Ett år etter: Hvem husker Supermicro?

Software security concept. Errors in the program. Bugs in the program. The presence of a backdoor, rootkit. 1

Ikke selskapet, men 'skandalen' – hemmelige spionchips avslørt av Bloomberg ved forrige årsskifte, senere avvist som fake news. Men var det egentlig fake news?

For 4 år siden var 'fake news' ukjent for de fleste. I 2019 er hele verden inneforstått med at falske nyheter florerer. Synd, men 'elendigheten' stopper ikke der: Vi - verden - har fått et nytt ‘våpen’. Når vi ikke liker det vi ser eller hører, kaller vi det fake news og går videre.

Resultatet er innlysende – og skremmende. Risikoen for at viktige og høyst reelle nyheter går hus forbi, blir høy. Vi velger det som passer, avviser resten og går videre. Bloombergs historie passet ingen og ble fortrengt, men var den sann? Svaret er 'sannsynligvis'. Og om den hadde unøyaktigheter, satte den fokus på en trussel få kjente og ingen hadde tatt på alvor. 

Fake news stempelet sitter fortsatt på saken, men mange enkeltpersoner og fagmiljøer tok utfordringen på alvor. Flere av dem har i løpet av året demonstrert at Bloombergs historie (se Spion-chips: Hva om alle er infisert?) ikke bare er mulig, men at terskelen er lav. Med riktig kunnskap, interesse og et par hundre USD kan så godt som usynlige spionkomponenter 'plantes' i hva som helst av hardware. 

2 slike eksempler ble diskutert i artikkelen The in-Hardware Tiny Spy Chips that you can make for only $200 [på The Startup/Medium.com] tidligere i høst. Nærmest banale i sin enkelhet og mer enn tydelige nok til å gjøre trusselen reell. Når et par tusenlapper og litt kompetanse kan gjøre dette, hvor langt kommer vi med statlige ressurser om vi skulle ønske det? Videre - såkalt supply chain hijacking er alt annet enn fake news: Ingen vet med sikkerhet hvor delene har vært før de forsvinner inn i avanserte produkter.

Tusenkroners spørsmålet blir igjen 'hva gjør vi'? Og mens perspektiv-artikkelen vi refererte til ovenfor (Spion-chips ...) diskuterer tiltak, er det en god start å akseptere at trusselen finnes. Hardware kan være infisert på laveste nivå. Zero Trust har aldri vært mer relevant - og viktigere. Trust kan også være en del av løsningen – med blockchain-basert sporing i produksjons- og leverandør-kjeder, etter samme modell som i matvareproduksjon. Dit er det imidlertid et stykke – markedet trenger en skikkelig katastrofe for å få fart på den delen av løsningen. 

I mellomtiden er det Zero Trust som gjelder, også på hardware nivå: Anta at spion-chips og tappingsmuligheter finnes og jobb derfra. Med en slik innfallsvinkel blir ‘akseptable trusler’ – de vi ikke gjør noe med – et valg i stedet for en ulykke. Det er ansvarlighet i praksis.