Kurios und besorgniserregend: American-Megatrands-Sticker in High-End-Switches

HWL News Bot

HWL News Bot

News
Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.960
american-megatrands.jpg
In den USA ist man seit einigen Jahren und vor allem nach den Veröffentlichungen von Edward Snowden sehr bedacht darauf, eine sichere Lieferkette innerhalb seiner IT-Infrastruktur gewährleisten zu können. Dass die eigenen Geheimdienste allerdings ein großer Bestandteil dessen sind, dass man nicht mehr jeder Hardware trauen kann, es hier aber auch schon diverse Manipulationsversuche gab und gibt, lässt man in den USA gerne unter den Tisch fallen.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Die Gunst der Stunde genutzt. Könnten es sich nur alle Firmen so einfach machen :)
 
Naja, ein Schreibfehler schleicht sich sehr schnell mal ein und unser Gehirn ist durchaus in der Lage diese schlicht zu "korrigieren". Besonders wenn es sich um so simple Fehler wie in diesem Fall handelt.
Es werden ja vermutlich keine professionellen Spellchecker an der IT Hardware sitzen sondern Firmware und Co auf Authentizität und Funktion geprüft werden.
Noch dazu haben alle Beteiligten den Namen "American Megatrends" millionenfach gelesen. Wenn daher Schriftart, Länge und 99% des Wortes stimmen ist es einfach den Fehler zu überlesen.
Immerhin ging es ja ServeTheHome nicht anders. Die testen X Switche im Jahr und haben den Fehler auch nicht bemerkt.

Da direkt auf einen Manipulationsversuch zu schließen halte ich für gewagt.
Als Endkunde muss ich spätestens der Hardware/ den Chips vertrauen, eine andere Möglichkeit habe ich nicht. Erinnert mich etwas an die "Schnüffelchips auf Mainboard gefunden" Story von vor 2 Jahren. Beweise gab es nie, lediglich viel Aufmerksamkeit.
 
RcTomcat schrieb:
Naja, ein Schreibfehler schleicht sich sehr schnell mal ein
Zum Vergrößern anklicken....
Deshalb gibt es, wenn man darauf Wert legt, das Konzept des Probelesens durch einen Dritten. Wenn es einem aber scheissegal ist, wie bei AMI der Fall, dann druckt man halt millionenfach irgendwelchen Unfug.

RcTomcat schrieb:
Besonders wenn es sich um so simple Fehler wie in diesem Fall handelt.
Zum Vergrößern anklicken....
Genau deshalb ist es ja besonders peinlich, weil man damit ganz besonders zeigt, dass es einem schlichtweg scheissegal ist.

RcTomcat schrieb:
Es werden ja vermutlich keine professionellen Spellchecker an der IT Hardware sitzen
Zum Vergrößern anklicken....
Was ja kein Problem darstellen würde, wenn es die autistischen IT-Nerds, die dort arbeiten, hinbekämen. Da sie es in ihrem hochgradigem Autismus jedoch nicht hinbekommen, wären professionelle Spellchecker eben doch angebracht. Ausser es ist der Firma scheissegal 💁‍♀️
 
Mo3Jo3 schrieb:
Probelesen eines Aufklebers? Wo wird sowas denn praktiziert?
Zum Vergrößern anklicken....
Man sollte alles Probelesen, was man millionenfach druckt.

Was hat das mit Aufkleber oder nicht Aufkleber zu tun?
Beitrag automatisch zusammengeführt:

Woozy schrieb:
Da, habs :bigok: Davon hatten wir einige...
Zum Vergrößern anklicken....
 
RcTomcat schrieb:
Erinnert mich etwas an die "Schnüffelchips auf Mainboard gefunden" Story von vor 2 Jahren.
Zum Vergrößern anklicken....
Dieses Thema ist übrigens diese Jahr nochmal neu hoch gekocht……

www.mactechnews.de

Spionage-Chips in Servern: Bloomberg legt nach – Verteidigungsministerium weiß angeblich seit 2010 davon

Fast hatte man die Geschichte vergessen, zweieinhalb Jahre später legt Bloomberg aber nach: Im großen Stile seien chinesische Spionage-Chips in Server-Hardware von Amazon, Apple, Intel und vielen weiteren Herstellern eingeschleust worden. Das US-Verteidigungsministerium wisse seit 2010 davon.
www.mactechnews.de www.mactechnews.de

www.borncity.com

Doch Super Micro Computer durch Spionage-Chips aus China infiltriert?

Wurden Super Micro Computer durch in China auf die Platinen aufgebrachte Spionage-Chips Bauteile per Lieferkettenangriff kompromittiert? Es ist ein altes Thema, welches mir aktuell wieder unter die…
www.borncity.com www.borncity.com
 
Spackibert schrieb:
Deshalb gibt es, wenn man darauf Wert legt, das Konzept des Probelesens durch einen Dritten. Wenn es einem aber scheissegal ist, wie bei AMI der Fall, dann druckt man halt millionenfach irgendwelchen Unfug.


Genau deshalb ist es ja besonders peinlich, weil man damit ganz besonders zeigt, dass es einem schlichtweg scheissegal ist.


Was ja kein Problem darstellen würde, wenn es die autistischen IT-Nerds, die dort arbeiten, hinbekämen. Da sie es in ihrem hochgradigem Autismus jedoch nicht hinbekommen, wären professionelle Spellchecker eben doch angebracht. Ausser es ist der Firma scheissegal 💁‍♀️
Zum Vergrößern anklicken....

Naja, scheiß egal wird es American Megatrands ;) nicht sein, jedoch handelt es sich auch nur um einen Aufkleber.
Es ist kein Handbuch oder irgendein Teil welches ein Endkunde jemals zu Gesicht bekäme -> dort wäre ein Fehler peinlicher.
Im Idealfall legt man natürlich überall die selben Qualitätsstandards an und prüft alle Komponenten/Bereiche mit der selben Sorgfalt. Die Realität sieht aber doch leider deutlich anders aus.
Autistisch muss man dafür nicht sein, wie der Fall ja zeigt ist es X Kunden und Testern ebenfalls nicht aufgefallen. Ich bezweifle auch das irgendeiner der "IT-Nerds" diesen Aufkleber jemals zu Gesicht bekommt. Die haben mit der Fertigung wenig zu tun.
Spackibert schrieb:
Man sollte alles Probelesen, was man millionenfach druckt.
Zum Vergrößern anklicken....

Ich stimme dir absolut zu. American Megatrends hätte durchaus Kosten gespart wenn der Fehler vor dem Druck bemerkt worden wäre. So musste man jetzt Pressesprecher, Kundenbetreuer und Co bemühen.
Effektiv entsteht jedoch kein weiterer Schaden durch die Verwendung des Aufklebers, daher kann ich die Herangehensweise von American Megatrends durchaus verstehen diese schlicht weiterhin zu verwenden. Wozu Müll produzieren wenn es doch nur ein Schreibfehler ist? Und sehen wir es doch einmal possitiv: Welcher Fälscher kommt schon auf die Idee das er den Namen der Firma absichtlich falsch schreiben muss um das Original zu imitieren? ;)
 
RcTomcat schrieb:
Es ist kein Handbuch oder irgendein Teil welches ein Endkunde jemals zu Gesicht bekäme
Zum Vergrößern anklicken....
Nun eben doch und zwar millionenfach über die Presse :)

RcTomcat schrieb:
daher kann ich die Herangehensweise von American Megatrends durchaus verstehen diese schlicht weiterhin zu verwenden. Wozu Müll produzieren
Zum Vergrößern anklicken....
Natürlich kann man die jetzt weiterverwenden. Es ist insgesamt aber trotzdem peinlich.
 
Es kommt immer auf die Kollegen an, die dafür zuständig sind.
Glaubt mir, manche Kollegen sind zwar Dipl. Ing., und Meister ihres Gebietes, aber wenn die schriftlich mit anderen Abteilungen kommunizieren, dann wirds gruselig.
 
RcTomcat schrieb:
Welcher Fälscher kommt schon auf die Idee das er den Namen der Firma absichtlich falsch schreiben muss um das Original zu imitieren?
Zum Vergrößern anklicken....
Das wird doch massenweise so gemacht, gerade wenn der Schriftzug auch geschützt ist, ein Buchstabe getauscht u. schon ist missbraucht man den geschützten Schriftzug nicht mehr.
frag mal Adidas wie viele Abwandlungen ihre Schriftzuges es gibt :haha:
 
RcTomcat schrieb:
Da direkt auf einen Manipulationsversuch zu schließen halte ich für gewagt.
Zum Vergrößern anklicken....
Vielleicht keine Manipulation im Sinne von "der Chip schnüffelt mit", aber es ist schon kurios insgesamt. Die Hersteller, gerade von solcher Hardware, verweisen immer auf eine gut geprüfte und abgesicherte Lieferkette (man hat ja solche Angst vor den Chinesen), aber dann kommt ein solcher Sticker über Jahre zum Einsatz? Ist schon kurios, ohne da jetzt komplett in eine Verschwörung einzutauchen.
 
Don schrieb:
Die Hersteller, gerade von solcher Hardware, verweisen immer auf eine gut geprüfte und abgesicherte Lieferkette
Zum Vergrößern anklicken....
was selbstverständlich eine blanke Marketing-Lüge ist

Don schrieb:
aber dann kommt ein solcher Sticker über Jahre zum Einsatz?
Zum Vergrößern anklicken....
Ja, weil es dem Hersteller scheissegal ist, ob sich seine Marketing-Lügen mit der Realität decken.

Don schrieb:
Ist schon kurios
Zum Vergrößern anklicken....
Es ist einfach nur lieblos und schluderig, wie so vieles heute
 
Eben ein Grund das noch einmal ins Bewusstsein zu rufen über die Story und unsere Berichterstattung darüber.
 
Andi 669 schrieb:
Das wird doch massenweise so gemacht, gerade wenn der Schriftzug auch geschützt ist, ein Buchstabe getauscht u. schon ist missbraucht man den geschützten Schriftzug nicht mehr.
frag mal Adidas wie viele Abwandlungen ihre Schriftzuges es gibt :haha:
Zum Vergrößern anklicken....
5 Jahre in China gelebt ;)
Kenne ich zu genüge.
Wobei eben ein einfacher Schreibfehler meist nicht geeignet ist um den Schutz eines Logos/Schriftzuges zu umgehen. Besonders wenn die Verwechslungsgefahr gegeben ist.

Don schrieb:
Vielleicht keine Manipulation im Sinne von "der Chip schnüffelt mit", aber es ist schon kurios insgesamt. Die Hersteller, gerade von solcher Hardware, verweisen immer auf eine gut geprüfte und abgesicherte Lieferkette (man hat ja solche Angst vor den Chinesen), aber dann kommt ein solcher Sticker über Jahre zum Einsatz? Ist schon kurios, ohne da jetzt komplett in eine Verschwörung einzutauchen.
Zum Vergrößern anklicken....
Natürlich ist das kurios und die Berichterstattung durchaus wichtig. Besonders die Reaktion von American Megatrends war ja interessant.
Die Lieferkette kann duchaus gut geprüft und überwacht werden, ein Aufkleber bleibt ein Aufkleber und wird vermutlich nur einmal schnell angeschaut worden sein wohingegen die Bauteile hoffentlich häufiger gründlich kontrolliert werden. Persönlich würde ich den Fokus auch eher auf die Hardware/Firmware selbst legen als auf einen Sticker.
Gut sieht der Fall nach außen auf jeden Fall nicht aus, da sind wir uns wohl alle einig. So lange wir irgendwo im Ausland entwickeln und fertigen lassen muss jedem das Risiko entsprechend bewusst sein.
 
RcTomcat schrieb:
Persönlich würde ich den Fokus auch eher auf die Hardware/Firmware selbst legen als auf einen Sticker.
Zum Vergrößern anklicken....
Das könnte man auch andersherum aufrollen: wenn man so betriebsblind ist, dass man jahrelang einen falschen Sticker übersieht, was hat man dann wohl noch so alles übersehen?
 
Spackibert schrieb:
Das könnte man auch andersherum aufrollen: wenn man so betriebsblind ist, dass man jahrelang einen falschen Sticker übersieht, was hat man dann wohl noch so alles übersehen?
Zum Vergrößern anklicken....
Chips und Firmware wird man hoffentlich nicht rein durch Menschen prüfen lassen. Röntgenaufnahmen von PCBs etc dürften ebenso wie Firmware maschinell geprüft werden.
Aber grundsätzlich hast du natürlich Recht, ein gutes Licht auf die Qualitätssicherungsprozesse wirft der Fall nicht.
 
Kein gutes Licht? Sehr peinlich trifft es wohl eher. Nicht nur für AMI, Dell oder HPE.
Denn sein wir ehrlich wie möchte man jetzt gefälschte Hardware von echter unterscheiden. Das es kann ja sein das der BMC von American Megatrands echt ist und die Fälschung von American Megatrends oder war es doch American Megatrunds?
Als Firmenkunden der sechstillige oder größere Summen in der Hand nimmt, muss man sich der sehr sicher sein.
Und als Endkunde sollte man sich durch aus Fragen. Ob man seine Daten einem Unternehmen anvertrauen sollte das auf so etwas Wert oder auch keinen legt. Wie stellt man den Unterschiedt fest. Reines Vertrauen im Moment.

Andereseits sorgen solche Fälle dafür, dass in Zukunft mehr auf sowas geachtet wird und die ganze Lieferkettensicherheit nun hoffentlich deutlich ernster genommen wird. Was sehr offensichtlich nach dem Supermicro Möchtergern Skandal ja nicht passiert ist. Übrigens hatte damals Patrick von STH darauf hingewiesen, dass die Sicherheit in der Lieferkette sehr wichtig um so etwas zu vermeiden.
 
"Aber selbst wenn die Akteure darüber informiert waren, wovon nach den Reaktionen nicht auszugehen ist, hätte man dann nicht schneller reagieren müssen? Die Aufkleber sogar austauschen müssen, anstatt sie für gültig zu erklären und weiterhin zu verkaufen?"

Na ja, ich lasse da mal die Kirche im Dorf. Die Sticker austauschen - dazu noch bei unzähligen Kunden die bereits noch unzähligere Systeme verbaut haben, ist jetzt auch nicht so die Brüller-Idee. Dass man aus der Not eine Tugend macht - na ja. Sei´s drum. Professionell wirkt das indes in der Tat nicht wirklich. Und in diesem Bereich erwartet der Kunde bei vorliegendem Preisgefüge nicht so ein Gefrickel.
 
tonythebuilder schrieb:
Kein gutes Licht? Sehr peinlich trifft es wohl eher. Nicht nur für AMI, Dell oder HPE.
Denn sein wir ehrlich wie möchte man jetzt gefälschte Hardware von echter unterscheiden. Das es kann ja sein das der BMC von American Megatrands echt ist und die Fälschung von American Megatrends oder war es doch American Megatrunds?
Als Firmenkunden der sechstillige oder größere Summen in der Hand nimmt, muss man sich der sehr sicher sein.
Und als Endkunde sollte man sich durch aus Fragen. Ob man seine Daten einem Unternehmen anvertrauen sollte das auf so etwas Wert oder auch keinen legt. Wie stellt man den Unterschiedt fest. Reines Vertrauen im Moment.

Andereseits sorgen solche Fälle dafür, dass in Zukunft mehr auf sowas geachtet wird und die ganze Lieferkettensicherheit nun hoffentlich deutlich ernster genommen wird. Was sehr offensichtlich nach dem Supermicro Möchtergern Skandal ja nicht passiert ist. Übrigens hatte damals Patrick von STH darauf hingewiesen, dass die Sicherheit in der Lieferkette sehr wichtig um so etwas zu vermeiden.
Zum Vergrößern anklicken....
Etwas übertrieben, findest du nicht?
Mir fällt kein Enterprise Kunde ein welcher jemals die Chips in der Hardware verifiziert hätte....Und da waren große Banken und Top 5 AGs/ Top 20 NASDAQ darunter.
Da wurde in einer Sandbox/ Testumgebung getestet, Verhalten über Monate analysiert, Firmware ausgelesen und die Checksummen geprüft aber NIEMALS ein einzelner Chip selbst getestet. In 99,9% der Fälle wurde die Hardware auch nicht geöffnet, der Aufkleber hätte also nie Tageslicht gesehen.

Als Endkunde wirst du NIEMALS in der Lage sein einen gut gefälschten Chip von einem originalen zu unterscheiden. Wenn beide das selbe Verhalten zeigen und möglichst noch die original Firmware verwenden besteht keinerlei Möglichkeit eine Fälschung zu erkennen. Die Prüfung eines einzelnen Chips würde 99% der Unternehmen vor ein unlösbares Problem stellen. Bei Hardware musst du dem Hersteller leider vertrauen, das lässt sich nicht ändern.
Die Firmware des Geräts kann man noch prüfen, von einzelnen Chips wiederum meist nicht. Daher muss man zwangsläufig Dell, CISCO und Co vertrauen. Was die genau verbaut haben kann keiner wissen und beurteilen. Ob nun der Aufkleber einen Schreibfehler hat oder nicht ist mir als Endkunde doch völlig egal, wichtig ist die Hardware selbst. Siehe auch das Bild oben mit Malalaysia von Woozy. Das ist nur ein Typo, wurde doch so auch durch American Megatrends bestätigt.

Es geht hier um einen Aufkleber, das dürfte von allen Teilen in dem Switch noch die einfachste Fälschung sein. Wer einen Chip fälscht und diesen im großen Stil verkauft wird vermutlich auch in der Lage sein einen passenden Aufkleber produzieren zu lassen. Oder schützt der adidas/ Nike Schriftzug irgendein T-Shirt vor der Fälschung?
Im Zweifelsfall finde ich jemanden der mir die passenden Originalaufkleber verkauft. An einem Aufkleber kann man daher nicht festmachen ob es sich um Originalware handelt oder nicht. Wenn irgendjemand mit sechsstelligem Budget oder höher dies wirklich an Aufklebern festmacht so nenne mir diese Kunden. Ich kann da sicherlich auch "Originalware" basteln, die Druckerei meines Vertrauens liefert mir sicherlich den Aufkleber in jeder gewünschten Schreibweise.

Der Fehler sieht natürlich unschön aus für American Megatrends da er Fragen hinsichtlich des Qualitätsmanagements selbst aufwirft. Wenn ich das aber mit "vergessenen" Debug-Zugängen in Cisco Switch-Firmware und dergleichen anderer Vorfälle in der Vergangenheit vergleiche so ist das doch schlicht ein Witz. Eventuell ist der Aufkleber noch nichtmal Bestandteil des Qualitätsmanagements...Das wäre natürlich auch komisch da er ja "ist original" vermitteln soll, jedoch ist er eben auch ein absolut unwichtiges "Bauteil" und könnte dadurch schlicht vergessen worden sein. Sofern Chips, Software und Co sauber geprüft werden können die ihren Markennamen meiner Meinung nach schreiben wie sie wollen. Comic Sans, kursiv und rückwärts, mir völlig egal solange das Gerät selbst einwandfrei funktioniert und geprüft wurde.
Nach dem PR Disaster dürfte sich bei American Megatrends durchaus auch etwas ändern und die Überprüfungen etwas genauer werden.

Bezüglich SuperMicro:
Da gab es ja auch keinen Skandal, alle Prüfungen durch SuperMicro waren mehr als ausreichend. Was hätte man also ändern sollen? Ein neuer Chip und Änderungen am PCB wären beim Röntgen bzw der visuellen Kontrolle durch Maschinen aufgefallen. Bis heute gibt es nur Behauptungen von "anonymen Quellen", keinerlei Boards mit Schnüffelchip wurden jemals gesehen.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh