L’inchiesta The Big Hack pubblicata nei giorni scorsi da Bloomberg BusinessWeek non poteva che sollevare un polverone e così e stato. Si parla di chip installati da un team legato al governo cinese nelle schede madri destinate all’impiego da parte di alcuni colossi tecnologici statunitensi e di istituzioni americane. Tra questi vengono citati direttamente Amazon e Apple, che in seguito alla pubblicazione hanno immediatamente preso le distanze dal contenuto dell’articolo.
La posizione di DHS e NCSC
Nel fine settimana è intervenuto sulla questione anche il Department of Homeland Security, il Dipartimento della Sicurezza Interna degli Stati Uniti, affermando come al momento non vi siano elementi tali per poter ipotizzare che le due aziende abbiano dichiarato il falso. Dello stesso parere anche il National Cyber Security Centre britannico, mentre il Federal Bureau of Investigation al momento non si è pronunciato sulla questione. Quanto riportato dalla testata non trova dunque conferma nelle posizioni dei diretti interessati. Ecco quanto si legge in un comunicato comparso sul sito ufficiale del DHS.
Il Department of Homeland Security è a conoscenza di report dei media a proposito di una compromissione nella catena di fornitori tecnologici. Come i nostri partner in UK, il National Cyber Security Centre, in questo momento non abbiamo ragioni per dubitare dei comunicati giunti dalle aziende citate nell’inchiesta. La sicurezza della catena di fornitura tecnologia relativa a informazioni e comunicazioni è centrale nella missione di cybersecurity del DHS e siamo impegnati a garantire la sicurezza e l’integrità della tecnologia sulla quale gli americani e molti altri nel mondo fanno sempre più affidamento.
Il presunto attacco, secondo Bloomberg BusinessWeek sarebbe stato messo a segno attraverso l’installazione di piccoli chip (1×2 mm circa) sulle schede madri dei server assemblati da Super Micro Computer per conto di Elemental Technologies (società acquisita nel 2015 da Amazon) e di altre realtà hi-tech d’oltreoceano, più precisamente posizionati tra il Baseboard Management Controller e una Serial-Peripheral Interface, la collocazione ideale per l’immissione di codice malevolo nel sistema operativo, anche da remoto.
Qual è la verità?
Le aziende chiamate direttamente in causa da Bloomberg BusinessWeek negano l’accaduto o in ogni caso affermano di non essere mai state a conoscenza del problema né di indagini in merito. Dall’altra parte, la testata afferma di aver pubblicato l’articolo The Big Hack solo al termine di un anno di approfondimenti e interviste che hanno coinvolto un centinaio di soggetti. Tra questi, 17 (riconducibili sia ad agenzie governative sia alle società) avrebbero confermato quanto riportato.
Considerata l’importanza del tema e la portata dell’eventuale attacco, rimangono da attribuire verità e responsabilità. Nel frattempo, sempre facendo riferimento al comunicato del DHS, l’autorità sottolinea il proprio impegno al fine di tutelare la sicurezza dei dati, combattendo anche rischi legati alla catena di fornitori.
Proprio questo mese, il National Cybersecurity Awareness Month, abbiamo lanciato una serie di progetti governativi e industriali al fine di sviluppare soluzioni di breve e lungo termine per gestire i rischi posti da sfide complesse legate a una rete di fornitura sempre più globale. Queste iniziative si concretizzeranno attraverso partnership esistenti con un lungo elenco di aziende tecnologiche, così da rafforzare l’impegno collettivo nazionale su cybersecurity e gestione del rischio.