設備的公司—「創意電子」(Creative Electron)說,要找出被植入主機板的惡意晶片並不困難。「創意電子」的執行長卡多索(Bill Cardoso)說,他們從2016年起就提供這種設備,讓客戶可以利用X光系統檢查來自不同零售商的主機板。這種設備配備人工智慧引擎,可以依照主機板的原設計去找出主機板成品上有沒有什麼「外來物」。

《彭博》的報導提到中美政府機關,還有超微電腦、蘋果與亞馬遜等美國公司,但是包括中國政府、超微、蘋果與亞馬遜,對報導內容全都予以否認。美國國土安全部也說,沒有理由懷疑蘋果與亞馬遜提出的反駁。這讓不同意報導的資安業界,更想知道《彭博》的證據何在?由於這則涉及國安的報導幾乎全部引用匿名說法,加上沒有任何照片、影片佐證,也沒有揭露任何內部文件,資安專家們也難以判定,彭博是不是做了一回假新聞

曾受訪專家出面駁斥:這報導沒道理

不過在彭博報導中,少數以真名示人的資安專家—費茲‧派崔克(Joe Fitzpatrick),9日選擇在網路廣播節目《Risky Business》「現聲」。不過他並沒有支持彭博的獨家報導,反倒對整篇文章發出質疑。派崔克在彭博報導被引述的話是「這個硬體(晶片)想打開什麼後門都可以」,但派崔克本人在9日的廣播節目中卻表示,當初彭博記者跟他揭露整起事件,他第一個反應就是「這不合理」。因為可以做到相同效果的手法很多,利用軟體或韌體即可達成,不需要「植入晶片」這麼大費周章。

不過派崔克還是花了很多時間跟記者解釋,「這類(藉由植入晶片達成的)攻擊原則上如何可能」。「因為任何研究者對於談自己的研究都是興致勃勃,何況有人還對你的研究感興趣」。但讓他意外的是,這則報導卻把他所解釋的「原理」,當成中國開後門的「事實」來報導。

派崔克還說,《彭博》的記者曾經問他,什麼是「訊號放大器或耦合器」,他就把貿澤電子(Mouser Electronics)的型錄連結丟給對方,告訴記者可以在哪裡買到一顆0.006x0.003英吋的訊號耦合器。結果這顆訊號耦合器,後來就出現在彭博的獨家報導裡。派崔克認為,這顆沒有運算能力、主要放在WiFi和LTE上的元件,如果真的莫明其妙出現在主機板上,反倒會引起猜疑。

這集節目播出後,美國國家安全局資安顧問喬伊斯(Rob Joyce)很快就用推特分享,還說「關於彭博的超微報導,Risky Business做了一集好節目,任何對硬體駭客行為有興趣的人都應該聽聽,好好了解一些精彩的反面觀點。不過我還是對這件事感興趣,如果有人發現了這個有問題的元件有關—直接私我。」這也意味著,這位曾負責白宮資安的重要顧問,目前對於這項「中國主導的駭客行動」完全不知情。

喜歡這篇文章嗎?

李忠謙喝杯咖啡,

告訴他這篇文章寫得真棒!

來自贊助者的話
關鍵字:

我要發風

風傳媒歡迎各界分享發聲,來稿請寄至 opinion@storm.mg

並請附上姓名、聯絡方式、自我簡介,謝謝!

本週最多人贊助文章