L’articolo The Big Hack pubblicato ieri da Bloomberg BusinessWeek ha acceso la discussione in merito a presunte pratiche di spionaggio messe in atto dal braccio operativo del governo cinese nei confronti di alcuni big hi-tech degli Stati Uniti. Non poteva essere altrimenti, considerando la portata la gravità di quanto descritto e l’importanza dei nomi coinvolti.
AWS prende le distanze
Tra le aziende che secondo le fonti sarebbero state colpite dall’attacco anche Amazon, più precisamente la divisione Web Services che nel 2015 ha portato a termine l’acquisizione di Elemental Technologies, team specializzato in sistemi di compressione video. I server acquistati e impiegati dall’azienda, assemblati nelle fabbriche di Super Micro Computer, sarebbero stati compromessi con l’inclusione di un chip occultato nella scheda madre, in grado di intercettare le informazioni elaborate veicolandole verso terzi nonché di alterare il core del sistema operativo, consentendo così a non meglio precisati soggetti in Cina di mettere le mani su dati e segreti industriali del gruppo.
Oggi AWS pubblica un comunicato che reca la firma di Steve Schmidt (Chief Information Security Officer) in cui la società prende le distanze da quanto affermato nell’articolo. In sintesi, si afferma che Web Services non è mai stata al corrente della pratica, né prima né dopo l’acquisizione.
Come abbiamo condiviso più volte nel corso degli ultimi mesi con Bloomberg BusinessWeek, questo è falso. In nessun momento, passato o presente, abbiamo mai scoperto alcun problema legato a hardware modificato o chip malevoli nelle schede madri di Super Micro installate nei sistemi di Elemental o Amazon. Non siamo nemmeno stati coinvolti in alcuna indagine da parte del governo.
The Big Hack, le inesattezze
L’intervento prosegue focalizzando l’attenzione su quella che viene definita una serie di inesattezze riportate Bloomberg BusinessWeek. Schmidt sottolinea anzitutto come l’unica realtà incaricata da Amazon di effettuare un controllo di sicurezza su Elemental prima dell’acquisizione non abbia evidenziato alcun problema legato al chip spia in questione, limitandosi a segnalare alcune potenziali criticità che il gruppo di Jeff Bezos ha risolto prima di chiudere l’operazione. AWS sottolinea inoltre come la testata non abbia avuto accesso ai documenti relativi alle indagini svolte. Un altro punto toccato è quello relativo alla scoperta di hardware compromesso in un data center di Pechino.
L’articolo afferma inoltre che dopo aver trovato modifiche all’hardware nei server di Elemental abbiamo effettuato un controllo delle schede madri Super Micro in tutta la nostra rete, scoprendo i chip malevoli in un data center di Pechino. Anche questo è falso. La prima e più ovvia ragione è che non abbiamo mai trovato hardware modificato o chip malevoli nei server di Elemental, poi perché lo stesso vale per ogni server di ogni nostro data center.
Si fa riferimento anche a Sinnet, partner cinese a cui (secondo Bloomberg BusinessWeek) Amazon avrebbe venduto i server compromessi al fine di liberarsene. Smentito anche questo passaggio.
Sinnet impiega questi data center fin dal nostro lancio in Cina, possedendoli fin dal primo momento. L’hardware che abbiamo “venduto” loro è frutto di un accordo transfer-of-assets previsto dalle nuove regolamentazioni cinesi per i provider cloud esteri che desiderano continuare a operare nel paese.
La sicurezza come priorità
Il comunicato di AWS si chiude mettendo in luce gli elevati standard di sicurezza adottati dal gruppo, passando anche attraverso la progettazione diretta delle componenti hardware impiegate nei server. Amazon prende dunque le distanze da quanto affermato nell’articolo The Big Hack, che dipinge uno scenario tutt’altro che rassicurante sulle modalità di gestione delle informazioni da parte di alcuni colossi del mondo hi-tech.
Un altro nome citato in modo diretto da Bloomberg BusinessWeek è quello di Apple, che per ora ha replicato con il breve statement già riportato ieri.
Su questo possiamo essere molto chiari: Apple non ha mai scoperto chip malevoli, manipolazioni hardware o vulnerabilità introdotte di proposito in qualsiasi server.
Update: la posizione di Apple
Aggiornamento: anche Apple interviene con un comunicato condiviso sul proprio sito ufficiale. La posizione del gruppo di Cupertino è in linea con quella di Amazon. Viene smentito quanto riportato dalla testata, sottolineando come non siano mai stati rinvenuti i chip in questione nei server impiegati per erogare i servizi all’utenza. Inoltre, la mela morsicata afferma di non essere mai stata contattata dall’FBI né da altre agenzie per le indagini sulla vicenda.