Bloomberg - "Server hack" artikelen - Geachte redactie

woensdag 10 oktober 2018 20:30

Acties:

0 Henk 'm!

Topicstarter

Beste Redactie,

Het gaat om de volgende artikelen;
- Amerikaanse senatoren vragen opheldering aan Supermicro over hack
- Bloomberg: China brak in bij bedrijven VS met chip op servermoederborden
- 'Amerikaans telecombedrijf vond door Chinezen gemanipuleerde ethernetpoort'

Als technologische website vind ik toch echt dat Tweakers.net hierin beter onderzoek en verslag zou moeten doen naar dit verhaal. Dit is potentiële een van de grotere spionage schandalen ooit.

Gebeurt hardware spionage, ja zeker echter is dit verhaal zeer ongeloofwaardig. Alles wat tot zover bekend is, lijkt op onzin en wordt totaal niet onderbouwd, iedereen die ook maar iets van computers weet is zeer sceptisch en kritisch behalve tweakers.net. Ik vind dit zeer kwalijk.

De expert welke bloomberg gesproken heeft hebben tot zover allemaal eigen belang.

Doe eens daadwerkelijk onderzoek, praat eens met een beveiligingsexpert bijvoorbeeld.

Vervolgens wordt er verwezen naar de De Noorse beveiligingsautoriteit Nasjonal Sikkerhetsmyndighet, maar ook weer geen tekst en uitleg of referentie naar de bron.

Ik hoop van harte dat tweakers dit verhaal eindelijk eens fatsoenlijk gaat op pakken.

[ Voor 8% gewijzigd door Jonathan-458 op 10-10-2018 20:32 ]

donderdag 11 oktober 2018 22:47

Acties:

+2 Henk 'm!

ppl

Wat kwalijk is, is het feit dat jij zonder enig research het verhaal al meteen als "zeer ongeloofwaardig" afdoet. En dat terwijl de MIVD nota bene nog onlangs een scenario heeft getoond die het verhaal juist zeer geloofwaardig maken. Wat verder terug in de tijd vinden we een ander security issue waarvan mensen ook meteen riepen dat het een hoax was maar die later van alle kanten t/m de fabrikant aan toe werd erkend. Als je kritisch bent weet je dat je met dit soort dingen moet oppassen met het verwijzen naar het land der fabelen.

Helaas wordt er alleen gereageerd door mensen die denken/menen iets van computers te weten terwijl je hierbij ook de nodige logistieke kennis dient te hebben aangezien men doelt op een issue in de supply chain. Juist daarom is het ook handig om een achtergrondartikel te hebben die dit soort dingen uitdiept, het helpt de grootste onzin uit de reacties te halen. Idee a la de Spectre/Meltdown artikelen die op tweakers.net zijn geschreven.

vrijdag 12 oktober 2018 10:20

Acties:

0 Henk 'm!

-The_Mask-

Beter lezen, hij doet het niet af als onzin, of iets wat niet is gebeurt. Alleen wat er staat en dat wat Bloomberg beweert slaat gewoon nergens op. Iemand met gewoon een beetje basiskennis van PC's prikt bijvoorbeeld direct door het artikel heen. De logica ontbreekt gewoon volledig en niks wordt (goed) uitgelegd.

Bitfenix Whisper 450W review
[PSU] Voeding advies en info
AMD Nieuwsdiscussie
AMD Radeon Info en Nieuwsdiscussietopic

vrijdag 12 oktober 2018 11:00

Acties:

0 Henk 'm!

ppl

@-The_Mask- met zo'n antwoord lijkt het mij verstandig dat je zelf eens begint met lezen. Waar ik over val is dat hij (en nu ook jij) het inhoudelijke verhaal als onzin afdoen. Bloomberg bericht over iets en geeft daar geen details bij. Wat hij en jij nu doen is op 0,0 informatie bij voorbaat brullen dat iets complete onzin is. De praktijk leert dat dit bij security issues het allerdomste is wat je kunt doen. Het heet: je kop in het zand steken. Die mentaliteit is de hoofdreden waarom mensen gehackt worden en data op straat komt te liggen. Iemand met een beetje verstand van security zou dit behoren te weten.

vrijdag 12 oktober 2018 11:14

Acties:

0 Henk 'm!

Anoniem: 316512

ppl schreef op vrijdag 12 oktober 2018 @ 11:00:
@-The_Mask- met zo'n antwoord lijkt het mij verstandig dat je zelf eens begint met lezen. Waar ik over val is dat hij (en nu ook jij) het inhoudelijke verhaal als onzin afdoen. Bloomberg bericht over iets en geeft daar geen details bij. Wat hij en jij nu doen is op 0,0 informatie bij voorbaat brullen dat iets complete onzin is. De praktijk leert dat dit bij security issues het allerdomste is wat je kunt doen. Het heet: je kop in het zand steken. Die mentaliteit is de hoofdreden waarom mensen gehackt worden en data op straat komt te liggen. Iemand met een beetje verstand van security zou dit behoren te weten.

Nou is het wel interessant dat bijv. Apple en Amazon allebei ontkennen dat hetgeen wat Bloomberg zegt waar is.

Volgens mij is het ook vooral een probleem dat er geen duidelijke bronnen zijn. Die zou ik ook wel willen zien eerlijk gezegd.

vrijdag 12 oktober 2018 12:07

Acties:

+3 Henk 'm!

-The_Mask-

Ze geven wel degelijk details, zie bijvoorbeeld https://www.bloomberg.com...e-america-s-top-companies maar iedereen met een beetje hardware kennis komt tot dezelfde conclusie, heb je dat niet dat houdt het idd op. Kun je het natuurlijk afdoen als brullen of complete onzin, maar je zou je ook kunnen inlezen. Heb je geen zin om je in te lezen, kun je ook nog andere willekeurige mensen vragen met een beetje kennis van het onderwerp.

[ Voor 14% gewijzigd door -The_Mask- op 12-10-2018 12:09 ]

Bitfenix Whisper 450W review
[PSU] Voeding advies en info
AMD Nieuwsdiscussie
AMD Radeon Info en Nieuwsdiscussietopic

vrijdag 12 oktober 2018 14:37

Acties:

0 Henk 'm!

ppl

Niet iedereen gelooft een ander op zijn blauwe ogen zoals jij dat nu doet. Er zijn er zat die goed in de materie zitten en weten dat het geschetste scenario geen onzin is maar dat de kans dat dit in werkelijkheid uitgevoerd wordt vrij klein is. Waar veel mensen namelijk geen rekening mee houden is het feit dat productie maar 1 klein deel van de keten is. Het geschetste scenario komt eerder na de productie om de hoek kijken. Buiten dat weet iedereen met een beetje hardware kennis van servers niet alleen hoe kwetsbaar BMC en Intel ME zijn maar ook hoe bruikbaar een hack op dat niveau is (en zo niet dan heeft ServeTheHome nog wel wat mooie artikelen voor je). Maar ja, als je de kennis niet hebt en vooral geen huiswerk doet...

Enfin, dat is dus het idee achter dit hele verzoek: dit soort zaken allemaal uitzoeken en beschrijven. Dat is interessant voor zowel de mensen die wel de kennis hebben als die het niet hebben. Zoiets is ook gedaan voor spectre/meltdown.

@Anoniem: 316512 het is een reuze interessant verhaal waar inderdaad weinig tot geen details bekend zijn (en waarom het dan ook belangrijk is om niet zomaar iets klakkeloos als onwaar te bestempelen). Dat laatste is niet nieuw, dat is een juridisch gevolg als ook een stukje responsible disclosure en het bewaken van het vertrouwen in de journalistiek (als je geen anonimiteit van je bronnen aan kunt bieden zullen ze ook niet naar je toe stappen als ze uit de school willen klappen dus komt het verhaal nooit naar buiten). Dat is het probleem echter niet. Wat steekt is het klakkeloze copy-paste gedrag van veel sites. Er lijkt geen enkele kritische houding te zijn noch de wil om die details naar boven te krijgen. Alsof ze bang zijn dat naar bovenkomt dat het Bloomberg artikel 1 grote hoax is.

vrijdag 12 oktober 2018 14:40

Acties:

+1 Henk 'm!

CurtPoindexter

-

[ Voor 99% gewijzigd door CurtPoindexter op 19-10-2019 15:58 . Reden: Leeg ivm privacy ]

vrijdag 12 oktober 2018 14:59

Acties:

+1 Henk 'm!

-The_Mask-

ppl schreef op vrijdag 12 oktober 2018 @ 14:37:
Niet iedereen gelooft een ander op zijn blauwe ogen zoals jij dat nu doet.

Dat is juist wat jij doet. De andere mensen kijken dus kritisch naar het artikel en zien allemaal fouten en jij negeert dat gewoon of ziet ze niet en gaat dan zeggen dat alle andere personen de kop in het zand drukken en maar wat roepen. Dat is nogal de omgekeerde wereld. Jij ziet de problemen in het artikel niet en/of geloofd de schrijvers op hun blauwe ogen, prima, maar ga dan niet andere mensen beschuldigen van dingen die jezelf aan het doen bent.

[ Voor 7% gewijzigd door -The_Mask- op 12-10-2018 15:04 ]

Bitfenix Whisper 450W review
[PSU] Voeding advies en info
AMD Nieuwsdiscussie
AMD Radeon Info en Nieuwsdiscussietopic

donderdag 25 oktober 2018 19:53

Acties:

0 Henk 'm!

Jonathan-458

Topicstarter

@ppl Heb jij je research wel gedaan???

Ik geef ook zeker aan dat dit een reëel risico is. Echter met de huidige gedeelde info is het zeer twijfel achting en ongeloofwaardig verhaal. Er is geen onderbouwing, details, bronnen komen niet naarvoren, geen documentatie, niks op dark web over de geschetste situaties. etc. Een van deze zaken was altijd aanwezig bij het openbaren van een grote hack. Vrijwel iedere expert is kritisch over de berichtgeving van bloomberg hierover.

Wij weten voor een fact dat hardware hacking werd & wordt toegepast, dit hebben we allemaal vanuit Wikileaks docu's kunnen lezen. Echter de manier waarop bloomberg het een en ander omschreven heeft en dat het alleen supermicro zou betreffen zijn mijn voornaamste problemen met dit verhaal. Dat dit eerder in een supply chain kan gebeuren is aannemelijker maar dan nog steeds, ijzersterk bewijs ontbreekt.

Nu is SuperMicro ongeveer 40% minder waard door het bericht van bloomberg terwijl er nogsteeds geen iron-clad bewijs is geleverd.

Ontkenning door de bedrijven heeft zeer hoge boetes tot gevolg, daarnaast dat Apple zo in detail gereageerd heeft op een bericht en om het terug trekken van het verhaal vraagt zegt bij mij toch wel iets meer dan een partij die iets roept en vervolgens geen bewijs levert.

Daarnaast vind ik het persoonlijk zeer raar dat een veiligheidsdienst vandaag de dag voor fysieke hacks zouden kiezen en bewijs achter zouden laten, een software hack is veel efficiënter en is daarnaast in sommige gevallen bijna geheel self-destructive.

Ik geef echter niet aan dat het 100% niet mogelijk is en daarom geef ik dus ook aan dat ik graag meer diepgang en onderzoek zou willen zien van tweakers.net over dit onderwerp, The Register & Ars Technica gaan hier dieper op in en zijn stukken kritischer.

donderdag 25 oktober 2018 22:01

Acties:

+1 Henk 'm!

Olaf

We hebben ook uitvoerig bericht over de afwijzing van het verhaal:

nieuws: Ook VS twijfelt niet aan ontkenningen Apple en Amazon over Supermicro...
nieuws: Tim Cook: Bloomberg zou artikel over Supermicro-hack moeten intrekken
nieuws: Ook Amazon en Supermicro verzoeken tot intrekken artikel Chinese spio...
nieuws: NSA-topman ontkent bestaan Supermicro-hack
nieuws: VK: geen reden voor twijfel aan ontkenning Apple en Amazon van Superm...

We twijfelden of we het originele bericht moesten brengen, omdat de claims enorm waren, het bewijs daarvoor niet sterk was en de ontkenning hevig was. Uiteindelijk wel gedaan omdat Bloomberg een goede reputatie heeft en het bijzonder stellig bracht. De journalisten zeggen een jaar aan het stuk gewerkt te hebben en zeventien bronnen gevonden te hebben die het bevestigen. Het medium zet in feite zijn hele reputatie op het spel dus je mag verwachten dat ze stevig in hun schoenen staan.

Wat onze mening is gaan we in nieuws niet verwerken. In een achtergrond zou dat kunnen, maar er is nu nog teveel onduidelijkheid om er iets zinnigs over te zeggen. Wat wel duidelijk is, is dat de bal bij Bloomberg ligt en dat er meer bewijs moet komen.

Dat het allemaal maar overduidelijke onzin is, waag ik te betwijfelen. Dit soort verhalen zijn zelden 100 procent waar of onwaar. Je moet altijd goed kijken naar wat er precies ontkend wordt en welke belangen partijen hebben. We houden het in ieder geval in de gaten wie weet komt er een achtergrond als er genoeg substantieels te melden is.

donderdag 25 oktober 2018 22:30

Acties:

0 Henk 'm!

ppl

Jonathan-458 schreef op donderdag 25 oktober 2018 @ 19:53:
@ppl Heb jij je research wel gedaan???

Yep.

Ik geef ook zeker aan dat dit een reëel risico is. Echter met de huidige gedeelde info is het zeer twijfel achting en ongeloofwaardig verhaal. Er is geen onderbouwing, details, bronnen komen niet naarvoren, geen documentatie, niks op dark web over de geschetste situaties. etc. Een van deze zaken was altijd aanwezig bij het openbaren van een grote hack. Vrijwel iedere expert is kritisch over de berichtgeving van bloomberg hierover.

Dat zeg ik. Het is ook goed dat er kritisch naar gekeken wordt maar dat houdt niet in dat dingen zonder ook maar enige onderbouwing, details, etc. naar het land der fabelen moeten worden verwezen. Die onderbouwing e.d. geldt namelijk niet alleen voor Bloomberg

Echter de manier waarop bloomberg het een en ander omschreven heeft en dat het alleen supermicro zou betreffen zijn mijn voornaamste problemen met dit verhaal. Dat dit eerder in een supply chain kan gebeuren is aannemelijker maar dan nog steeds, ijzersterk bewijs ontbreekt.

Dat denk ik ook en ik vraag me af of de Bloomberg journalisten het verhaal wel goed hebben begrepen.

Nu is SuperMicro ongeveer 40% minder waard door het bericht van bloomberg terwijl er nogsteeds geen iron-clad bewijs is geleverd.

En Buckler ging hartstikke failliet nadat ene Youp van 't Hek daar tijdens een show een keertje een opmerking over dat merk maakte. Andere gevolgen waren er echter niet.

Daarnaast vind ik het persoonlijk zeer raar dat een veiligheidsdienst vandaag de dag voor fysieke hacks zouden kiezen en bewijs achter zouden laten, een software hack is veel efficiënter en is daarnaast in sommige gevallen bijna geheel self-destructive.

Precies. Dit soort hacks gebruik je alleen als je een heel specifiek doelwit hebt en dat voor langere duur zou willen volgen. Dit kost allemaal veel te veel resources. Dan kun je beter doen wat de Russen deden.

Ik geef echter niet aan dat het 100% niet mogelijk is en daarom geef ik dus ook aan dat ik graag meer diepgang en onderzoek zou willen zien van tweakers.net over dit onderwerp, The Register & Ars Technica gaan hier dieper op in en zijn stukken kritischer.

En dat was nou exact ook mijn punt. Er zit een kern van waarheid in het verhaal maar het is met zoveel mist omgeven dat het wel fijn is dat een techsite daar op induikt. Daar ben je immers een techsite voor, nietwaar? Inmiddels zijn er al diverse andere sites die dat wel hebben gedaan.