Am 4. Oktober 2018 hat Bloomberg die Bombe [https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies] platzen lassen:

Man habe, so der Bericht, Quellen und Beweise dafür, dass Supermicro in seinen Servern einen Chip verbaut, (zu den vermeintlichen Gründen hierfür später in dem Artikel mehr), welche es Dritten ermöglicht, Daten abzuziehen. Ein Spionage-Device, früher profan “Wanze” genannt, also.

Das Medienecho war / ist erwartungsgemäss relativ gross. Wenn sogar Boulevardblätter, die sich sonst eher um neue Funktionen von Alexa, Siri oder Cortana oder der neusten Smartwatch kümmern, sich einem solchen Thema (mehr oder weniger seriös) annehmen kann man schon von einem gewissen Impact sprechen.

Super Micro Inc. Börsenkursverlauf

Die unmittelbare Folge war dann auch, dass der Börsenwert von Supermicro (NASDAQ: SMCI) innerhalb kürzester Zeit um rund 50% (von relativ stabilen USD 21.4x auf kurzzeitig USD 9.55) eingebrochen ist.

Der Artikel hier soll einen (kurzen) Überblick darüber geben, was an dem Medienbericht unserer Einschätzung nach dran sein könnte – und was wir, bis zum Beweis des Gegenteils, eher im Reich der Legenden und Verschwörungstheorien vermuten würden.

Super… WHO?

Um der Tragweite (und dem Medienecho) eine Relation geben zu können muss man erstmal wissen, wer Supermicro eigentlich wirklich ist.

“Super Micro Computer, Inc.”, so der offizielle Name (hier abgekürzt mit Supermicro), ist ein taiwanesisch-amerikanisches, börsenquotiertes Unternehmen welches Computer-Equipment herstellt.

Der Hauptsitz ist in San Jose, Kalifornien, die Produktion ist zu einem grossen Teil in Asien.

Supermicro verfügt über zwei Tochterfirmen:

  • Super Micro Computer B.V. in Holland
  • Super Micro Computer Taiwan Inc.

Supermicro ist (einer) der vermutlich grösste(n) Hersteller von Server Hardware weltweit.

Die Server werden zu einem Teil unter dem eigenen Namen vermarktet. Weit mehr macht vermutlich das OEM-Geschäft mit anderen Hardware-“Herstellern” aus.

Warum OEM?

Fast jeder Hersteller einer sogenannten “Appliance”, also eines “Single-Purpose-Computers” wie es z.B. eine Firewall, ein Storage-Controller, (gewisse) Switches und Router, etc. ist, benötigt Hardware, auf der seine Software läuft.

Diese Hardware selbst zu entwickeln ist zum Einen mit sehr viel Aufwand (und damit auch extremen Kosten) verbunden. Andererseits besteht der Nachteil, dass die Stückzahlen einer solchen Appliance (gerade am Anfang) erwartungsgemäss relativ klein sind.

Zudem wird die Logistik massiv komplexer, wenn jeder Hersteller seine eigene Chip-Fabrik, seine eigene Mainbord-Entwicklung, etc. betreiben müsste.

Das wurde bis vor ca. 25 Jahren tatsächlich noch sehr oft so gemacht, geht aber bei den schnellen Generationszyklen, der massiv gestiegenen Komplexität der Hardware und den immer kürzeren Lebenszyklen derselben heute schlicht nicht mehr.

Die Kosten für die einzelne Box würden somit exorbitant hoch. Da die Hardware-Marge in den letzten Jahren so oder so gegen null tendiert würde sich eine Eigenentwicklung schon aus dem Grund nicht mehr rechnen.

Inzwischen sind die meisten Hersteller dazu übergegangen, sogenannte COTS Hardware (Common-Of-The-Shelf Hardware) bei einem Hersteller einzukaufen und gegebenenfalls mit Extras auszustatten. Der COTS-Hersteller hat auch die Verbindungen im Markt um Spezialentwicklungen effizient tätigen zu können.

Durch den “Effect of Scale” (weil die Hardware eben in einer Vielzahl verschiedener Geräte zum Einsatz kommt) teilt man sich so die Entwicklungskosten für die Hardware mit anderen “Herstellern” ohne direkt mit diesen verhandeln zu müssen.

Das ist in Etwa vergleichbar mit einer “Plattformstrategie”, wie sie im Automobilau seit Jahren Gang- und Gäbe ist.

Als letzten Produktionsschritt wird eigentlich nur noch das eigene Logo oder die eigene Frontplatte montiert sowie die eigene Firmware eingespielt. Fertig ist das Produkt.

Die Verwendung von COTS Hardware ermöglicht ein enormes Kostensparpotential. Zudem wird das Garantie- und Ersatzteilverfügbarkeits-Risiko ebenfalls abgewälzt.

Sollte das Produkt sehr viel schlechter laufen als geplant werden die initialen Investitionskosten weniger Schaden anrichten als beim Aufbau einer eigenen Fabrik.

Im umgekehrten Fall (unerwartet grosse Nachfrage) kann man das Problem mit einem einzelnen Anruf beim Hersteller der Hardware lösen und muss nicht den Umweg über einen Erweiterungsbau nehmen.

Mutmasslich fast alle namhaften “Hersteller” wie z.B.

  • Astaro
  • Cisco
  • EMC
  • Fujitsu
  • IBM
  • Juniper
  • Hitachi
  • NetApp
  • Nutanix
  • Nimble
  • Pure
  • SonicWall
  • Teilweise auch Dell und HP
  • … viele mehr

verwenden Hardware solcher COTS- oder OEM-Hersteller. Hierbei ist eigentlich relativ egal, ob ganze Hardware geliefert werden soll oder nur einzelne Komponenten.

Das Problem an der oben aufgeführten Liste ist, dass die Herkunft der einzelnen Komponenten zum Teil vom End-Hersteller nicht angegeben wird. SuperMicro fertigt auch ganze Produktelinien auf Basis ihrer Standard-Hardware für ihre endkunden – dort wird dann auch das Logo des End-Herstellers aufgedruckt. Welche Komponente schlussendlich von welchem COTS-Hersteller verbaut wurde ist so zum Teil für den Endkunden nicht ersichtlich.

So sollen zum Teil sogar Mainboards von Intel bei Supermicro gefertigt worden sein.

Kurz: Ausnahmslos jeder Hersteller nutzt mindestens gewisse Komponenten solcher COTS Hersteller. Das iPhone wird beispielsweise zum Teil mit Komponenten von FoxConn, Samsung (japp, Samsung!) und anderen bestückt.

Zu den Vorteilen gesellen sich natürlich auch gewisse Nachteile:

Einer der Nachteile ist, dass ein fehlerhaftes Design zu Problemen bei allen Hersteller-Kunden der Appliance zu Problemen und Rückrufen führen kann.

Probleme in der Fertigung können so sehr leicht auf eine Vielzahl von End-Herstellern durchschlagen.

Was wir hier allerdings erleben ist mutmasslich der Supergau für so einen COTS Hersteller.

Die Gerüchte hierzu kochen schon seit einigen Jahren immer wieder mal etwas hoch, allerdings nie in der Ausprägung wie jetzt.

Zurück zur eigentlichen Geschichte

Laut dem Bloomberg Bericht habe man einen Spionage-Chip auf den Boards gefunden.

Was der Bericht allerdings weglässt ist, was der Chip tatsächlich macht. Vermutlich ist das den “Entdeckern” auch noch nicht ganz klar.

Ist das technisch machbar?

Unserer Meinung nach ist das technisch relativ problemlos machbar, die Frage ist eher: Macht das Sinn?

Die Antwort: Ein klares Jein.

Ja, wenn man tatsächlich einen COTS-Hersteller dazu bringen kann so einen Chip in allen Produkten zu integrieren ist die Reichweite der Massnahme extrem hoch.

Zu bedenken geben möchten wir im Fall Supermicro jedoch, dass der identifizierte Chip ist von den physikalischen Ausmassen mit 0,8×1,2mm sehr, sehr klein ist.

Geschwindigkeitsmässige Wunder können wir von dem Chip ebensowenig erwarten wie grosszügige Memory-Ressourcen.

Die Grösse des Chips entspricht in etwa derjenigen, welcher für die Identifikation von Haustieren verwendet wird (RFID-Chip).

Entsprechend gehen wir davon aus, dass der Chip für sämtliche kryptographischen Arbeiten (wie z.B. das Entschlüsseln von Daten) schlicht zu klein wäre.

Zudem ist, wie bei allen sichtbar aufgelöteten Chips, das Risiko einer Entdeckung doch relativ gross.

Staatliche Institutionen der meisten Länder untersuchen Geräte welche in sicherheitskritischen Bereichen eingesetzt werden sollen im Normalfall sehr, sehr genau – das geht bis hin zum Aufschleifen und Analysieren der einzelnen Chips.

Gewisse Firmen wie z.B. Apple, Microsoft oder Oracle sowie Dienstleister wie z.B. Amazon gehen nicht weniger weit. Wenn man da unentdeckt bleiben will kann man die Spionage-Chips nicht einfach grundsätzlich auf die Boards auflöten sondern muss dies schon sehr gezielt (oder sehr geschickt) machen.

Dazu muss man dann allerdings sehr genau wissen, für wen das einzelne Board effektiv bestimmt ist. Logistisch ist der Aufwand hier immens.

Kommt dazu, dass das weltweite Datenaufkommen bei der grundsätzlichen Verwendung eines Chips der nach Hause telefoniert mutmasslich sehr hoch sein dürfte und entsprechend auffällig sein dürfte. Um da einigermassen unter dem Radar zu bleiben dürfte der Chip nicht viel mehr machen als seinen Standort (IP, Routing, WAN-Adresse) nach Hause zu senden. Die Funktionsweise wäre dann die einer Marker-Boje: “Schaut, hier werden Eure Server verwendet”. Zusammen mit ein paar zusätzlichen Angaben ergibt das dann einen Indikator, wo es sich genauer hinzuschauen lohnt.

Rein von der gefundenen Chip-Grösse ist das der einzige plausible Einsatzzweck, der uns hierzu einfällt. Wie gesagt: Nicht unmöglich, aber schwer zu rechtfertigen. Das könnte auch anhand von Lieferscheinen gemacht werden.

Ein weiterer Punkt, der in unseren Augen dagegen spricht ist, dass die meisten (wenn auch nicht alle) Datencenter heute so aufgebaut sind, dass die Hardware (also der physikalische Layer) in einem eigenen Netz untergebracht ist, von welchem aus nur sehr eingeschränkte Kommunikation ins Internet vorhanden ist. Meistens werden Management-Netzwerke zudem sehr gut überwacht weil das zu erwartende Kommunikationsaufkommen sehr gut bekannt ist und somit “unerwarteter” Verkehr sehr schnell auffällt.

Bei virtualisierten Umgebungen kommt dazu, dass man sehr genau wissen muss, welches virtuelle System man “abhören” und explizit diesen Datenstrom isolieren muss.

Auch hier wieder das Problem: Der mutmassliche Chip ist mutmasslich nicht mit übermässigen Ressourcen gesegnet und unserer Meinung nach nicht leistungsfähig genug.

Bleibt noch der Einsatz auf Firewall- oder Netzwerk-Systemen. Gerade bei grösseren Firmen ist das Datenaufkommen sehr hoch und in den meisten Fällen verschlüsselt.

Der mutmassliche Chip wird das schlicht nicht packen können.

Verwendung eines eigenen Kommunikations- oder Funkmoduls

Die Möglichkeit, dass der Chip über einen eigenen (langwellen) Kommunikationssender (wie er beispielswise in diversen Arduino-Boards verwendet wird) verfügen könnte ist nicht ganz von der Hand zu weisen und wäre technisch möglich.

Dass das aus einem Datacenter mit bekanntlich massiven elektrischen Interferenzen, aus einem Metall-Gehäuse heraus noch funktioniert darf allerdings bezweifelt werden. Dass das aus dem 20. Untergeschoss eines Datacenters dann noch funktionieren kann schliessen wir im Moment daher mal aus.

Zum jetzigen Zeitpunkt wurde jedenfalls noch keine Antenne auf den Boards entdeckt. Aber zugegeben: Die Variante wäre bestechend und würde keinerlei Netzwerkverkehr im eigentlichen Sinn erzeugen!

Eine weitere Möglichkeit: Abhören via Baseband Management Controller

Die meisten modernen Systeme verfügen über einen sogenannten “Baseband Management Controller”. Dieser stellt einen “Computer im Computer” (SoC) dar und kann auf gewisse Ressourcen wie Bildschirm, Tastatur (Maus) zugreifen und kann gewisse Signale an den eigentlichen Computer senden.

Dazu gehören z.B:

  • Reset des Systems
  • Power-Cycle des Systems (Off/On)
  • Auslesen diverser Sensoren für Temperatur, Lüftergeschwindigkeit, etc.

Der Baseband Management Controller (BMC) ist dann notwendig, wenn z.B. ein System hängt und man es von Remote kurz neu starten möchte.

Oder man möchte das System unter zu Hilfe nahme des BMC frisch aufsetzen, ohne dass man bewaffnet mit CD, CDROM, Tastatur, Maus und Bildschirm ins Rechenzentrum laufen will.

Beispiele für BMCs sind z.B:

  • HP ILO
  • die gängigen NetApp SP
  • RLM bei Fujitsu
  • etc.

Diese SoC (System On Chip) verfügen normalerweise über einen eigenen oder einen shared Netzwerkport auf dem Mainboard und haben einen entsprechenden, für das Board passenden Netzwerktreiber.

BMCs verfügen über ausreichend Flash-Speicher und haben direkten Zugriff auf gewisse Systemfunktionen.

Die Verwundbarkeit dieser Schnittstellen wurden in der Vergangenheit immer mal wieder heiss diskutiert, eine wirklich allgemeingültige Aussage über die generelle Sicherheit gibt es aber bis heute nicht.

Was allerdings klar sein muss ist, dass so ein BMC fehlerhafte Software haben und entsprechend auch eine gewisse Gefahr darstellen kann sofern die Updates vernachlässigt werden.

Unserer Meinung nach wäre es sehr viel einfacher, den Code in einem (versteckten) Bereich des BMCs zu platzieren als dass man einen dedizierten Chip auflötet / auflöten lässt:

  • Die Gefahr entdeckt zu werden ist sehr viel kleiner
  • Der “Malware-Code” könnte ohne grössere logistische Probleme eingeschleust werden
  • Die Leistungsfähigkeit der BMC-CPUs ist mutmasslich sehr viel höher als diejenige des Mini-Chips
  • Die Software könnte bei Bedarf einfach gelöscht werden.

Hier stellt sich allerdings ebenfalls die Frage nach dem mutmasslichen Erfolg. Die BMCs haben eigentlich nur treiber für die On-Board Netzwerkinterfaces dabei.

Sobald Zusatzkarten (z.B. für 10G Netzwerk-Anbindung) eingebaut werden und die On-Board Chips nicht benutzt werden ist das BMC und somit auch die “Zusatz-Funktion” ohne Nutzen (ausser, der Admin hängt das Interface extra aus dem Grund an).

Angriff via UEFI-Bios

Eleganter wäre es, die “Malware” ins UEFI-Bios zu integrieren. Neben dem Vorteil der (beinahe perfekten) Tarnung kann von dort aus das gesamte System mitsamt aller Treiber mitgenutzt werden. Somit stünden ausreichend Ressourcen zur Verfügung um auch komplexere Aufgaben lösen zu können.

Einer der Nachteile ist, dass die Entdeckung hier ebenfalls eine Frage der Zeit sein wird.

Die UEFI-Bios werden inzwischen sehr genau untersucht.

Unmöglich wäre ein solches Vorgehen dadurch jedoch nicht.

Also? Alles Fake?

Dieser Artikel hier stellt unsere Sichtweise dar. Wir hatten diverse Diskussionen mit anderen IT-Security-Spezialisten. Deren Meinung ging von “ist so” über “unbedingt möglich” bis hin zu “totaler Quatsch”.

Unsere Meinung zu dem Thema ist die folgende:

Wie im Artikel dargelegt halten wir es grundsätzlich nicht für ausgeschlossen, dass so ein Spionage-Chip grundsätzlich existiert und erfolgreich eingesetzt werden kann.

Wir sind grundsätzlich der Meinung: Was gemacht werden kann wird auch gemacht. So abwegig ist die Idee nicht: Wer den COTS-Hersteller “in der Tasche” hat bekommt, sofern das Device funktioniert, eine ungeahnte Reichweite.

Allerdings halten wir das hier gezeigte Vorgehen für nicht sehr effizient:

  • Die Gefahr, entdeckt zu werden ist relativ hoch.
  • Der logistische Aufwand ist extrem hoch.
  • Die Entwicklungskosten für solch einen Chip sind immens. Falls der dargestellte Chip effektiv als Spionage-Chip herausstellen sollte so muss davon ausgegangen werden, dass der Auftraggeber über immense finanzielle Mittel (und mutmasslich massive Druckmittel gegen den Hersteller) verfügt und ihm Kosten weitestgehend egal sind.
    • Hier kommt unserer Meinung nach nur ein Staat in Frage.
  • Der Leistungsfähigkeit des Chips sind rein von der Grösse her enge physikalische Limiten gesetzt. Mehr als gewisse Helfer-Funktionen kann der Chip nicht übernehmen.
    • Hier gilt es herauszufinden, wie der Angriff tatsächlich funktioniert.
    • Die mutmassliche Ausbeute dürfte eher gering sein, ist für uns aber zur Zeit nicht 100% quantifizierbar weil wir schlicht noch nicht wissen, wie der Chip funktioniert.
  • Die Gefahr, dass die Kommunikation irgendwann auffliegt ist bei 100% (die Firmen, denen das nicht auffällt dürften sich nicht im Interessenbereich des Angreifers befinden)
  • Es ist unserer Meinung nach einfacher, die BMCs direkt anzugreifen (erfahrungsgemäss werden diese in vielen Fällen nur sehr sporadisch auf den neusten Stand gebracht)

Angenommen der Vorwurf entpuppt sich als Tatsache wäre dies eine global ausgerollte hochspezialisierte Attacke auf sehr eng definierbare Targets innerhalb der Infrastruktur der Kunden.

Das ist vom Vorgehen in etwa wie wenn man mit einer Gattling auf Eichhörnchenjagt geht.

Mögliche Daten von Interesse wären z.B:

  • Verschlüsselungs-Keys (unwahrscheinlich, da diese ein gewisses Mass an Rechenleistung zur Extraktion voraussetzen würden – da wäre ein UEFI-Mechanismus eleganter)
  • Abschnorcheln von Informationen des Netzwerks (Möglich, allerdings nur als Angriffsvorbereitende Massnahme tauglich)
  • Entwicklungsdaten (in eingeschränktem Masse möglich)
  • Funktion als “Boje” (seht her, ich bin hier, schaut’ mal ob Ihr reinkommt; Sehr gut möglich)

Eine andere Möglichkeit wäre, dass die Chips gar keine Daten absaugen können sollen sondern lediglich die Funktionsfähigkeit des Systems beeinträchtigen sollen.

Allerdings ist in dem hier vorliegenden Fall noch völlig offen, wie mit dem System kommuniziert werden soll – respektive: wie das System mit “zu Hause” kommuniziert.

Kommt dazu, dass die Dementis der betroffenen Firmen (sowohl seitens Supermicro wie auch von Apple oder AWS relativ ausführlich sind:

  • Supermicro dementiert den Bloomberg-Artikel äusserst gründlich und glaubhaft.
  • Apple und AWS dementieren die Aussage von Bloomberg, eine FBI Untersuchung angestossen zu haben.

Trotz allem: Wo Rauch ist dürfte auch Feuer sein. Das Gerücht hält sich schon seit einer Weile – und ist nicht nur auf SuperMicro beschränkt. Unter Anderem wurde bereits Huawei beschuldigt, Spionage-Mechanismen in ihrer Hardware verbaut zu haben. Unserer Kenntnis nach allerdings ohne, dass man das jemals nachgewiesen hätte.

Fazit?

Wir sind unschlüssig. Technisch ist die Installation von Spionage-Devices grundsätzlich möglich und auch denkbar. Und eigentlich auch überfällig.

Wir bezweifeln allerdings, dass ein effektiver “Angriff” mittels des entdeckten Chips das gewünschte Resultat liefern kann. Zum jetzigen Zeitpunkt sind da zu viele Fragen hinsichtlich der Funktionsweise offen. Da sich das Spionage-Gerücht schon seit jahren hält (jetzt aber zum ersten Mal härtere Evidenzen geliefert wurden) fragen wir uns, ob das wirklich so heiss gegessen werden sollte. Seit Jahren wird erfolglos versucht, einen Nachweis zu erbringen.

Zudem halten wir das Vorgehen für so einen Angriff als logistisch untauglich.

Die einzige Möglichkeit, wo ein solches Vorgehen Sinn machen könnte wäre Sabotage. Und auch da gäbe es wesentlich elegantere Methoden die zudem schwierig bis gar nicht nachweisbar wären.

Kampagne eines Mitbewerbers?

Wenn dies der Versuch z.B. eines amerikanischen Herstellers sein sollte, einen gehassten Mitbewerber los zu werden wird das unserer Meinung nach ein Rohrkrepierer.

Die meisten Hersteller, auch in den USA, setzen irgendwo Hardware von Supermicro ein. All die Hersteller werden sich dann einen anderen Lieferanten suchen müssen. Weltweite Verzögerungen von IT-Projekten wären die Folge, da kaum ein anderer Hersteller über die Kapazitäten verfügen dürfte welche den Ausfall von Supermicro als Lieferanten wett machen können.

Dass ein anderer Hersteller “heimlich” seine Kapazitäten derart erhöht halten wir ebenfalls bestenfalls für eine Verschwörungstheorie: Selbst wenn dem so wäre müssten alle Supermicro-Kunden ihre Produkte erst auf die Hardware des anderen Herstellers abstimmen.

Politische Kampagne?

Auch hier: Möglich. Supermicro ist ein zum Grossteil im asiatischen Raum produzierender Hersteller, was bekanntlich zur Zeit in den USA nicht unbedingt sehr angesagt ist. Da die Marktstellung von Supermicro als COTS-Lieferant weltweit ziemlich dominant ist gibt das natürlich gewissen (politischen) Gegenwind.

Allerdings halten wir das ebenfalls für einen Rohrkrepierer. Wie bei der Kampagne eines Mitbewerbers auch würde das Problem entstehen, dass die ganzen COTS-Kunden (in den USA) ihre Produktion umstellen müssten. Das würde zu massiven Liefer-Verzögerungen führen.

Was, im Vergleich zur Kampagne eines Mitbewerbers noch erschwerend hinzu käme wäre, dass im Falle einer politischen Kampagne auch die amerikanischen Konkurrenten von Supermicro auf dem linken Fuss erwischt würden da sie nichtmal darauf vorbereitet wären.

Kampagne von Bloomberg?

Auch hier: Nicht unmöglich. Die Frage ist: Wozu? Bloomberg hat sich den letzten Jahren unserer Meinung nach relativ wenig vorzuwerfen, was die Qualität des Journalismus betrifft.

Dies ist auch einer der Gründe, warum die Verfechter der Spionage-Chip-Theorie sich so sicher sind, dass da was brennt.

Wir geben jedoch zu bedenken, dass Bloomberg bis jetzt nur anonyme Quellen (und auch die nur unvollständig) genannt hat. Verständlich, angesichts der Brisanz der Materie auch nachvollziehbar. Trotzdem hinterlässt das bei uns einen etwas schalen Beigeschmack.

Darüber hinaus halten wir das Argument mit dem “guten Ruf”, den Bloomberg zu verlieren hätte, für überzogen.

Klar, wenn sich das als Ente herausstellen sollte wird das natürlich schlecht und teuer für Bloomberg.

Trotzdem: Die deutsche Zeitschrift “der Stern” existiert trotz (oder gerade wegen) der “Hitler Tagebücher” auch noch.

Könnte das eine Börsenwette sein?

Ebenfalls nicht unmöglich. Der Aktienkurs hat auf alle Fälle erstmal rund 50% nachgegeben. DIe Person, welche zufällig auf einen sinkenden Aktienkurs von Supermicro gewettet hat wird heute abend sehr viel reicher ins Bett gegangen sein als gestern.

Allerdings wird sich die Person schon sehr bald einem Interview mit der Special Enrichment Commission (SEC) stellen müssen.

Die haben da sicher ein paar Fragen. Vor allem wird die interessieren, wie zufällig der Zufall wirklich war. Die sind da bekanntlich eher etwas spassbefreit.

Wie weiter?

Im Moment bleibt uns nichts anderes übrig, als abzuwarten. Supermicro-Server jetzt grundsätzlich zu verteufeln halten wir für unangebracht.

Noch wissen wir viel zu wenig über die Art des vermeintlichen Angriffs sowie über die Verbreitung des mutmasslichen Chips.

Nichts desto trotz raten wir dazu, die BMC-Firmware der Boards jweils auf dem neusten Stand zu halten, sichere Passwörter und Verschlüsselung zu verwenden.

Die Zeit wird zeigen, was wirklich Sache ist. Wir gehen allerdings zur Zeit nicht davon aus, dass sich der Bloomberg-Artikel zu 100% bewahrheiten wird. Das Vorgehen macht einfach zu wenig Sinn.

Der Anteil an High-Value-Targets im Verhältnis zur Gesamtmasse an Geräten macht einen globalen Angriff auf alle schlicht zu ineffizient.

Der vermeintliche Chip könnte auch ein etwas uneleganter “Fix” aufgrund eines Problems mit dem Design des Boards oder einer seiner Komponenten sein.

Sollte sich der Bloomberg-Artikel allerdings als den Tatsachen entsprechend herausstellen müssen wir uns folgende Fragen gefallen lassen:

  • Wie kann es sein, dass ein Hersteller von COTS-Hardware es schafft, einen globalen Lauschangriff durchzuführen?
  • Wie kann es sein, das ein solcher Chip weder von den COTS-Kunden (also den Appliance-Herstellern) noch von den Endkunden bemerkt wurde?
  • Wie kann es sein, dass der Chip vor dem in diesem Fall mutmasslichen Netzwerkverkehr entdeckt wurde?
  • Wie können wir sicherstellen, dass so etwas nicht wieder vorkommt?
  • Was für Daten wurden abgehört?
  • Seit wann wurden die Daten abgehört?

Alles in Allem würde das ein eher sehr schlechtes Licht auf die Tauglichkeit aller eingesetzten Sicherheits- und Qualitätssicherungs-Mechanmismen sowie auf die Kompetenz und Glaubwürdigkeit der Sicherheitsexperten werfen.

Egal, wie die Sache ausgeht, eines müssen wir uns allerdings bewusst sein: Das von Bloomberg gezeichnete Bild ist grundsätzlich möglich und realisierbar.

Es ist weniger eine Frage  des “ob” oder “wie” als des “wann” und “in welchem Ausmass”.

Spionage hat schon immer zum Spiel dazu gehört. Dass heute keine Kurzwellensender mehr in Telefone gesteckt werden bedeutet nur, dass es heute eben bessere Mittel und Wege zur Spionage gibt. Und genau so wird es auch in Zukunft weiter gehen.

Ob der Chip nun ein Spionage-Device ist oder nicht wissen wir (noch) nicht.

Wir sind uns aber in folgenden Punkten zu 200% sicher:

  • Wenn das wirklich ein Spionage-Angriff sein sollte: Chapeau! Über (mutmasslich) Jahre hinweg ein Device einzuschleusen und niemand merkts…
  • Wenn das wirklich ein Spionage-Angriff sein sollte: Das nächste Mal wird der Spionage-Chip sicher nicht mehr auf dem Board aufgelötet sein sondern im UEFI- oder einem sonstigen BIOS aufgehoben und mit einem Selbstzerstörungs-Mechanismus ausgestattet sein und entsprechend nur dann entdeckt werden können, wenn man die Software “in Flagranti” beim Spionieren erwischt.
  • Und: Mit der Verfügbarkeit effizienterer Verschleierungsmechanismen wird die Hemmschwelle zum flächendeckenden Einsatz massiv sinken.

Im Grab von George Orwell dürfte es gerade relativ laut rumoren.