【謠言止於智者】 有關最近傳言「中國間諜晶片」這件事,除了新聞很可疑之外,標題更是亂下,然後翻譯成中文當然就錯得沒完沒了了。 身為晶片設計師、而且好幾年在做反駭硬體的專家我本人(咳),特別仔細去讀了 Bloomberg 的原文。感想是:這是有人想做空 Super Micro 股票所以發布這個消息的嗎?????? 原文報導是這樣的:(下詳) The Big Hack: How China Used a Tiny Chip to Infilt
跟 S 聊完的結論是這篇新聞全部都是假的。 一顆米粒大的晶片要跟外界連繫需要網路啊。。。可是一顆網路晶片大小是 0.25 平方公分,塞不進米粒裡…… 而且網路晶片只能接受單方命令,所以主機版上本來就有的網路晶片也沒辦法幫這顆米粒傳送資訊…… S 認為多出來一顆晶片不知在幹嘛的原因,可能是主機版改了幾十次又轉手設計師好多次後,後人已經不知道原來的設計在幹嘛,又不敢清掉,就留了一顆不知道在幹嘛的晶片在電路版設計上…… 就像我的同事常常寫些沒用的硬體程式,我叫他們清掉他們又懶得清,如果一個外行人來看可能就會覺得「這裡有好神秘的硬體不知道在幹嘛」
When a server was installed and switched on, the microchip altered the operating system’s core so it could accept modifications. The chip could also contact computers controlled by the attackers in search of further instructions and code.
有關最近傳言「中國間諜晶片」這件事,除了新聞很可疑之外,標題更是亂下,然後翻譯成中文當然就錯得沒完沒了了。
身為晶片設計師、而且好幾年在做反駭硬體的專家我本人(咳),特別仔細去讀了 Bloomberg 的原文。感想是:這是有人想做空 Super Micro 股票所以發布這個消息的嗎??????
原文報導是這樣的:(下詳)
The Big Hack: How China Used a Tiny Chip to Infilt
與英文不好的記者,就自動把消息衍生為「中國駭客攻擊蘋果與亞馬遜」而且唯一一段不是臆測,而是「有關人士透露」的亞馬遜 2015 年發生的事,亞馬遜也完全否認。
所以說,這一串報導的第一篇 Bloomberg 的第一段是有關人士透露而未被查證的事情,而其他段都是記者自己的臆測。
而第二篇第三篇第四篇⋯⋯就是沒把第一篇讀完直接把臆測當新聞在寫的胡言亂語。
所以我才會懷疑,這難道是因為有人在作空 Super Micro 股票才發布的消息嗎?
但是自從假新聞事件之後,我突然覺得身為有責任要告訴大家這是假新聞。結果才發現闢謠根本是件沒完沒了的事,因為假新聞真的太多,而信的人更多~~~~
所以我以後不要再浪費時間駁斥假新聞了~~~請大家直接跟我一樣閉起眼睛吧~~
以上。
一顆米粒大的晶片要跟外界連繫需要網路啊。。。可是一顆網路晶片大小是 0.25 平方公分,塞不進米粒裡……
而且網路晶片只能接受單方命令,所以主機版上本來就有的網路晶片也沒辦法幫這顆米粒傳送資訊……
S 認為多出來一顆晶片不知在幹嘛的原因,可能是主機版改了幾十次又轉手設計師好多次後,後人已經不知道原來的設計在幹嘛,又不敢清掉,就留了一顆不知道在幹嘛的晶片在電路版設計上……
就像我的同事常常寫些沒用的硬體程式,我叫他們清掉他們又懶得清,如果一個外行人來看可能就會覺得「這裡有好神秘的硬體不知道在幹嘛」
也是媒體亂抄還抄錯新聞的管道這篇描述的根本是科幻小説,也很多人信啊。orz
妳居然把秘密抖出來了你説得沒錯,我又仔細讀了中文的新聞,覺得寫得未免太生動,跟電影情節一樣精彩
英文原文報導就寫得比較保守,所以就算不懂硬體,也可以找得到文章的漏洞。
尤其亞馬遜都出來闢謠了,抱怨説他們過去幾個月跟 Bloomberg 解釋很多次完全沒這回事,Bloomberg 記者還是不相信,然後亞馬遜叫記者拿出來「發現不明晶片」的報告,記者也拿不出來。
Management | Super Micro Computer, Inc.
>>另外,電路板是不能隨便偷加晶片的,因為上面都已經印滿了電線,要加一條電線都比登天還難,要加晶片首先要找到地方放,然後還要接電源,跟每個接腳都要拉線,想放晶片只能一開始就設計進去,不可能在別人做好的電路板偷加晶片。
可是本來就是中國的公司在造硬件裝嵌,寫電路板跟裝電路板不是新技術,而且只有晶片中國造不到,可是寫軟體進晶片也是可以的,外加的晶片也不一定是自己連網絡,他可以是一種讓原本電路有破洞,令黑客活動更容易實行的存在
「問題是這種只有做半導體的人會清楚,一般人連政府可以控制臉書都深信不疑了,所以說也是白說」 +10000000000000000000000000
專家的確是可以從大便中分析出米其林餐的內容物,可是想要更動米其林大餐的食譜,還是要有原來的食譜的,並不是從直接在大便裡加東西就有相同效果的。
我只知道中國現在的處境是這樣,中國大量收購外國公司,還有在中國內的外資公司加插黨委,就是要掌握全局面,當然實際能控制多少是不知道,最起碼如果生產線畫電路板的人是中國的人,想想看加什麼進去也是可行的w
前者就是這篇報導的,已經有不少人提出反對意見了
後者....我覺得目前沒看到證據,除非有人提出更多的資料不然可以持保留態度
請問有沒有主機版設計與製作的解說影片?老師講解還是比工程師説得清楚。
怎麼突然就有超級微晶片科技了呢?
彭博社曝光的“间谍芯片”,我在淘宝1块钱就能买一个-PingWest 品玩
裡面提出的論點其實很有趣
*无论怎样,彭博社内部对于不准确信息是零容忍的,有很多层编辑来对故事进行核查。这是一支2,000名记者组成的军队,而这篇文章花了十几个月的时间来组稿。
看着这篇稿子和苹果亚马逊的反驳,就像在看物质和反物质对撞一样。*
當年(?)有個"柯粉"出來哭,4小時不到就被挖出名字,以前在哪個政治人物的辦公室下面做事,這就是網路世代啊(菸
Bloomberg - Are you a robot?
我覺得要告也是被抹黑的 Super Micro 去告吧,也許不久會看到訴訟的新聞也説不定。
加裝晶片駭電子系統要花錢,訴訟也要錢。只有不用錢或小成本的事大家才會想做,例如寫文章發佈不實消息、或發佈新聞稿駁斥不實消息,或是寫軟體去駭電子系統,都是小成本。
如果小成本就可以達成的事,沒有人會花大錢的。
我們在做手機連幾毛錢的成本大家都吵翻天,加個晶片聽起來簡單,幾百萬個主機版加起來也是要花個幾百到幾千萬的。
所以軟體駭客超級多,就是因為駭軟體是小成本,駭硬體成本高,所以能用軟體駭就不會花錢用硬體。
訴訟更是貴死人,所以沒有必要的、或勝訴也沒有賺錢的可能(例如被告太窮賠不起),大家才不會閒錢太多去訴訟。
所以又說穿了只有內賊才能做得出來。但是如果是內賊就有一千萬種駭法,例如直接在公司內部韌體免錢駭就好了,也就不用浪費錢去多加一顆晶片,所以總而言之還是缺乏經濟效益,是不可能發生的事。
沒有實際損失的證明,消費者告可不見得會贏的,不會贏的官司也沒人想打。
一般消費者的集體訴訟也是要律師勝算在握,才會先不收錢幫忙打,贏了一起跟敗訴的一方收錢。因此沒有勝算時(例如根本是子虛烏有的事)誰都不會做賠錢的生意。
重點難道不是,Bloomberg的文章從頭到尾指控的是 Super Micro 的產品,亞馬遜只是(根據他們猜想的)受害客戶之一而已,要告 Bloomberg 也該是 Super Micro 去告,為什麼要亞馬遜來告??
難道有人會覺得,看(不知道幾年後才會出來的)法院判決書的人,會比當場時效正熱的時候看新聞的人多嗎??
萬一從頭到尾就沒這回事,那亞馬遜跳出來耍什麼寶?
這不是有多少 super micro 的產品有賣進去的問題,而是其他的主要的接到大標案的系統廠商也沒排出用 super micro 的東西喔,而且只要有一顆駭進去,機密就洩漏了,這才是重點吧?
servethehome.com
"然而亞馬遜的聲明,的確聘用外部機構進行技術和安全稽核,卻沒有發現文章所說的可疑晶片,更沒有報告美國政府。並且,亞馬遜及第三方並沒有提供報告給任何外部人士,《Businessweek》記者也拒絕向亞馬遜展示記者擁有的證據以便亞馬遜對質。 "
打官司第一個要面對的是確定的證據與利益,第二個是費用。然後天底下沒有什麼公司會動不動想與媒體作對(您身在美國應該比我們清楚美國媒體的社會影響力)。這樣夠不夠??還有你向我們問為什麼不告是不是搞錯了啥??你應該問亞馬遜的相關部門不是嗎??
還是你想坳的是因為亞馬遜與超微沒有告>所以這不是假新聞>因此中國的搞鬼是可信的這樣的力論嗎??
再者,以中國製造的實力,加上解放軍「特殊單位」的能耐,實行、是「真的不可能」或者是有著技術上不可突破的限制嗎?
希望彭博是掌握了甚麼準確的消息來源,否則後面可能不只貿易戰要打
追加晶片對電壓/電路設計、所造成的檢驗誤差,若在商業上是能接受的範圍,那就更可行
然後,人的部份(共犯結構v.s.美國負責安全檢驗的官員等),也算進來,真的要說「絕對不可能」...又好像太肯定了些
雖然也希望是錯誤報導,但一開始設定的目標可能也只是扔顆煙霧彈先?
在多篇洩密報導的拼湊下,中國軍方並不是在「不可能辦到」的那一端
週末睡整天的MG 6 hours ago
剛剛問了 board 專家S。
所以又說穿了只有內賊才能做得出來。但是如果是內賊就有一千萬種駭法.....
The Register 文中提到的除了一部份技術上的可行性疑點, 不少是程序上的疑點, 那是各位可以讀的, 噗主也請各位去讀了.
我提其中一個技術疑點吧, 主機板不是做出來就能動的,後續還有韌體廠商,軟體廠商要配合,一堆人參與其中很難不被發現,寫程式的時候就會發現多出一個東西,那麼彭博說中國是針對三十幾家公司安插的,也就是說不是所有晶片都安插,這樣才能降低被發現的機率,這有可能嗎? 幹嘛不直接做出一個長的一模一樣的 coupler,就可以達到同樣的效果,又不會被發現。
再不然, 根據 The Register 報導的, 就算要走硬體這條路,做一個長的一模一樣的 SPI flash chip 不是更容易?找人去廠商那邊賄賂施壓,硬要插一顆進去,不嫌動作太大嗎?
但是呢,原文的論點實在突破我對技術認識的下限,所以我對這個論點並不買單。不用幫這篇文章找一堆理由說他們講的沒問題,就算中國用其他手法搞駭客是真的,出這種品質的文章也是很糟糕。
「剛剛問了 board 專家S。 他認為如果版子上本來就有裝 SPI ROM 的空間(可能是給其他版本的伺服器使用)的確是可以加一個 SPI ROM。不過問題是那個 SPI ROM 的內容必須要跟原本系統相容才不會馬上被抓到,不然一開機馬上就掛了。」
另外也沒解釋一顆米粒大小的晶片如何駭入整個系統....他只有跟你一樣一直說可能可以。