Kein gutes Licht? Sehr peinlich trifft es wohl eher. Nicht nur für AMI, Dell oder HPE.
Denn sein wir ehrlich wie möchte man jetzt gefälschte Hardware von echter unterscheiden. Das es kann ja sein das der BMC von American Megatrands echt ist und die Fälschung von American Megatrends oder war es doch American Megatrunds?
Als Firmenkunden der sechstillige oder größere Summen in der Hand nimmt, muss man sich der sehr sicher sein.
Und als Endkunde sollte man sich durch aus Fragen. Ob man seine Daten einem Unternehmen anvertrauen sollte das auf so etwas Wert oder auch keinen legt. Wie stellt man den Unterschiedt fest. Reines Vertrauen im Moment.
Andereseits sorgen solche Fälle dafür, dass in Zukunft mehr auf sowas geachtet wird und die ganze Lieferkettensicherheit nun hoffentlich deutlich ernster genommen wird. Was sehr offensichtlich nach dem Supermicro Möchtergern Skandal ja nicht passiert ist. Übrigens hatte damals Patrick von STH darauf hingewiesen, dass die Sicherheit in der Lieferkette sehr wichtig um so etwas zu vermeiden.
Etwas übertrieben, findest du nicht?
Mir fällt kein Enterprise Kunde ein welcher jemals die Chips in der Hardware verifiziert hätte....Und da waren große Banken und Top 5 AGs/ Top 20 NASDAQ darunter.
Da wurde in einer Sandbox/ Testumgebung getestet, Verhalten über Monate analysiert, Firmware ausgelesen und die Checksummen geprüft aber NIEMALS ein einzelner Chip selbst getestet. In 99,9% der Fälle wurde die Hardware auch nicht geöffnet, der Aufkleber hätte also nie Tageslicht gesehen.
Als Endkunde wirst du NIEMALS in der Lage sein einen gut gefälschten Chip von einem originalen zu unterscheiden. Wenn beide das selbe Verhalten zeigen und möglichst noch die original Firmware verwenden besteht keinerlei Möglichkeit eine Fälschung zu erkennen. Die Prüfung eines einzelnen Chips würde 99% der Unternehmen vor ein unlösbares Problem stellen. Bei Hardware musst du dem Hersteller leider vertrauen, das lässt sich nicht ändern.
Die Firmware des Geräts kann man noch prüfen, von einzelnen Chips wiederum meist nicht. Daher muss man zwangsläufig Dell, CISCO und Co vertrauen. Was die genau verbaut haben kann keiner wissen und beurteilen. Ob nun der Aufkleber einen Schreibfehler hat oder nicht ist mir als Endkunde doch völlig egal, wichtig ist die Hardware selbst. Siehe auch das Bild oben mit Malalaysia von Woozy. Das ist nur ein Typo, wurde doch so auch durch American Megatrends bestätigt.
Es geht hier um einen Aufkleber, das dürfte von allen Teilen in dem Switch noch die einfachste Fälschung sein. Wer einen Chip fälscht und diesen im großen Stil verkauft wird vermutlich auch in der Lage sein einen passenden Aufkleber produzieren zu lassen. Oder schützt der adidas/ Nike Schriftzug irgendein T-Shirt vor der Fälschung?
Im Zweifelsfall finde ich jemanden der mir die passenden Originalaufkleber verkauft. An einem Aufkleber kann man daher nicht festmachen ob es sich um Originalware handelt oder nicht. Wenn irgendjemand mit sechsstelligem Budget oder höher dies wirklich an Aufklebern festmacht so nenne mir diese Kunden. Ich kann da sicherlich auch "Originalware" basteln, die Druckerei meines Vertrauens liefert mir sicherlich den Aufkleber in jeder gewünschten Schreibweise.
Der Fehler sieht natürlich unschön aus für American Megatrends da er Fragen hinsichtlich des Qualitätsmanagements selbst aufwirft. Wenn ich das aber mit "vergessenen" Debug-Zugängen in Cisco Switch-Firmware und dergleichen anderer Vorfälle in der Vergangenheit vergleiche so ist das doch schlicht ein Witz. Eventuell ist der Aufkleber noch nichtmal Bestandteil des Qualitätsmanagements...Das wäre natürlich auch komisch da er ja "ist original" vermitteln soll, jedoch ist er eben auch ein absolut unwichtiges "Bauteil" und könnte dadurch schlicht vergessen worden sein. Sofern Chips, Software und Co sauber geprüft werden können die ihren Markennamen meiner Meinung nach schreiben wie sie wollen. Comic Sans, kursiv und rückwärts, mir völlig egal solange das Gerät selbst einwandfrei funktioniert und geprüft wurde.
Nach dem PR Disaster dürfte sich bei American Megatrends durchaus auch etwas ändern und die Überprüfungen etwas genauer werden.
Bezüglich SuperMicro:
Da gab es ja auch keinen Skandal, alle Prüfungen durch SuperMicro waren mehr als ausreichend. Was hätte man also ändern sollen? Ein neuer Chip und Änderungen am PCB wären beim Röntgen bzw der visuellen Kontrolle durch Maschinen aufgefallen. Bis heute gibt es nur Behauptungen von "anonymen Quellen", keinerlei Boards mit Schnüffelchip wurden jemals gesehen.