Her er hva du skal lese om Bloombergs 'Big Hack'-historie

Forrige uke publiserte Bloomberg Businessweek en oppsiktsvekkende rapport om en potensiell stor maskinvaresårbarhet i serverens hovedkort som brukes av dusinvis av store teknologiselskaper, som Apple og Amazon, samt det amerikanske etterretningsmiljøet, inkludert CIA og marinen.

'Big Hack', som historiens overskrift lyder, er en enkel sårbarhet som angivelig er ekstremt vanskelig å implementere - en enkelt liten brikke installert på hovedkortet under produksjonen skaper en bakdør for ondsinnet kode som kan kjøres på serveren. Gitt at maskinvareselskapet som er navngitt i historien, Super Micro Computers Inc., er den største leverandøren av hovedkort i verden, er omfanget av angrepet, vel, stort.

Det er Businessweeks Word versus alle andre

Responsen på Businessweek-historien har imidlertid ikke vært annet enn motstridende. Samme dag som historien ble publisert, eple , Amazon og Supermikro alle utgitte uttalelser som benekter at noen forurenset maskinvare ble funnet eller eksisterer.

'På dette kan vi være veldig klare: Apple har aldri funnet ondsinnede brikker, 'maskinvaremanipulasjoner' eller sårbarheter plantet på noen server med hensikt. lyder uttalelsen fra Apple.

«Vi har ikke på noe tidspunkt, hverken tidligere eller nåværende, funnet noen problemer knyttet til modifisert maskinvare eller ondsinnede brikker i SuperMicro-hovedkort i noen Elemental- eller Amazon-systemer. Vi har heller ikke engasjert oss i en etterforskning med regjeringen,' lyder uttalelsen fra Amazon.

'Supermicro har aldri funnet noen ondsinnede sjetonger, og heller ikke blitt informert av noen kunde om at slike sjetonger er funnet,' lyder uttalelsen fra Supermicro.

Tirsdag, Jordan Roberston og Michael Riley - de samme reporterne som jobbet med 'Big Hack'-historien - publiserte en oppfølging , siterer en ekspert på nettsikkerhet som fant modifisert Supermicro-maskinvare på serverne til en av kundene hans, 'et stort amerikansk telekommunikasjonsselskap.' Sårbarheten, rapporterer Robertson og Riley, er ikke den samme som den som ble diskutert i deres tidligere historie, men er nok en rapport om kompromittert maskinvare fra leverandøren Supermicro.

Selvfølgelig, i den historien, benektet tre store amerikanske telekommunikasjonsselskaper - AT&T, Sprint og Verizon - at det ble funnet forurenset maskinvare i systemene deres.

Så tok Businessweek feil? Prøver disse selskapene bare å dekke ræva sine? Samordnet dusinvis av kilder fra flere selskaper og offentlige etater seg for å lage en av de største cybersikkerhetssårbarhetene som noen gang er sett? Eller ligger sannheten et sted i midten?

Er dette til og med mulig?

Hovedkort – teknologinettstedet, ikke maskinvaren – har dekket nedfallet og forsøkt å bekrefte påstander i Businessweek-historien.

På torsdag, de styrket levedyktigheten av hacket omtalt i Businessweek-historien, kjent som et forsyningskjedeangrep. Når vi snakker med flere sikkerhetseksperter på posten, bekrefter Motherboard at det som er diskutert i Businessweek-historien er mulig, men hvor det oppstår problemer er omfanget av angrepet.

Fordi maskinvareangrep i noen tilfeller kan være vanskeligere å oppdage og tungvint å fikse (maskinvare kan ikke enkelt lappes som programvare), holder de ikke bare sikkerhetseksperter oppe om natten, men er svært ettertraktet av spionbyråer. Ifølge dokumenter lekket av Edward Snowden har National Security Agency avlyttet datautstyr under transport å sette inn egne overvåkingsmuligheter. […] Hacks som dette har blitt bevist om og om igjen i proof-of-concept-artikler av akademikere og sikkerhetsforskere, men forsyningskjedemanipulasjon av størrelsen og omfanget rapportert i Businessweek er enestående.

[ Hovedkort ]

Hvem forteller sannheten?

Mens du forventer at noe så komplisert som et forsyningskjedeangrep ville bli begravd under sider og sider med tekniske detaljer, er konflikten rundt det antatte Supermicro-hacket en sammenblanding av næringsliv, internasjonal politikk og spionasje. Enkelt sagt, det er Businessweeks ord kontra alle andres.

Denne frem og tilbake mellom Businessweek som står ved sin rapportering og sine undersåtter – av dem de mest suksessrike teknologiselskapene og statlige etterretningsoperasjoner på planeten – som på det sterkeste benekter rapporteringen, har gjort at sikkerhetseksperter ikke er helt sikre på hvem de skal tro, Hovedkort rapporterer .

Fordi påstandene i Bloomberg-historien ville være verdensskiftende, har historien dominert diskursen i cybersikkerhetsverdenen. Selv om proaktivt oppdage en ondsinnet brikke i forsyningskjeden er svært vanskelig og tidkrevende, sier sikkerhetseksperter at det å oppdage en i etterkant burde være trivielt enkelt. […] Utsiktene til denne typen angrep er veldig reelle, men det faktum at både Bloomberg og selskapene som er nevnt i historien dobler seg, forvirrer alle, og et tegn på at vi sannsynligvis ikke er ferdige med å høre om denne historien snart.

[ Hovedkort ]

TechCrunchs Zack Whittaker, en veteran sikkerhetsreporter, kritt opp denne forvirrende krigen med pressemeldinger og uttalelser om arten av denne typen rapportering. Å dekke sikkerhetssårbarheter og klassifisert informasjon betyr at du oftere enn ikke arbeider med å gjøre kildene dine anonyme for å beskytte dem, noe som med rette åpner arbeidet ditt for fornektelser og fordømmelser fra organisasjonene du dekker. Dette, forklarer Whittaker, er det som skjer akkurat nå.

[Kildene er anonyme - sannsynligvis fordi informasjonen de delte ikke var deres å dele eller den ble klassifisert, noe som setter kilder i fare for juridisk fare. Men det gjør ansvarlighet vanskelig. Ingen reporter ønsker å si «en kilde som er kjent med saken» fordi det svekker historien. Det er grunnen til at journalister vil merke navn til talspersoner eller tjenestemenn slik at det holder myndighetene ansvarlige for deres ord. Og benektelsene fra selskapene selv - selv om de er transparente publisert i sin helhet av Bloomberg — er ikke skuddsikre i direkte avvisning av historiens påstander. Disse uttalelsene går gjennom juridisk rådgivning og er underlagt myndighetsregulering. Disse uttalelsene blir en motvekt – gjør historien fra en evidensbasert rapport til en 'han sa, hun sa'-situasjon.

Det pålegger leseren å bedømme Bloombergs rapportering. Reportere kan publisere sannheten alt de vil, men til syvende og sist er det opp til leseren å tro det eller ei.

[ TechCrunch ]

Naturligvis er svaret på alt dette ikke så enkelt som 'de falske nyhetsmediene lyver igjen', og det er heller ikke 'teknologiindustrien prøver å dekke over enda et stort sikkerhetsbrudd'. Hvis denne sårbarheten er så utbredt som Businessweek rapporterer, vil bare tiden – og det pliktoppfyllende, harde arbeidet til sikkerhetsreportere – vise sannheten. Forhåpentligvis.