Сноуден против Marvell: история одного бекдора

Artifact · #1 04-17-2025, 05:38 PM

Готовы к новым разоблачениям от Сноудена?

Компания Cavium, производитель полупроводников, которую в 2018 году приобрела Marvell, была якобы идентифицирована в документах, утекших в 2013 году благодаря Эдварду Сноудену, как поставщик полупроводников с бекдорами для американской разведки. Marvell отрицает, что она или Cavium устанавливали бекдоры в продукцию по просьбе правительства США.
Обвинения появились в докторской диссертации доктора Якоба Аппельбаума "Коммуникация в мире всеобщего наблюдения: Источники и методы: Контрстратегии против архитектуры всеобщего наблюдения". Диссертация Аппельбаума была опубликована в марте 2022 года и не привлекла особого внимания общественности до тех пор, пока о ней не упомянули в блоге по безопасности Electrospaces.net на прошлой неделе .
В своей диссертации, на странице 71, в сноске 21, говорится: "Работая над документами из архива Сноудена, автор диссертации узнал, что американский производитель полупроводниковых процессоров по имени Cavium указан как успешный поставщик процессоров с функцией SIGINT. Случайно это был тот же процессор, который был в роутере автора (UniFi USG3). Весь архив Сноудена должен быть открыт для научных исследователей, чтобы лучше понимать историю такого поведения."
В 2012 году Аппельбаум работал журналистом-расследователем и техническим экспертом вместе с документалистом Лорой Пойтрас над утечкой информации о Сноудене. Он покинул проект Tor в 2016 году из-за спорных обвинений и впоследствии поступил в Эйндховенский технологический университет в Нидерландах, где работает научным сотрудником в области компьютерных наук и криптографии.
Из диссертации следует, что по крайней мере некоторая продукция Cavium в какой-то момент содержала бекдор, полезный для американской разведки. Marvell оспаривает факт наличия бекдора.
"Marvell придает наивысший приоритет безопасности своей продукции", - сказал представитель компании. "Marvell не устанавливает, и Cavium не устанавливал, бекдоры для какого-либо правительства."
В телефонном разговоре Аппельбаум сказал The Register: "Marvell отвечает на вопрос, который никто не задавал." Он объяснил далее в письме, что Marvell могла случайно установить бекдор в свое оборудование, реализовав слабые и уязвимые алгоритмы, такие как печально известный Dual EC DRBG , который продвигало правительства США, чтобы его принимали поставщики и развертывали для шпионажа.