Компания Super Micro опубликовала (https://www.supermicro.com/en/news/CEO-3rdPartySecurity-Update) результаты независимого аудита, проведённого после публикации изданием Bloomberg сведений (https://www.opennet.dev/opennews/art.shtml?num=49417) о выявлении интегрированного на этапе производства шпионского чипа в серверных материнских платах Supermicro, поставляемых 30 компаниям из США, среди которых упоминались Apple и Amazon. Аудит не выявил каких-либо доказательств существования шпионских аппаратных имплантов и вредоносных модификаций оборудования Supermicro.
Проведённая проверка охватывала контрольные выборки ныне выпускающихся и устаревших моделей плат, в том числе экземпляры, купленные упомянутыми в статье компаниями. Напомним, что сразу после публикации Apple, Amazon и Supermicro категорически отвергли информацию об обнаружении имплантов и указали, что, вопреки заявлениям в статье, не выявляли вредоносные чипы в имеющемся оборудовании. Позднее издание Bloomberg раскрыло один из источников, но в новом материале всплыло множество несостыковок (https://www.opennet.dev/opennews/art.shtml?num=49417) в описании импланта, а
фотографий чипа и доказательств его наличия так и не было предоставлено.URL: https://www.supermicro.com/en/news/CEO-3rdPartySecurity-Update
Новость: https://www.opennet.dev/opennews/art.shtml?num=49764
Я так понимаю процесор не рассматривали?
В описании фигурировала подстановка закладки в виде микрочипа на шине BMC-контроллера. Во второй статье упоминали внедрение в Ethernet-разъём.
Реклама это фигурировала. :)
Они уже порекламились, забыв "инженерный логин" в BMC...
Самопиарился там просто один мужичок. Хуцпу отрабатывал.
надеюсь Super Micro впаяет иск этим пи..даболам из Bloomberg
Ни кого это не заинтересует. В каждой следующей атаке на компании будут упоминать статью Блумберга, а то, что это была ложь (пусть даже публично опровергнутая) конгрессменов не касается.
это было бы просто прекрасно (потому что в войне слухов сам по себе факт иска - уже неплохой камушек на нужную чашу весов), но, увы, не дождемся.и из чего теперь домашний сервер собирать - я хз :-(
Supermicro падение цены акций, кстати, так и не отыграла https://finance.yahoo.com/quote/SMCI/
Так они пошли по пути AMD/Intel - скинули на пике, по 21.40, объявили о троянах,
снова купили, но за 12.40 и на 72.5% больше штук, сейчас продали по 16.50,...
28.47% прибыли за полгода, ничего не делая, только нажимая кнопки [Продать]/[Купить] плохо чтоль?!
Вот же супермикро вляпалась. Огромное падение цены акций, падение продаж на фоне скандала, затраты на тот самый независимый аудит и участие в истории со шпионскими закладками - которые пусть и не нашли, "но осадочек-то остался!".Протрубившую везде информацию о том, что вроде есть какие-то закладки, от громкого имени Блюмберга против новости на супермикровском же сайте об аудите от какой-то малоизвестной конторки, неизвестно какого качества что там конкретно проверяли.. Что больше запомнят? И, главное, кто получил больше всего выгоды от этой истории?
Это как MeToo, но в сфере микроэлектроники )
коллеги, стесняюсь спросить - а что, английским-то никто из вас не владеет, незачем поцреоту знать вражьи йезыки (кроме мандарина, но это не каждому дано) ?по ссылке - банальное бла-бла озаглавленное "letter from ceo", подписанное главным китайцем, главным индусом, и хз кто там третий, нигр, наверное.
Ни о каком "независимом аудите" речи вообще нет - we undertook a thorough investigation with the assistance of a leading, third-party investigations firm.
что за leading фирма - разумеется, решили не упоминать.
> И, главное, кто получил больше всего выгоды от этой истории?
а вот тут вообще смешно - очевидно, выгоду получили плохая дорога и ленова. Потому что ежели все равно покупать китайские зонды - то зачем платить больше за штаб-квартирку в америке? Берите напрямую у производителя, оно и дешевле, и зонд лучше полированный.
А те кто покупали деллы и хепе - продолжают их покупать, им и раньше супермикра нафиг была не нужна, и сейчас.в общем, вангую, никакого иска к блумбергу не будет - потому что у блумберга есть минимум один человек который своими глазами видел работу закладок, а в этом letter - одно бла-бла (и ни малейших следов попыток выйти на контакты с этими самыми людьми - если бы супермикре на самом деле было надо решить проблему, а не надуть щеки - хотя бы даже и в виде "мы пытались связаться, нас послали на...". Но нет, не пытались они, им не хочется.)
> потому что у блумберга есть минимум один человек который своими глазами видел работу закладокугу, сначала в чипе увидел, а потом в разъёме, а в конце сказал, что "Highly likely" оно там где-то есть и попробуйте опровергните.
Letter на западе зачастую означает, что сообщение является юридически значимым. Если вдруг окажется, что в этом письме ложь, то, в лучшем случае, подписавшиеся пойдут искать новую работу. А если не повезет, то еще попадут на иски. Если совсем не повезет, то и в уголовные дела.
дык в том и дело что оно написано так, что привлечь не удастся - "мы искали-искали, и ничего не выискали".что искали где светлее, а не там где надо - к делу не подошьешь. Как и "независимую фирму" без названия. Ну старались они - как умели. А если умели плохо и старались мало - никто вроде и не виноват получается.
> Ни о каком "независимом аудите" речи вообще нет - we undertook a thorough investigation with the assistance of a leading, third-party investigations firm.Чем https://www.nardelloandco.com/ не устраивает в качестве независимой компании, делающей аудит?
> что за leading фирма - разумеется, решили не упоминать.
Да все там упомянули (Nardello & Co делала аудит, напр. тут написано https://techcrunch.com/2018/12/11/supermicro-says-investigat.../). Просто новость не очень полно составлена.
> Чем https://www.nardelloandco.com/ не устраиваеттем, что в письме трех ниггеров нет никакого упоминания конкретной лавки.
> Просто новость не очень полно составлена.
новость является копипастой с оригинала, очевидно ее автор не шерстил интернет в поисках других источников, при наличии письма самих CEO. Которые (источники) вообще-то и перепроверять иногда неплохо бы.
>> Чем https://www.nardelloandco.com/ не устраивает
> тем, что в письме трех ниггеров нет никакого упоминания конкретной лавки.Да. Это в Reuters задались вопросом, "а что за лавка-то" и получили информацию от человека в теме "A person familiar with the analysis told Reuters it had been conducted by global firm Nardello & Co and that customers could ask for more detail on that company’s findings."
Отсюда вот: https://www.reuters.com/article/us-supermicro-chips/super-mi...
>> Просто новость не очень полно составлена.
> новость является копипастой с оригинала, очевидно ее автор не шерстил интернет в
> поисках других источников, при наличии письма самих CEO. Которые (источники) вообще-то
> и перепроверять иногда неплохо бы.Чуть погуглил, создалось впечатление что остальные использовали reuters как первоисточник.
спасибо, конечно, за раскопки, сам бы я еще месяц собирался, но суть-то в общем все та же - слухи, интриги, неназываемые источники... уровень современной журналистики, видать, ровно такой же как и у пресловутого блумберга.
Может, серверов это и не коснулась, но про предустановленный HP кейлоггер, не так давно обнаруженнный, забывать не стоит.
Кто бы сомневался. С самого начала был уверен в том, что журналисты - те ещё паникёры. А у Supermicro отличное железо, по соотношению цена/качество они лучшие. Вероятно их конкуренты слушок и пустили про закладки в их железках.
В данном разе не паникёры, а наложники. И да, буду рад, если блюмбергу впаяют красивый иск на круглое самое дорогое.
'овно редкостное это ваше "железо". С памятью проблемы, с 10G ether'ами - проблемы. Dell'ы с той же памятью и теми же картами работают "без единого разрыва". Стоят правда в 2 раза дороже, да.
Ты его спиртиком-то промывай, а не всё внутрь.
Шпионские чипы на шине висят тормозные, задержки вносят. Вот и проблемы. А у ДЕЛЛа шпионские чипы лучше, потому, и дороже в 2 раза.
еще бы - у делла-то зонды мериканские, а тут китай галимый.
Откуда такая информация? У меня куча серверов SuperMicro работают и все на 10G - не было с ними проблем ни разу. Некоторым уже больше 10 лет.
Да торгует он деллами, понятно же.
Деревянными. В Химках.
Я больше скажу, SuperMicro серверы за 15 лет еще работают, 24 часа в сутки. Конечно, как у любого сервера, что-то по-мелочи может вылезти, у одного из 10. У Dell тоже вылезает, это свойства электроники и физики.
У Dell DRAC допилили неплохо, хотя с тестированием оного у них проблемы. У Supermicro детский садик с IPMI, по-моему какая-то generic версия, просто имя на Supermicro поменяно.
В DRAC понравилась новая фишка подключать ISO через HTTP.
Нашим программистам не понравилась SuperMicro IPMI после DRAC. Не знаю пробовали ли они RedFish API там или нет, но я догадываюсь, что у SuperMicro с этим далеко не сахар.
"На правах рекламы" забыл поставить? Посмотрел бы на тех, кто повелся, как они будут компоненты втридорога брать, если придется чинить или апгрейдить.
ну так шел бы и посмотрел, как устроена работа в крупных лавках, которые могут позволить себе покупать деллы.Их, дорогой админ подвальчика, именно для того такие и покупают, чтобы никогда никакие компоненты самому не искать по помойкам и не покупать по одной штучке, и чинить их васяну с паяльником тоже не дают.
сервисные контракты, sla, не, не слышал.
> ну так шел бы и посмотрел, как устроена работа в крупных лавках,
> которые могут позволить себе покупать деллы.
> Их, дорогой админ подвальчика, именно для того такие и покупают, чтобы никогда
> никакие компоненты самому не искать по помойкам и не покупать по
> одной штучке, и чинить их васяну с паяльником тоже не дают.
> сервисные контракты, sla, не, не слышал.есть только нюанс, если запас по ЗП (как ни странно это звучит) отсут. - то ждать можно ощутимо долго, по ощущениям - везут на веслах, через Атлантику
Даже для старой (уже снятой с сапорта) техники - ЗП ценой в чугунный мост, а на ибее немоги - финансовая политика компании, все через офиц. (обобренных и прочеканных на гейропскую белость и пушистость) поставщиков
опять же по наблюдениям - есть железяка МЛ530 (Ж2 Харламий, кот. сразу после покупки Компага) ему лет 13-ть и работает (всяки тесты/эксперименты) с выключениями на перезды.
А есть ДЛ380 (Ж4, Ж5) и ДЛ360 Ж5 у кот. за срок службы уже что-то да ломалось (БП к примеру)
А еще был ИБМ блейд - у него после отстоя пены (полежал новый полгода) ваще банк памяти не работал (сказали - деградация припоя)
iLo - это ППЦ, на Ж4/Ж5 коннект по ssh - это боль, еслибы было виндядко - ваще не вариант подрубиться (там же графика нужна), из-за устаревшей сесуриту АктивХэ тупо не загрузицо (как и джава аплет). Обновить, по понятным причинам (снятие с поддержки вендором) варианта нет.
Др. словами - в нек. вариантах использования, брендовое железо, после окончания поддержки - только на помойку (заплатив некисло денег еще и за утилизацию)
> есть только нюанс, если запас по ЗП (как ни странно это звучит) отсут. - то ждать можно ощутимо
> долгоэто в sla, дружище.
Я не вникал в делловские, просто пользуюсь, могу тебе рассказать как с этим у цисок (у делл дай б-же десятка платформ, да и те все из одинаковых и взаимозаменяемых где можно компонентов, а у тех сотни и совершенно друг на друга непохожих, к каждой десятки модулей, тоже разных, у тех еще поколения бывают, а заменять надо на точно такой же).Оплачиваешь дешевый саппорт, который по рабочим дням и до двух дней на раздумия - тебе везут со склада, который загружают по квотам - "мы этого продали сто штук - 101ю надо положить на полку" - то есть если массово сдохло у всех одно и то же, или у тебя какая-то редкая экзотика - может не хватить и будешь ждать следующей навигации.
Оплачиваешь тот что 24/7 - под тебя заводят _отдельную_ позицию - и все что тебе может понадобиться в этой жизни, лежит на полочке, ждет звонка.
Если внезапно у тебя сгорело сто штук разом, вместе с офисом ~~ты уже горишь в аду, нахрен тебе замена~~ - это уже их риски, как и откуда они будут в положенные сроки вымучивать и каким спецрейсом тебе везти.Ну да, денег оно стоит столько, что часто проще себе свой собственный склад завести (и так тоже делали для сравнительно дешевого типового железа). Но это ни разу не твои деньги, и их в любом случае нельзя сконвертировать в зарплату.
А бизнесу так проще - он не зависит от самоучек без мотора, и свои запчасти либо получает, либо может переложить ответственность (денежную в том числе).
Любопытно, а Bloomberg за такую развлекуху что будет? На ум приходит финал "грузинский басня про варон"
> финал "грузинский басня про варон"ой, я вас умоляю... "Большой и дружный лес" IT способен только срать друг другу в норки, а чтобы одной паршивой "варон всю ночь давать ..." - так сразу все в тину уйдут...
не та строчка. Гуглите снова
Гугл пока что не научился шарить по мозгам, так что или говорите сами, что имеете в виду, или ...
Bloomberg в последнее время несёт такую чушь, что читать противно. Будь то политики или китайские материнские платы...
> Компания Super Micro опубликовала результаты независимого аудита ... в серверных материнских платах SupermicroТ.е. пацаны сами себя проверили и убедились, что всё в порядке?
Насильник сделал аудит своего пениса и убедился, что он никого не насиловал. Суд принял его доводы, изнасилованная осталась удовлетворена.
Не читать даже цитируемое - это что-то.Независимый! аудит!
> Не читать даже цитируемое - это что-то.
> Независимый! аудит!Цитирую, читайте:
https://www.supermicro.com/en/news/CEO-3rdPartySecurity-Update
> we undertook a thorough investigation with the assistance of a leading, third-party investigations firm. A representative sample of our motherboards was tested, including the specific type of motherboard depicted in the article andТут даже про независимость не говорится (третья сторона совсем не обязательно должна быть независимой или незаинтересованной), а уж отсутствие конкретных имен -- чисто формально можно и анонима опеннета объявить "ведущим аналитиком", не уточняя, что ведущий он в "диванно-либастальном анализе".
> Тут даже про независимость не говоритсятут и про аудит не говорится. investigation - это совсем о другом.
Глупенькая девочка которая верит всякому бреду. Не было никакого аудита.
> Т.е. пацаны сами себя проверилину не совсем - они арендовали лупу у независимого лидера очковой индустрии, только стесняются назвать его.
Самое главное - они полезли проверять свое производство, вместо того чтобы проверять непосредственно те конкретные железки, про которые всплыла информация - а для этого надо выходить на источники и работать с ними. А уже потом - если найдешь закладку - отслеживать в обратную сторону, зная номера партий и конкретные компоненты, где и кто мог тебе это подкинуть.
но супермикра не хотела ничего найти, она хотела курс акций немножко поднять, чтобы потом можно было их сбросить подороже.
не хотела потому что была суперуверена что это все лож, звиздеж и провокация, или потому что хорошо знала где и что установлено - это уж как звезды легли.
Блумбергу нельзя не поверить - вы посмотрите, какие классные иллюстрации в статье. В стиле эппл. Так что у меня сомнений в правдивости нет, картинки говорят сами за себя. С таким крутым дизайном врать не могут.
Ага, еще в статье написано, что американские службы легко перехватывали переговоры и отслеживали мобильники нужных людей в Китае... Как бы уже было понятно сразу, что статье этой цена грош.
A вариант gag orderа от NSA рассматривали?
в фсб наверно проверяли:)
Comments on this thread show, how mass media scandals work. Nobody needs the approvals, official papers. The newspaper can say any crap from "anonymous source", and you'll believe it. Because you WANT to believe it.
Nice way to drop US sales of supermicro. Buy their shares while the scandal is there..
> Nobody needs the approvals, official papers.nobody _gets_ official papers.
Even if such papers exists at first time.> Because you WANT to believe it.
no. because we know some facts, and new rumors does not falls off the grid.
1. the China definitely make spyware, and they have the will, the authorities power and skills for it
2. the supermicro mostly controlled by chinese people
3. they production facilities are in mainland china
4. the equipment in question is highly specialized and the buyer can easily be traced> The newspaper can say any crap from "anonymous source"
and "letters from CEO" will appeal. Also with anonymous source and common words. The letter which should be ten times checked for being clear and present situation for they benefits.
> Nice way to drop US sales of supermicro.
seems what they CEO somehow gets some profit out of it...
> 3. they production facilitiesawww
Да там кучка еще более эпичных ошибок
Так что awww нужно применить и к себе
> Да там кучка еще более эпичных ошибокДа я-то в курсе.
typo
> 1. the China definitely make spyware, and they have the will, the authorities power and skills for it"China" *not definitely* makes spyware.
do you really need some simple examples? I may help you with obtaining mostly outdated (because I prefer not to spend money on modern popular crap) but still working examples. From stonge age car gps to android phones...
Devices are hackable if you mean that...
no, not that - they are not hacked, all spyware was preinstalled either at the factory or by a packager/distributor.
ok, fine, you know better
well, I agree that "letters from CEO" are also not so roburst...
> Nobody needs the approvals, official papers. The newspaper can say any crap from
> "anonymous source",
> Buy their shares while the scandal is there..What's the point of this wypendresh?
ну я знай, может у товарища русских буков на клавиатуре нет, а может и шрифт сбился.
> ну я знай, может у товарища русских буков на клавиатуре нет, а
> может и шрифт сбился.Кстати, о шрифтах. Подбросили тут на лопате патриотам вкусняшек:
Aleksey Danilovдень назад 06:56
Как это прекрасно, американские компании помогают российским чиновникам любить Родину.бгг
ну ничего, ничего, счас Миша им импортозаместит каким-нибудь вырвиглазием.
> Кстати, о шрифтах. Подбросили тут на лопате патриотам вкусняшек:Это старые бодалки вокруг Астры -- там и впрямь некрасивая со стороны "партнёров" история, когда они сперва пытались съехать с темы, потом указать заградительную цену, и только потом признаться, что вообще нет.
Тем, кто ещё верит в "честность жентмунов", на заметку.
> Nobody needs approvals, official papers.official papers is lie too
but it true
> Comments on this thread show, how mass media scandals work.
Аудиторов подкупили, очевидно же.*Играет мелодия авторства Марка Сноу*
Нельзя провести независимый аудит по заказу подозреваемой стороны.
Независимый аудит вообще нельзя провести такто)
любой будет зависим от своих знаний и опыта, притом однобокого опыта.
Заказали 10 независимых аудитов. Один аудитор закладок не наше, его результаты и опубликовали?
И а антивирусы могут такие вещи в "железе" выявлять? (И зависит ли работоспособность таких шпионских закладок от того, какую ОС на таком "железе" запустишь?)