Aanschaf SuperMicro-servers wordt niet meer afgeraden

De aanschaf van SuperMicro-servers krijgt op de TU/e weer het groene licht van Information Management & Services (IMS). Medio oktober kwam deze TU/e-dienst met het dringende advies om de aanschaf van dit soort servers tijdelijk uit te stellen. In China zouden er minuscule chips zijn ingebouwd, die als een achterdeurtje voor spionnen konden fungeren, zo claimde het financieel dienstverleningsbedrijf Bloomberg in een artikel. Daarvan is echter geen hard bewijs gevonden.

door
foto Shutterstock

Martin Romijn, Chief Information Security Officer (CISO) van de TU/e, zegt dat de afgelopen weken uitvoerig onderzoek is gedaan naar de beweringen die werden geuit in het Bloomberg-artikel van 4 oktober jongstleden. In dat artikel wordt er melding van gemaakt dat er mogelijk malafide chips, zo groot als een rijstkorrel, in de moederborden van de computers van het bedrijf SuperMicro zouden zijn geplaatst. Dit zou zijn gebeurd bij de productie daarvan in China. Die chips zouden het spioneren in systemen mogelijk moeten maken. De internationale security gemeenschap sloeg daarop alarm en probeerde de beweringen die in het artikel werden geuit, te staven met hard bewijs.

Volgens Romijn is dat niet gelukt en de CISO heeft ook binnen de TU/e naar expertise gezocht om meer duidelijkheid te krijgen over de mogelijke gevaren. Luca Allodi, universitair docent bij de groep Security and Embedded Networked Systems bij Wiskunde & Informatica, heeft zich over de kwestie gebogen. Ook Allodi zegt dat er sinds begin oktober geen hard bewijs boven water is gekomen dat aannemelijk maakt wat Bloomberg beweert. “Wat overigens niet wil zeggen dat het technisch niet mogelijk zou zijn om dit te doen”, zegt Allodi. Maar volgens hem zou het voor experts ook mogelijk moeten zijn om dergelijke chips op een moederbord te kunnen traceren.

Netwerkverkeer

Een andere manier om de door Bloomberg geuite beweringen te controleren, is het monitoren van het netwerkverkeer van een mogelijk gemanipuleerde server. Ook dat heeft niets opgeleverd, aldus Romijn en Allodi. De laatste hecht bovendien veel waarde aan de ontkenningen van enkele grote bedrijven, zoals Apple en Amazon, dat er iets van de beschuldigen waar zou zijn.

Is daarmee de kous af en zijn de SupraMicro-servers veilig? Allodi: “Dat kun je nooit met honderd procent zekerheid zeggen, maar er is op dit moment geen hard bewijs voor het tegendeel. Het zou een vreemde actie zijn, want hoe weet China nou precies welke servers waar naartoe gaan en welke systemen dus bespioneerd moeten worden? Dat is schieten op een mug met een schot hagel en lijkt me tamelijk zinloos.”

Advies

Op de intranetsite van de TU/e adviseert Information Management & Services wel ‘om de toegang tot de zogeheten Baseband Management Controller-poorten goed te beveiligen met behulp van firewalls en deze niet aan het publieke internet te hangen’. Romijn licht dit toe: “Binnen een onderzoeksgroep is goed bekend wie precies toegang moeten hebben tot een bepaalde server. Zorg dan ook dat alleen die personen daar toegang toe hebben en isoleer die server van de buitenwereld, dan kan niemand binnendringen in dat systeem en zou er met zo'n ingebouwde chip ook niets naar buiten kunnen.”

Deel dit artikel via je socials