Wat hebben askCybergibbons en Bloomberg gemeen?

Een kleine maand geleden deed ISP Today verslag van de Hardwear.io conferentie. We stonden onder andere stil bij de talk van Andrew Tierney (aka @aksCyberGibbons) over de Bitfi. Die talk is nog steeds actueel, zeker na alle ophef die Bloomberg de afgelopen dagen heeft veroorzaakt.

Bloomberg heeft vorige week een forse bom tot ontploffing gebracht. Het Amerikaanse bureau deed uit de doeken dat SuperMicro moederborden zijn voorzien van chips waarmee de Chinese overheid de gebruikers kan bespioneren. De moederborden waar het volgens Bloomberg om gaat zijn terecht gekomen in Amerikaanse datacenters, racks, servers in gebruik bij Amerikaanse bedrijven en overheidsinstellingen.

Ongekende impact

De ophef was grandioos. AWS, Apple en consorten wrongen zich in alle bochten om Bloomberg voor gek te verklaren. Zoiets zou nooit kunnen, want iets met extra checks. Het aandeel van SuperMicro (dat al langer onder druk staat) verloor die dag op een gegeven moment meer dan 50% van de waarde. De beursvloer werd verlaten met een verlies van 40%. Andere Chinese IT onderdelen leveranciers zaten ook in de hoek waar de klappen vielen, hoewel ze niet werden genoemd in het artikel van Bloomberg.

Er zal nog het nodige over geschreven en mogelijk nog geprocedeerd worden want deze case is uniek. Zowel het beschreven “incident” als de impact op de aandelenkoers zijn ongekend. Wat de beurs doet is verder even niet interessant.

Hoe dan?

Wat interessant is namelijk de vraag of en hoe zoiets kan gebeuren. Op dat punt leggen we de link met de talk van @aksCyberGibbons. Bij de Bitly is er namelijk meer mis dan de ondeugdelijke werking van deze “super onhackbare bitcoin wallet”. Het team achter @aksCyberGibbons heeft namelijk vastgesteld dat de serienummers op de devices niet gelijk is aan de serienummers op de verpakkingen. Met andere woorden ergens tussen productie en aflevering worden de verpakkingen geopend. Tierney gaf als mogelijke verklaring dat er tussentijds een firmware update is geïnstalleerd. Dat daar door de zaal vol met security specialisten en hackers hard om werd gelachen zal niet verbazen.

SCM

Met wat hij daarna aangaf sloeg hij de spijker op de kop: supply chain management (SCM) is verschrikkelijk moeilijk. Zeker als het om IT gaat zijn er veel momenten en redenen kattenkwaad en erger uit te halen. Die opmerking moet je onthouden. Ook als het gaat om het verhaal van Bloomberg en ook als dat uiteindelijk complete lariekoek zou blijken te zijn. De belangen die spelen zij zo groot en het is zo makkelijk te doen dat je manipulatie tot aan aflevering gewoon nooit mag uitsluiten. Let daarom altijd op bij wat je in ontvangst neemt als het om hardware gaat.

We mogen wat dat betreft Bloomberg dankbaar zijn voor deze melding. Het is in principe hetzelfde verhaal als @aksCyberGibbons, dat is wat ze gemeen hebben. Er is een verschil: de laatste heeft een bereik van een paar duizend specialisten en de eerste bereikt miljoenen lezers.

 

(Illustratie: Andreas Wieland, CC BY-SA 3.0)