美国韶光周一,彭博社文章中少数几位实名证人之一——硬件安全专家、Hardware Security Resources公司创始人Joe Fitzpatrick接管信息安全播客“危险买卖”(Risky Business)的采访,公开了他和彭博社Jordan Robertson互换的详细细节。根据他的证词,彭博社的宣布严重歪曲了他供应的信息,整篇稿件“根本站不住脚”。
Fitzpatrick与彭博社Robertson的通信互换始于去年。起初,向Fitzpatrick讯问硬件植入的技能问题,Fitzpatrick通过邮件向阐明了干系技能事理及可能的操作方案,但并未提及任何实际运用,事实上这些方案在业内从来没有落地过。
但令Fitzpatrick震荡的是,彭博社文章中所描述的中国入侵超微公司芯片的手段,竟和他在邮件中向先容的千篇一律。
彭博社宣布称,中国方面通过供应链将一种“仅有米粒大小”的特工芯片植入到超微公司生产的主板上,借此在运用该主板的做事器上创建后门,并盗取信息。
“这个操作根本不符合逻辑,”Fitzpatrick说,“要黑进做事器有很多更随意马虎的办法,可以通过软件,可以通过固件,文中描述的手段理论上可行,但是根本不可能大量利用,我不会这么干,我知道的任何人都不会这么干。”
事实上,Fitzpatrick曾在邮件中明确奉告彭博社,这种方案只是一种理论上的可能,缺少实际可操作性,他还特意提醒主板上的“额外零件”可能只是一个正常配件。回答称,有多个信源表示这个“猖獗的方案”确实存在,但从头到尾未给出任何图片或实物证据。
“如果我描述的一种技能可能真的被实现了,还有十几个人作证,我也太高瞻远瞩了吧。”Fitzpatrick说。
彭博社宣布中被广泛引起质疑的另一个细节,是所谓的特工芯片究竟长什么样。宣布发布后不久,就有媒体指出,彭博社配图上的“芯片”实际上只是一个普通的旗子暗记耦合器,一块钱就能买到。
而Fitzpatrick直接表示,这张“芯片”的图片,是他供应给的。
今年9月,Robertson见告Fitzpatrick,他们已经把目标锁定到了一种“旗子暗记放大器或耦合器”上,并问Fitzpatrick这种元器件长啥样,于是Fitzpatrick随手发了个Mouser Electronics公司生产的耦合器图片给他。宣布发布后, Fitzpatrick震荡地创造,文中那枚特工芯片的图片,正是他发给的那一张。
“这种耦合器常日是用在WiFi和LTE上的,不太可能涌如今主板和做事器上。” Fitzpatrick说。
这就意味着,彭博方面至少从未见过所谓的“特工芯片”的真容。
这期播客播出前,主持人Patrick Gray专程致电彭博Jordan Robertson,请他对Fitzpatrick的责怪做出回应。这位很快给出了一个公关味儿十足的回答:不予评论。
彭博社宣布发布后即便陷入争议,险些所有干系方都武断予以否认。亚马逊、苹果和超微均发布了言辞激烈、态度明确的公告,苹果还表示,“彭博在过去一年中多次就此事和我们联系,我们每一次都进行了严格的内部调查,但从来没有创造能支持个中任何一个说法的证据”。美国国土安全部(DHS)、英国国家网络安全中央(National Cyber Security Centre)也分别于10月5日与6日发声,表示并未创造所谓网络攻击的证据。
美国国家安全局尚未就此事公开拓言,但这次Joe Fitzpatrick发声后,美国国家安全局网络安全部门高等顾问Rob Joyce在推特上转发了这期播客节目,并表示“请大家负责读DHS和NCSC的公告”。
