Ataque chino de la cadena de suministro a los sistemas informáticos


Ataque chino de la cadena de suministro a los sistemas informáticos

Bloomberg News tiene una historia importante sobre el hackeo chino de placas base de computadoras fabricadas por Supermicro, Levono y otros. Ha estado sucediendo desde al menos 2008. El gobierno de EE. UU. Lo ha sabido durante casi el mismo tiempo y ha tratado de mantener el ataque en secreto:

La explotación de China de productos fabricados por Supermicro, como se conoce a la empresa estadounidense, ha estado bajo escrutinio federal durante gran parte de la última década, según 14 exfuncionarios de inteligencia y de aplicación de la ley familiarizados con el asunto. Eso incluyó una investigación de contrainteligencia del FBI que comenzó alrededor de 2012, cuando los agentes comenzaron a monitorear las comunicaciones de un pequeño grupo de trabajadores de Supermicro, utilizando órdenes judiciales obtenidas bajo el Ley de vigilancia de inteligencia extranjera, o FISA, según cinco de los funcionarios.

Hay muchos detalles en el artículo y te recomiendo que lo leas.

Esta es una continuación, con mucho más detalle, de una historia Bloomberg informó en en otoño de 2018. No me creía la historia en ese entonces, y escribí:

No creo que sea true. Sí, es plausible. Pero antes que nada, si alguien realmente coloca subrepticiamente chips maliciosos en las placas base en masa, ya habríamos visto una foto del supuesto chip. Y en segundo lugar, existen formas más fáciles, más efectivas y menos obvias de agregar puertas traseras a los equipos de red.

Parece que me he equivocado. De la historia actual de Bloomberg:

Mike Quinn, un ejecutivo de ciberseguridad que ocupó cargos de alto nivel en Cisco Units Inc. y Microsoft Corp., dijo que funcionarios de la Fuerza Aérea de EE. UU. Le informaron sobre chips agregados en las placas foundation Supermicro. Quinn estaba trabajando para una empresa que era un potencial postor para los contratos de la Fuerza Aérea, y los funcionarios querían asegurarse de que ningún trabajo incluyera equipos de Supermicro, dijo. Bloomberg acordó no especificar cuándo recibió Quinn el informe ni identificar la empresa para la que trabajaba en ese momento.

“Este no fue el caso de un tipo que roba una tabla y suelda un chip en su habitación de resort fue diseñado en el dispositivo ultimate ”, dijo Quinn, recordando detalles proporcionados por oficiales de la Fuerza Aérea. El chip «se mezcló con la traza en un tablero de varias capas», dijo.

“Los atacantes sabían cómo se diseñó esa placa para que pasara” las pruebas de command de calidad, dijo Quinn.

Los ataques a la cadena de suministro son el sabor del momento, al parecer. Pero son serios y muy difíciles de defender en nuestra industria de TI profundamente internacional. (Tengo repetidamente llamado esta un «problema insuperable»). Aquí estoy yo en 2018:

La seguridad de la cadena de suministro es un problema increíblemente complejo. El diseño y la fabricación exclusivos de EE. UU. No son una opción el mundo de la tecnología es demasiado interdependiente internacionalmente para eso. No podemos confiar en nadie, pero no tenemos más remedio que confiar en todos. Nuestros teléfonos, computadoras, software y sistemas en la nube son tocados por ciudadanos de docenas de países diferentes, cualquiera de los cuales podría subvertirlos a pedido de su gobierno.

Necesitamos una investigación de seguridad essential aquí. Escribí esto en 2019:

La otra solución es construir un sistema seguro, aunque cualquiera de sus partes pueda subvertirse. Esto es lo que la ex subdirectora de Inteligencia Nacional Sue Gordon quiso decir en abril cuando dicho sobre 5G, «Tienes que suponer una pink sucia». O, más precisamente, ¿podemos resolver esto construyendo sistemas confiables a partir de partes no confiables?

Suena ridículo a primera vista, pero Internet en sí mismo fue una solución a un problema comparable: una red confiable construida con partes no confiables. Este fue el resultado de décadas de investigación. Esa investigación continúa en la actualidad, y así es como podemos tener sistemas distribuidos altamente resistentes como la crimson de Google, aunque ninguno de los componentes individuales sea particularmente bueno. También es la filosofía detrás de gran parte de la industria de la ciberseguridad true: sistemas que se miran entre sí, en busca de vulnerabilidades y signos de ataque.

Parece que los ataques a la cadena de suministro están constantemente en las noticias en este momento. Eso es bueno. Han sido un problema grave durante mucho tiempo y debemos tomarnos la amenaza en serio. Para leer más, recomiendo encarecidamente este informe del Atlantic Council del verano pasado: “Romper la confianza: sombras de disaster en una cadena de suministro de software package insegura.«

Publicado el 13 de febrero de 2021 a las 9:41 AM •
2 comentarios



Enlace a la noticia original