最近全球資安與伺服器領域最熱烈討論的議題,就是伺服器主機板被植入不明晶片而可能開啟後門的事件。這項消息源自於彭博社(Bloomberg)10月4日的報導,該篇文章的標題為:「The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies」,而我們的外電編譯人員後來也整理當中的重要內容,以及相關業者的說法,而發布了相關的新聞。

得知這項新聞之後,我也設法聯繫許多伺服器廠商,希望進一步得到確認,但很可惜的是,能夠獲得的資訊相當有限。目前已知的部分是,該報導提及的伺服器廠商Supermicro,在10月8日發布新聞稿駁斥,強調他們出售給客戶的主機板,並未發現任何惡意晶片,也沒有任何客戶告知他們發現這類晶片,而對於該篇文章提及的蘋果、亞馬遜,Supermicro也引述這些公司的聲明來表示並無此事。

然而,該篇文章所特別提到的供應鏈攻擊(supply chain attack),也就是在伺服器主機板生產、製造、組裝的過程中,有心人士若要將具有特定意圖的晶片置入,可能性的確存在,再加上中國的承包廠商掌握了全球75%的手機與90%的個人電腦製造,以及對立情勢日益緊張的中美兩國關係,種種因素相互影響,均讓人對於此類事件無法放心。

對於此事的爭議,大部分伺服器廠商不願多作回應,僅表明基本立場。

我們向臺灣Dell EMC徵詢意見,他們表示:「目前世代的戴爾產品組合並沒有使用超微主機板。戴爾持續監控與更新我們的供應鏈安全保護機制,以因應持續變化的風險形勢與新興威脅。」

對於這類事件,另一家伺服器廠商HPE則表示:「HPE 一直非常重視產品的安全性,在我們的合約中也要求所有的供應商必須遵守最高的技術和製造標準。HPE 一直採用最高標準的盡職調查,以確保我們產品的安全性和領先業界設計之誠實完整性。我們並未發現任何產品有受到影響的跡象。」

提供伺服器處理器平臺的英特爾表示,「安全是關乎整個產業的議題,我們必須一起合作來找出解決方案,從英特爾的觀點而言,我們提出了Intel Transparent Supply Chain的概念,促使整個供應鏈能夠做到元件層級的追蹤」

同樣是伺服器廠商的技嘉科技,提供給我們的回應就比較具體而完整。他們提到,本身是100%在臺灣設立的公司,研發、產品設計與工程都在臺灣總部進行,而且,電子工程人員與研發、產品設計與工程的人員,也都是本國公民,技嘉也在這份聲明裡面,表達了印刷電路板(PCB)供應來源組成,並且會針對描述PCB圖像的原始檔案與供應商生產的PCB裸板,進行檢核,確認是否有非法修改。此外,對於主機板的製造與組裝位置提出說明,表示皆由技嘉科技來管理。在這份資料之中,最後還附錄了一份生產流程控制的流程圖,讓我們更了解原料控制、程序控制與人力控制的步驟。

然而,雖然我們看到上述伺服器廠商的表達立場,但關於這件事的爭議並未就此落幕,因為,彭博社又提出新事證。在10月9日,他們發布了一篇文章,標題是:「New Evidence of Hacked Supermicro Hardware Found in U.S. Telecom」,當中引述美國安全公司Sepio Systems共同執行長提出的報告,提到美國某大電信商在伺服器的網路連接埠(Ethernet connector)上,也發現間諜晶片,雖然AT&T、Verizon、Sprint等電信業者也紛紛表示,他們不是受害者,但無風不起浪,真相有待釐清。

無論如何,顯然我們對於資訊安全的理解與信任,須以不同角度來審視,不能只看系統,也要注意元件,此外,關切軟體、應用程式的開發與維運過程,也要確認硬體設備的上下游生產製造過程,是否嚴謹而透明。

作者簡介


Advertisement

更多 iThome相關內容