Окопавшееся издание Bloomberg и сервера с китайскими чипами

Издание Bloomberg, опубликовавшее статью о якобы китайских шпионских чипах в серверах SuperMicro, использующихся в датацентрах Apple, Amazon и других компаний, продолжает хранить гордое молчание, несмотря на призывы всех, кого только можно, либо предоставить доказательства об истории, изложенной в той статье.

Я внимательно слежу за этой историей, потому что мне очень интересно, чем она закончится, поэтому я постоянно публикую свежие обновления, появляющиеся по этой теме. С момента последней заметки:

1. Тим Кук в телефонном интервью BuzzFeed призвал издание отозвать статью, сказав, что в ней нет правды касательно Apple:

“There is no truth in their story about Apple. They need to do the right thing and retract it.”

Continue reading

Китайские чипы где?

Уже прошло больше двух недель с того момента, как в Bloomberg появилась душераздирающая и крышесносящая история про то, как китайские военные втихаря устанавливали на китайской фабрике микрочипы в сервера американской компании SuperMicro. Потом эти сервера якобы оказывались в дата-центрах Apple, Amazon и еще нескольких десятков компаний, и китайские разведчики начинали, видимо, следить за данными на серверах, или доступаться к ним удаленно, или еще что-нибудь не менее ужасное.

С тех пор историю опровергли Apple и Amazon, а также британская разведка и американское министерство национальной безопасности, и еще много кто. Возможно, те “десятки” других компаний, о которых Bloomberg упоминали в статье, могли бы тоже опровергнуть, но мы не знаем, кто они — никаких имен предоставлено не было.
Continue reading

Уязвимость Google+

В статье в Wall Street Journal (paywall) сегодня рассказали о том, что уязвимость в Google+ на протяжении трех лет позволяла видеть данные профиля пользователей (имя, адрес электронной почты, пол, возраст), даже если эти данные были отмечены как скрытые. Google утверждает, что сторонние разработчики не воспользовались этой уязвимостью для сбора пользовательских данных. Вот пост Google о том, что произошло и что будет дальше:
https://www.blog.google/technology/safety-security/project-strobe/

Проблема, по словам представителей Google, затрагивала около 500 тыс пользователей (на протяжении последних двух недель, пока хранятся логи. Что там было в прошлом, Google сказать не может). Интересно, что Google обнаружила эту проблему в марте 2018 года, но компания решила не сообщать о ней, так как опасалась внимания со стороны регуляционных органов (на волне внимания к проблеме Facebook и Cambridge Analytica). Эта скрытность, чувствую, еще вылезет Google каким-нибудь боком. Зато из хорошего: Google таки в течение следующего года закроет социальную сеть Google+ для потребителей, потому что “там все равно никого нет” (90% сессий короче 5 секунд — видимо, те, кто случайно туда попал).

Кроме того, Google проводит аудит доступа разработчиков к пользовательским данным и вносит соответствующие изменения. В частности, появятся ограничения для разработчиков приложений на Android в плане доступа к истории звонков: только те приложения-звонилки, которые установлены таковыми по умолчанию, плюс приложения для работы с голосовой почтой и резервными копиями. Появятся и дополнительные ограничения на доступ к почте в Gmail для разработчиков приложений.

Еще о китайских чипах в серверах

Меня самого эта тема уже немного утомила писать о ней каждый день, но это, наверно, по масштабам потенциально одна из основных новостей области информационной безопасности в этом году, поэтому появление новой информации по ней очень интересно.

Bloomberg пока что хранит гордое молчание по поводу обновлений истории, но зато за выходные высказалось Министерство национальной безопасности США. В их заявлении говорится, что они в курсе того, что это обсуждается в новостях, и у них нет поводов сомневаться в заявлениях компаний, фигурирующих в статье”. Не уверен, что участие в этой истории заявления МНБ вселяет в меня уверенность в правдивости заявлений компании, но формулировки заявления тоже достаточно однозначны. Напомню, что есть подобное заявление и от британского разведывательного агентства.

Buzzfeed пишет о том, что журналисты поговорили со своими источниками внутри Apple, и никто не может подтвердить историю Bloomberg. Вообще ничего близкого по теме, говорят источники.
Continue reading

Еще про китайский чип в серверах

Вчерашняя история с якобы китайским чипом, установленным в серверах Apple и Amazon за сутки, к сожалению, понятней не стала. С одной стороны есть издание Bloomberg, методы журналистских расследований которого известны и считаются одними из лучших в мире. Расследование этой темы заняло не один месяц, и прошло перед публикацией соответствующие проверки.

С другой стороны, есть вполне жесткие и однозначные ответы Apple и Amazon, которые во вполне конкретных формулировках опровергают утверждения из статьи Bloomberg про осведомленность компаний о расследовании и ситуации с чипами в целом. (Ниже в статье есть перевод на русский язык заявления Apple). Им вторит (втроит?) и заявление компании Supermicro, акции которой вчера провалились на 50% на новостях об устанавливаемых во время сборки на китайских фабриках секретных чипов. Надо понимать, что подобные статьи — это не просто PR-активность. Для публичных компаний подобные заявления — это официальные документы, которые проходят проверку у юристов и в случае сообщения ложных сведений руководство компании несет полную ответственность, включая уголовную, за ложные данные (подобные заявления регулируются Комиссией по ценным бумагам). Так что если ориентироваться на ситуацию “статья vs заявления”, тут уже каждый должен выбрать, кому верить.
Continue reading

История про китайский чип в серверах

Новость дня, безусловно, это статья на Bloomberg о микрочипе на платах для серверов компании Supermicro. Якобы во время сборки материнских плат для серверов компании Supermicro на платы устанавливался микроскопический чип, разработанный военным ведомством Китая. Эти материнские платы затем использовались в серверах, которые собирала компания Supermicro в США. А сервера, в свою очередь, использовались в дата-центрах других американских компаний, включая Amazon, Apple, Microsoft и еще несколько десятков компаний. Чип, исходя из материалов статьи, обеспечивал удаленный доступ к серверам, модифицируя код операционной системы (интересно, как это позволяло ему оставаться незамеченным?). Статья в Bloomberg изобилует массой деталей, как и информацией о многолетнем расследовании всей этой истории.

В статье говорится также о том, что якобы Apple заподозрила что-то еще в 2015 году, когда планировала большую закупку серверов для своих дата-центров (я даже припоминаю такие новости 3 года назад). Была вот еще такая история из 2017 года про проблемы в прошивках серверов. Но также нужно отметить, что и Amazon, и Apple заявили, что они не обладают информацией ни о подобных уязвимостях в серверах Supermicro, ни о расследовании этой истории, и сами неоднократно проводили аудиты серверов Supermicro, и никаких лишних чипов не обнаруживали. Правда, Apple также говорит, что однажды обнаружили зараженный драйвер в сервере, но никаких чипов не было. Вообще заявление Apple довольно жесткое и прямолинейное, утверждающее, что Bloomberg было бы неплохо усомниться в осведомленности или искренности их источников.

АПД А вот еще не менее жесткий ответ от Amazon:

There are so many inaccuracies in ‎this article as it relates to Amazon that they’re hard to count.

Правда, осадочек остается — дыма-то без огня не бывает, но непонятно, какой дым за какой огонь принимают журналисты Bloomberg.

Facebook и номер телефона

Каждый раз, когда мне пишут “фейсбук точно меня слушает”, я закатываю глаза и думаю “мы даже не представляем себе, сколько всего о нас знает Facebook для того, чтобы попадать в нас рекламой”. На неделе вышла интересная статья в Gizmodo об исследовании про так называемые “теневые” профили пользователей. Речь идет об информации, которую пользователь как бы напрямую в Facebook не загружал, но у Facebook она есть, и может быть использована для таргетирования пользователя рекламой.

Давно известный пример, о котором я как-то уже писал. Вы, может, и не хотели бы отдавать свой номер телефона в Facebook, но кто-то из ваших друзей умудрился залить в ФБ всю свою адресную книгу, и привет — ваш номер телефона и ваше имя уже есть у ФБ, и, скорей всего, будет привязано к вашему профилю. А потом рекламодатели приходят в ФБ, загружают туда списки номеров телефонов или адресов электронной почты, и таргетируют прямо конкретных пользователей социальной сети. Но в статьей есть и хуже пример.
Continue reading

Удалить нельзя заблокировать

К этому моменту вы уже наверняка из каждого утюга услышали новость о том, что РосКомНадзор потребовал от Apple удалить приложение Telegram из App Store:
«Во избежание возможных действий Роскомнадзора по нарушению функционирования указанных выше сервисов Apple, Inc. просим вас в кратчайшие сроки проинформировать нас о дальнейших действиях компании, направленных на решение данных проблемных вопросов», говорится в письме РКН. То есть речь уже не просто о требовании убрать приложение, но и об открытом шантаже: «если вы не уберёте приложение, мы вам отключим газ».
Тут столько всего интересного, что я даже не знаю, с чего начать. Можно начать с того, что это уже повторное обращение РКН к Apple – говорилось, что ещё 17 апреля РКН направил письмо в Apple и Google ограничить доступность приложения Telegram для России, но как-то что-то ничего не поменялось.
Continue reading

Грядет очередной pribochique™?

Да, я практически слоупок — ведь Bloomberg написала о возможном переходе Apple с Intel-процессоров на процессоры ARM почти две недели назад, а я только созрел добрался написать об этом (на самом деле, во-первых, я думал, во-вторых, я был занят, настолько, что руки не дошли написать о майлстоуне “полгода” жизни с новой почкой, а в-третьих, я могу очень долго придумывать себе оправдания).

Если вы уже успели забыть, о чем там писали Bloomberg, я вкратце напомню:
– ожидается, что начиная с 2020 года (который только кажется очень далеко, но на самом деле не очень), Apple начнет использовать в своих компьютерах вместо процессоров Intel процессоры на базе архитектуры ARM
– Apple также якобы собирается объединить приложения в iOS на iPad и в macOS в каком-то виде, чтобы обеспечить возможность работы приложений одновременно и на планшетах, и на Маках.
Статья содержит интересные детали, такие, как например, кодовое название для проекта перехода на новые процессоры — Kalamata (город в Греции), и кодовое название для проекта объединения приложений — Marzipan.
Continue reading

Проблема с обзорами HomePod

Жан Луи Гассе, бывший топ-менеджер Apple и основатель компании Be, разработчика BeOS, опубликовал заметку с интересным комментарием касательно обзоров HomePod. Я не буду переводить тут её полностью, на английском вы можете почитать её тут, а я приведу из нее некоторые выдержки, которые мне показались особенно интересными в свете различных обзоров HomePod (да и моего тоже).
——————-

Аудио-инженер Питер Акзел, редактор журнала Audio Critic, отмечал сложность оценки акустических колонок. Три важных фактора остаются со мной по сей день:
Во-первых, мы должны помнить о влиянии комнаты и нашего положения в ней, то, как отражающие материалы могут сделать звучание музыки хрупким, как ковры и шторы могут заглушить звук — или же обеспечить баланс в излишне яркой комнате.
Во-вторых, все сравнения акустических колонок должны проводиться методом двойного слепого тестирования, когда ни проводящий тесты, ни оценивающие участники не знают, какое устройство звучит в данный момент.
В-третьих, (и самое важное) разница в уровне громкости имеет значение. Сравниваемые акустические колонки должны быть выведены по амплитудно-частотной характеристике в пределах 1дб, потому что в любом сравнении более громкая акустическая колонка всегда будет звучать лучше.
Continue reading