Vo štvrtok 4. októbra 2018 vyšiel v renomovanej agentúre Bloomberg článok, v ktorom Jordan Robertson a Michael Riley odhalili „The Big Hack“ – teda nový spôsob, akým sa čínska vláda údajne snažila dostať do systémov viacerých amerických spoločností. Mali medzi nimi byť aj Amazon a Apple. Heknutie spočívalo v narušení reťazca dodávateľov.
Podľa Bloombergu bol v čínskej továrni do matičnej dosky zakomponovaný maličký čip, nie väčší ako špička naostrenej ceruzky. Takto upravenú dosku následne odoslali americkej firme Supermicro, ktorá ich namontovala do serverov určených na ďalší predaj. Na pikantnosti prípadu dodala informácia, že zopár týchto serverov si kúpil aj Amazon, ktorý mal s ich pomocou zabezpečiť jeden z vládnych projektov. K odhaleniu „infikovaných“ serverov malo dôjsť už pred troma rokmi, keď boli servery pred spustením tohto projektu odoslané na analýzu.
Kontrola v nich vraj odhalila čip vyvinutý čínskou armádou, ktorý bol napriek svojej veľkosti schopný pozmeniť jadro operačného systému (tzv. kernel) tak, aby prijímal rôzne modifikácie a umožnil čipu komunikovať s riadiacimi servermi hekerov.
Táto historka však nestála na pevných základoch. Medzi prvými, kto začal mať pochybnosti o tomto čipe, bol známy odborník na kyberbezpečnosť Thomas Rid, profesor z Johns Hopkins University. Na Twitteri rozbehol vcelku rušnú debatu, na ktorú nadviazali aj ďalší experti.
Čo bolo teda vyčítané autorom článku a prečo ho niektorí označujú za hoax?
- Nedôveryhodné zdroje a absencia dôkazov
Viacerí ľudia, jeden úradník, traja insideri alebo istí vyšetrovatelia sú bežné slovné spojenia, ktoré sprevádzajú výklad tohto príbehu. Robertson a Riley článok postavili len na 17 anonymných zdrojoch. Pre niečo, čo má potenciál vyvolať medzinárodnú bezpečnostnú debatu, narušiť bilaterálne vzťahy a medzinárodný obchod alebo výrazne podkopať kredibilitu čínskych výrobcov, je to pre mnohých príliš málo.
Problém nie je ani tak v samotných zdrojoch – novinári si svojich informátorov bežne chránia. Preto je pochopiteľné, že v článku nie sú uvedené žiadne konkrétne mená. Pochybnosti však vyvoláva fakt, že v prípade takéhoto závažného obvinenia je už len z princípu nutné dodať aj iné dôkazy než len výpovede anonymov. Tie však chýbajú a dodnes neboli zverejnené. Dokonca ani na vyžiadanie.
Akceptovať tieto vážne závery za týchto okolností preto nie je možné – založilo by to problematický precedens do budúcna.
Pokiaľ sa teda žiadny zo spomínaných anonymných pracovníkov Amazonu, Applu alebo FBI nerozhodne vystúpiť pred médiá a odhaliť svoju identitu, alebo pokiaľ sa autori článku nerozhodnú zverejniť dokumenty a iné dôkazy (fotografie, technické špecifikácie…), ktoré mali k dispozícii, zvyšok sveta nebude mať ani naďalej možnosť posúdiť ich pravdovravnosť.
- Technický opis a uskutočniteľnosť
Celý článok obsahuje len málo mien. Jedným z nich je však Joe Fitzpatrick, odborník na hardvérovú bezpečnosť, ktorého Jordan Robertson kontaktoval po minuloročnej konferencii Black Hat. V rozhovore pre Risky Business Fitzpatrick spomína, že počas nasledujúceho roka prebiehala medzi nimi debata, v ktorej Jordanovi opisoval, ako fungujú hardvérové útoky. Už vtedy mal podozrenie, že tento novinár bol na stope nejakej kauzy.
„Koncom augusta [2018] mi Jordan povedal o ďalších aktéroch zapletených do príbehu a mne to jednoducho nedávalo zmysel. A to som mu aj povedal. Nedávalo to zmysel, pretože existuje množstvo jednoduchších spôsobov, ako to spraviť, či už hardvérových, softvérových alebo firmvérových. Ale spôsob, ktorý opisuje on, nie je prispôsobiteľný, nie je logický a nie je to spôsob, akým by som to robil ja alebo ktokoľvek, koho poznám.“
Fitzpatrick Robertsonovi následne v maili odpísal, že si nevie predstaviť, aby niekto investoval toľko času a peňazí na niečo také komplikované. Vyjadril tiež pochybnosti o hardvérových znalostiach človeka, ktorý čip odhalil. Neznalý výskumník si totiž môže podobné komponenty ľahko spliesť s inými technickými riešeniami.
Vrchol pochybností o reálnosti tohto heku vyvolali Fitzpatrikove slová o technickom opise čipu v článku. Ten bol ako keby vyňatý z ich konverzácie a opisoval spôsob infekcie a fungovania čipu tak, ako ho on opísal Robertsonovi.
- Obete všetko odmietli a úrady sa ich zastali
„To, čo sme počas posledných pár mesiacov viackrát opakovali Bloomberg BusinessWeeku, vravíme aj teraz – nie je to pravda. Nikdy v minulosti a ani v súčasnosti sme sa nestretli so žiadnymi problémami týkajúcimi sa modifikovaného hardvéru alebo škodlivých čipov v matičných doskách od Supermicro, ktoré boli použité v systémoch Elementu alebo Amazonu. Nezapojili sme sa ani do žiadneho vyšetrovania s vládou,“ píše v stanovisku Amazonu Steve Schmidt, šéf odboru informačnej bezpečnosti, ktorý ho zverejnil ešte v ten deň, keď vyšiel článok Bloombergu.
„V tom článku je také množstvo nepresností o Amazone, že je to ťažké spočítať,“ dodal.
Podobný postoj zaujali aj ďalšie dotknuté spoločnosti. V ten istý deň napríklad firma Supermicro, ktorá mala upravené servery dodávať:
„Supermicro nikdy nenašiel žiadny škodlivý čip a ani nebol informovaný žiadnym zákazníkom, že bol podobný čip niekedy objavený. Vládne úrady, či už domáce alebo zahraničné, nikdy nekontaktovali Supermicro ohľadom týchto tvrdení.“
Škodlivý čip, manipuláciu s hardvérom, zámerne inštalovanie zraniteľností do serverov, komunikáciu s FBI alebo inými úradmi alebo samotné vyšetrovanie údajného incidentu odmietol aj Apple. Generálny riaditeľ spoločnosti Tim Cook v rozhovore pre BuzzFeed News povedal: „Na ich článku nie je o Appli nič pravdivé. Musia urobiť správnu vec a hneď ho stiahnuť.“
Ako sa spomína v článku na BuzzFeed News, tento krok je zo strany Applu bezprecedentný, keďže nikdy v minulosti spoločnosť nevyzvala novinárov, aby stiahli nejaký článok – hoci bol akokoľvek chybný. Rovnaký postoj ku kauze zopakoval Apple aj v liste americkému kongresu.
Podporu alebo prinajmenšom tichý súhlas vyjadrili „obetiam“ úrady. Stanoviská amerických úradov FBI a NSA, ministerstva pre vnútornú bezpečnosť alebo britskej informačnej služby GCHQ si môžete prečítať kliknutím na jednotlivé odkazy.
- Pochybná minulosť autorov
Jordan Robertson a Michael Riley už v minulosti spolupracovali na jednom článku. Bol o „novej kybervojne“, ktorú mal v roku 2008 odštartovať výbuch ropovodu Baku–Tbilisi–Ceyhan. Hekeri vtedy mali vypnúť alarmy a prerušiť komunikáciu na riadiacich systémoch a následne zvýšiť tlak v ropovode, čoho následkom bol výbuch. Aspoň tak to novinárom opísali štyria ľudia zapletení do vyšetrovania, ktorí si neželali byť menovaní.
Thomas Rid však upozornil, že väčšina ak nie všetci odborníci na priemyslové riadiace systémy sa pred časom zhodla, že táto reportáž bola len hoax – falošná správa.
Pred štyrmi rokmi s podobne pochybným článkom prišiel druhý menovaný – Michael Riley. Podľa neho mala agentúra NSA vedieť o zraniteľnosti Heartbleed už minimálne dva roky pred jej odhalením. Rozhodla sa však uchovať ju v záujme národnej bezpečnosti v tajnosti. Opäť sa odvolával len na dvoch dobre informovaných, no nemenovaných ľudí. Ešte v ten deň odmietol tvrdenia Biely dom aj NSA.
Tento prípad na Twitteri pripomenul Kevin Beaumont. Upozornil, že Bloomberg vtedy na odpoveď vlády nereagoval a odmietol ju ďalej komentovať. Dnes sa Bloomberg k veci stavia rovnako.
O zraniteľnosti Heartbleed vyšiel článok: https://www.cybersec.sk/spravy/heartbleed-vase-udaje-v-cudzich-rukach/.
Dve strany mince
Hneď po prevalení týchto pochybností sa na internete spustila debata, čo si ľudia myslia o článku a Bloombergu. Väčšina z nich sa dožadovala dôkazov, menšia časť si bola istá, že išlo o fake news, objavili sa aj obvinenia, že ide o americkú propagandu.
Samozrejme, tvrdia to aj Číňania, napríklad Čao Chaj z Čínskej akadémie spoločenských vied. Takéto nesprávne informácie by podľa nich mohli byť zámerne poskytnuté médiám americkou vládou.
Je isté, že počas prebiehajúcej obchodnej vojny medzi Washingtonom a Pekingom, ktorá sa dotýka aj obchodu s technológiami, takýto článok hrá konšpiračným teoretikom do kariet.
Už v apríli tohto roku Američania zakázali čínskemu výrobcovi telekomunikačných zariadení ZTE používať komponenty vyrobené v USA vo svojich produktoch. Používanie produktov ZTE a Huawei bolo následne v auguste celoplošne zakázané všetkým vládnym inštitúciám a ich dodávateľom. Necelý mesiac po článku od Bloombergu prišiel ďalší zákaz zo strany ministerstva obchodu USA, ktoré zakázalo obchodovanie so softvérom a technológiami amerických firiem smerom k čínskej firme Fujian Jinhua Integrated Circuit Company.
Takéto rozhodnutia americkej vlády vychádzajú z viacerých správ, ktoré označujú čínsky ekonomický rozmach ako reálnu hrozbu pre americký trh. V honbe za prvenstvom v oblasti technológií Číňania skupujú americké spoločnosti, investujú do vývoja a zbavujú sa závislosti od importu technológií (hlavne polovodičov z USA) alebo podnikajú priemyselnú špionáž.
Druhá strana mince však stavia do nevýhodnej pozície samotných Američanov.
Bloomberg schytal tvrdé rany od kritikov snáď z každej strany. Už aj kolegovia z iných médií ako Motherboard alebo Washington Post ho vyzývajú, aby vysvetlil pochybnosti. Časť expertov však už nad Bloombergom zlomila palicu.
(Viliam Kaliňák)