Mythen und Fakten – Bloomberg Bericht: Chinesische Spionagechips auf Servern

gepostet am 09.10.2018 von

Am vergangenen Donnerstag veröffentlichte Bloomberg einen Bericht über chinesische Spionagechips auf Server Mainboards des Herstellers Supermicro. Dieser Bericht ist leider sehr untechnisch und die Spekulationen über den Umfang und den Hack an sich sind wild. Ich will versuchen die Mythen und Fakten zu ordnen.

Der Inhalt des Bloomberg Artikels

Der Mainboard-Hersteller Supermicro (eine in den USA ansässige Firma) lässt seine Hardware in China produzieren. Viele große und kleine Unternehmen vertrauen auf Supermicro Serverboards. Darunter Amazon, Apple, die US Regierung und viele weitere.

Bloomberg führt aus, dass bei der Produktion der Boards in China eine Modifikation des Serverboards durchgeführt wurde (durch chinesische Behörden). Teil der Modifikation ist der Einbau eines winzigen Chips. Zweck des Chips soll eine „Backdoor“ sein.

Dieses Vorgehen soll mindestens drei Jahre durchgeführt worden sein.

Die Folgen

Supermicro und alle beteiligten Firmen haben umgehend dementiert. Die Dementis der übrigen Beteiligten waren dabei außergewöhnlich umfangreich.

Allerdings hat Supermicro direkt 50% seines Börsenwertes verloren.

Wie funktioniert der Chip?

Die glaubwürdigsten Spekulationen über die Funktion des „Spionage Chips“ beschreiben diesen als serielle Schnittstelle zum BMC (Baseboard Management Controller). Es ist denkbar, dass ein so kleiner Chip genügend Intelligenz und Speicherkapazität hat, um beim Boot-Vorgang des BMC eine Art Malware zu laden, welche dann die Backdoor öffnet. Etwas genauer – aber immernoch sehr spekulativ – ist das bei The Register beschrieben.

Das Problem am BMC ist, dass ein Zugang zu selbigem einem Angreifer die volle Kontrolle über die Hardware gibt. Das ist nämlich der Zweck eines BMC. Wer auf diesen zugreifen kann, hat zum Beispiel die Möglichkeit:

  • den Server ein- und auszuschalten oder zu booten
  • BIOS Einstellungen zu konfigurieren
  • ein Betriebssystem zu installieren
  • Speichersysteme anzubinden
  • die Konsole (Bildschirm und Tastatur) zu übernehmen

Wer darauf zugreifen kann, kann also quasi alles damit machen.

Kann da was dran sein?

Zweifelsohne: JA!

Hardware-Modifizierungen im Rahmen der Produktion gibt es schon sehr lange. Das trifft zum Beispiel auf Bezahlterminals zu. Diese Terminals werden während der Produktion versiegelt (manipulationssicher). Werden solche Geräte nach der Auslieferung geöffnet, so werden sie automatisch zerstört bzw. unbrauchbar gemacht. Das ist eine Anforderung an Terminals der Kreditkartenindustrie und im PCI-DSS Standard festgelegt.

Das haben die bösen Buben mitbekommen und dann versucht, ihre bösartigen Chips in diesen Geräten schon ab Werk einzubauen.

Durch ein einfaches Verfahren, nämlich wiegen (ja, mit einer Küchenwaage), konnten diese Manipulationen entdeckt werden. Daher wurde von den Kriminellen das Plastik des Gehäuses abgeschmirgelt, um das Gewicht anzupassen, weshalb nunmehr (wenn man diesem Tweet glauben darf) auf Verfahren wie Drehimpulsmessung zurückgegriffen wird.

Das heißt: Hardware-Veränderungen vor Auslieferung sind keine neue Erfahrung. Das könnte möglich sein.

Und die Mythen?

Nun ja, die ausführlichen Dementis und der recht unspezifische Bloomberg-Artikel lassen reichlich Raum für Spekulationen und Verschwörungstheorien.

Interessant finde ich immerhin die Theorie, dass Bloomberg Journalisten einen Bonus erhalten, wenn ihre Artikel zu Marktbewegungen führen.

Es könnte also in der Tat sein, dass nicht viel Wahrheit in der Story steckt. Vielleicht ging es „nur“ um Aktienspekulation. Immerhin war auch bei Amazon und Apple ein Knick im Kurs zu beobachten.

Schutzmaßnahmen

Eigentlich ist der Schutz ziemlich einfach! Ein BCM hat nichts am internen Netzwerk und gar nichts am Internet verloren. Solche sensiblen Management-Schnittstellen gehören genauso wie die Netzwerkkarte der USV oder des Core Routers in ein dafür vorgesehenes Netzwerk, auf das der Zugriff stark eingeschränkt wird. Man darf im Übrigen davon ausgehen, dass Amazon und Apple das wissen.

Fazit

Ich bin sehr gespannt, was sich aus dieser Story noch entwickelt. War es viel Lärm um nichts?

Solange wir jedoch Gartenbewässerungen und Solaranlagen am Internet betreiben, mache ich mir wenig Sorgen, um die BCMs bei Amazon. Immerhin sind die Datenmengen so unglaublich, dass man schlicht sehr lange suchen muss, um interessantes zu finden.

Autor/in

Götz
Weinmann

IT-Security Consultant und ISO 27001 Auditor

Top Blogbeiträge

Verlehrsschilderwald
Wissen Sie, was auf ihrer Firewall vor sich geht?
Corona-Warn-App – Welche Daten werden geteilt?
MVSS
Vulnerability Scan – Grenzen und Chancen

Dies könnte Sie auch interessieren

IT-SecurityMalwareSecurity Awareness

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *