Supermicro

Pojawił się bardzo ciekawy artykuł na stronie niebezpiecznika: https://niebezpiecznik.pl/post/chiny-backdoor-apple-amazon-sprzet-supermicro/ jest on powiązany z tekstem bloomberga: https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies

Jako, że nie jestem ekspertem do spraw bezpieczeństwa, szczególnie sprzętowego, to ciężko mi ocenić wiarygodność tych tekstów. Zwłaszcza, że największe firmy świata wydają już oświadczenia, że ich ten problem nie dotyczy, oni mają wszystko pod kontrolą, sprawdzili sobie. Wypowiadają się szefowie bezpieczeństwa Apple, Amazona i Facebooka. Oświadczenia są bardzo precyzyjne, nie wymijające jak to ma zwykle miejsce. Możliwe, że nie jest to temat istotny dla szerokiej masy, jednak warto się pochylić chwilę nad tym problemem i spojrzeć na niego z innej perspektywy.

W zasadzie cały sprzęt elektroniczny jest produkowany w Azji. Mówimy o tym wprost, tam jest taniej. Z jakiegoś powodu Azja zgadza się na dewastowanie lokalnego środowiska, kosztem miejsc pracy i jednak ogromnych zysków. Dobra, osoby pracujące bezpośrednio na taśmach produkcyjnych nie są dobrze wynagradzane. Można wręcz powiedzieć, że jest to w jakiejś formie niewolnictwo. Wszak jeśli koszt produkcji podzespołów jest niewiele większy niż materiały to należy się zastanowić ile pozostaje dla pracownika końcowego, biorąc jednocześnie pod uwagę, że właściciel tej fabryki też musi zarobić na nowy samochód i kilka domów. Słychać o tym co jakiś czas w mediach, potem korporacje to przyciszają, mówiąc, że wprowadzą kontrole i podniosą poziom bezpieczeństwa i płac. Ta. Jeśli kupienie t-shirtu w sieciówce to koszt nawet 20-30 PLNów, to pomyślcie za ile on musi być produkowany, żeby w tych kilkudziesięciu złotych była marża dla całego łańcucha dostaw i jeszcze sklepu. Nigdy nie będzie się opłacało traktować ludzi zasuwających w wielkich fabrykach lepiej. Przypomina mi się tutaj brutalna maksyma „Live is cheap”.

Dobra. Nie chcę się długo rozwodzić na temat tego jak bardzo system korporacyjny jest zły dla większości ludzkości, a korzystny tylko dla pozornej klasy średniej. Pozornej dlatego, że jeśli Chiny stwierdzą, że mają już dość to gdzie myślicie, że zostaną zbudowane fabryki? Z otwartymi ramionami zbudujemy sobie takie zakłady u nas w kraju i będziemy produkować zabawki dla zachodnio-europejskich i amerykańskich dzieci. Dlaczego by nie? Ściągniemy sobie pracowników z krajów mniej rozwiniętych, będziemy ciągnąć zyski z podatków i jednocześnie niszczyć nasze środowisko naturalne. Ciężko to sobie wyobrazić? Mi przychodzi o jednak bardzo łatwo. Popatrzcie chociażby na magazyny Amazona. Są u nas, płacą słabo, ludzie zasuwają jak mrówki. To niech się teraz ktoś przyzna kiedy ostatnio kupił cokolwiek ze strony Amazona? Nie liczy się ten jeden Kindle kupiony 5 lat temu.

Wrócę jednak do sprzętowego backdooru, który znalazł się w płytach Supermicro.

Jak już mówiłem ekspertem nie jestem. Widzę to tak, że malutki chip daje możliwość nasłuchiwania danych przechodzących przez serwer. W praktyce można założyć, że ktoś byłby w stanie pobierać większość informacji chociażby przechodzące przez takich gigantów jak Amazon. Co prawda nas Amazon nie boli jakoś szczególnie, bo i w kraju nad Wisłą jest słabo rozpowszechniony. Jest za to Facebook. Też ostatecznie mogą być słuchani przez służby Azjatyckich krajów.

Nie chcę wyjść teraz na paranoika, który boi się służb jak lokator Amerykańskiej przyczepy kempingowej, który na co dzień mieszka w klatce faraday`a, a poza nią nosi zgrabną czapeczkę z folii aluminiowej. Wszak nie można żyć w paranoi jeśli nawet jest ona realnym odzwierciedleniem możliwości. Trzeba w tym wszystkim zachować czystość umysłu i jakoś funkcjonować po mimo wszystko w tym świecie.

Fakty jednak są takie, że większość urządzeń, które posiadamy w domu przesyła informacje do sieci. Cześć z nich jest podłączona bezpośrednio, inne pośrednio jak na przykład inteligentne opaski sprawdzające czy jeśli dzisiaj biegaliśmy to jest spoko czy nie koniecznie. Już teraz można w całkiem nie głupich cenach zakupić pralkę posiadającą system operacyjny, wymagający podłączenia do sieci, żeby ściągać aktualizację, lodówka sama zamawia jedzenie jeśli ją odpowiednio skonfigurujemy. Tak i to wszystko jest robione w Chinach lub obok.

Tak ogromne naszpikowanie elektroniką każdego urządzenia będącego w naszych domach skutkuje tym, że każde z nich może być w jakiś sposób kontrolowany przez osoby trzecie. Świetnym przykładem są nasze inteligentne telefony. Posiadają one w zasadzie wszystko co jest potrzebne do pełnej kontroli człowieka. Mają mikrofony, kamery, połączenie z internetem, dostęp do naszego e-maila, konta bankowego, dziennika lekcyjnego dzieci, historii lokalizacji. To wszystko w małych prostopadłościennym pudełku.

Czy warto przejmować się obcymi mocarstwami? Moim zdaniem nie. Po pierwsze nie mamy na to wpływu jako my, statystyczni Kowalscy. Warto za to zastanowić się nad faktycznie osobami trzecimi.  Tu bawi mnie niezmiennie afera Cambridge Analytica. Wbrew powszechnej opinii to nie Facebook jest odpowiedzialny za wyciek danych. Prawda jest taka, że cała odpowiedzialność za możliwość analizy danych i ich użycie spoczywa na użytkowniku.

Bądźmy realistami. Błędy (Meltdown i Spectre) czy też świadome ingerowanie w urządzenia po to, żeby można było kontrolować przychodzące przez nie dane jest bardzo wysublimowaną i skomplikowaną w użyciu metodą. Dlaczego nie warto się bać? Bo nie mamy zupełnie wpływu na wykorzystanie tych mechanizmów. Jeśli ktoś kiedyś uzna, że zamknie nam konta bankowe lub odetnie nas zupełnie od Internetu to się to po prostu stanie. Nic na to nie poradzimy. Nie jest to też powód do paranoi. Zupełnie nie jesteśmy w stanie zabezpieczyć się przed tym. Po postu już zapomnieliśmy jak wygląda życie bez Internetu. To co można zrobić?

Cały problem polega na tym, że publikujemy bardzo wiele informacji sami. Część oczywiście nieświadomie. Chociażby metadane zdjęć, które zawierają dane o lokalizacji. Z resztą zdjęcia są niesamowicie ciekawym tematem. Publikujemy wszystko bo to jest trendy. Mówimy o tym co jemy, gdzie to robimy, kiedy idziemy na siłownię, jak to fajnie było w tym konkretnym kinie. Oznajmiamy w zasadzie wprost, gdzie mieszkamy i gdzie pracujemy. Czy wykorzystanie tych informacji jest trudne lub niezgodne z prawem? Pytanie co z nimi zrobimy? Cienki grunt. Jeśli wykorzystamy te informacje do śledzenia ludzi to zrobi się bardzo niebezpiecznie. Tylko, że jeśli podaję publicznie swój adres to chyba dlatego, że chcę, żeby był znany publicznie?

Wyobraźmy sobie prostą sytuację. Zastrzegamy, że nie podamy komuś informacji o tym, gdzie mieszkamy, bo się boimy. Spoko. Za to bardzo dokładnie opisujemy, że do pracy jedziemy konkretnym autobusem (zdjęcie w relacji na FB),  mówimy nie bezpośrednio, ale sugestywnie, gdzie pracujemy (miejsce pracy podane również na FB), danego dnia wyskakujemy ze znajomymi z pracy na drinka (relacja na Instagramie), jako, że byliśmy w pracy to na sobie mamy trochę ładnej biżuterii oraz drogi zegarek (zdjęcie z sprzed roku z warsztatów dostępne na Linkedin), raczej nie wrócimy do domu taksówką bo koniec miesiąc i stanowisko niezbyt pozwala na takie zabawy (miesiąc temu wystawione kilka drobnych przedmiotów do sprzedaży na grupie FB oraz post z sprzed dwóch lat informujący kiedy jest wypłata „Matka Boska pieniężna”, od tego czasu nie zmienione miejsce pracy- Linkedin), dodatkowo nie jesteśmy osobą, która mogłaby sprawiać problemy w starciu bezpośrednim (częste zdjęcia z papieroskiem oraz brak jakiejkolwiek informacji o potencjalnym uprawianiu sportu), nawet gdyby jednak udało się wrócić samochodem to jest jeszcze pies do wyprowadzenia (regularne relacje na Instagramie i FB), oczywiście nikt nie zrobi tego za mnie (status związku „wolny” i ogłoszenia o poszukiwaniu mieszkanie, nie pokoju na FB oraz aktywność na Tinderze).

Czy powyższe jest czymś niewiarygodnym? Dojście do takich informacji nie jest kosztowne z perspektywy czasu. Wiele osób pozwala na dostęp do tych danych po prostu. Wystarczy brak ustawionych opcji prywatności na odpowiednim poziomie i nie trzeba być geniuszem zbrodni lub siedzącym w piwnicy hakerem. Czasem nawet nie potrzeba w ogóle się wysilać. Wystarczy chwilę zaczekać.

To jest główny powód tego, że nadal śmieję się z afery Cambridge Analytica.

Czy brzmi to przerażająco? Oczywiście, że tak! Przecież rozdana została nasza prywatność na lewo i prawo. Tylko w tym przypadku należy rozważyć jedną rzecz. O ile błędy i „dodatki” w hardware są faktycznie niebezpieczne, to większym problemem jesteśmy my sami. Nie jest konieczne, żeby Chiński czy inny szpieg grzebał nam w telefonie, wystarczą nasze własne działania.

Rzecz jasna wygrzebanie informacji na temat osoby, która niefrasobliwie rzuca na lewo i prawo swoimi danymi jest groźna tylko dla tego człowieka, a działania tak masowe jak globalne nasłuchiwanie ruchu i ingerencja w niego są groźne dla dużej populacji ludzkiej. To jednak prawdopodobieństwo tego drugiego jest niezwykle małe, zasięg ogromny, a możliwość reakcji pomijalna.

W tym miejscu chciałbym postawić kropkę. Mamy masowy problem o nieznanej skali, na który zupełnie nie mamy wpływu. Jakiekolwiek przejmowanie się nim (za wyjątkiem osób od bezpieczeństwa) jest tylko i wyłącznie tworzeniem sobie zbędnych problemów. Mamy natomiast ogromny wpływ na zabezpieczenie swojej malej prywatności. Na to mamy wpływ i jest to o wiele ważniejsze niż kłopoty wielkich korporacji.

Pozwolę sobie polecić artykuły Niebezpiecznika odnośnie bezpieczeństwa. Linki znajdziecie w cytowanym tekście w ostatnich jego akapitach.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *