Intel раскрыла призрак, Meltdown для китайских компаний перед правительством США

Intel раскрыла призрак, Meltdown для китайских компаний перед правительством США

Реакция Intel на Specter и Meltdown была, в балансе, довольно хорошей. Хотя первоначальный PR компании по этому вопросу оставил желать лучшего, он последовал за гораздо более четким сообщением о масштабах проблемы. Фактическое развертывание решений было медленным и гибким, но этого следует ожидать при решении такой сложной проблемы, особенно с учетом количества участников, которые сотрудничают с полевыми решениями.

Однако одно решение, принятое компанией, могло вернуться, чтобы укусить его. Согласно Wall Street Journal, Intel уведомила небольшую группу клиентов, в том числе несколько китайских компаний, прежде чем она появилась в правительстве США. Фактически, некоторые американские агентства были «включены» публичными отчетами, а не каким-либо процессом уведомления о предварительном раскрытии.

Сегодняшняя история о готовности администрации Trump рассмотреть вопрос о национализации сети 5G в качестве средства обеспечения активов США против иностранных государств, в том числе в Китае, подчеркнула одну область, в которой политика национальной безопасности и экономическая политика не всегда согласованно. Поведение Intel в предупреждении китайских компаний перед правительством США является еще одной иллюстрацией того же. В настоящее время нет никаких указаний на то, что информация была использована неправильно или что какой-либо вред наступил, но это пример того, как иногда лучшие корпоративные политики (в данном случае, обмен информацией с основными партнерами) не всегда являются лучшей политикой национальной безопасности ( обновление правительства США или других компаний о наличии недостатков безопасности).

Meltdown и Spectre уникально подходят для освещения таких проблем, потому что они не так уж далеки от гипотетических наихудших сценариев. Это недостатки, которые в некоторых случаях влияют на процессоры, идущие назад десятилетиями. Причина, по которой вы видите разные сроки, зависит от того, какой вариант ошибки и степень риска, но в совокупности, большинство процессоров Intel с тех пор, как Pentium Pro затронуто. Атом 2008 года, основанный на микроархитектуре Bonnell, может и не быть, поскольку он декодирует и в основном выполняет собственные инструкции x86, но это немного отличается от внешнего. (Более подробно на WikiChip, для тех из вас, кто интересуется необычными возможностями декодера маломощного процессора x86 с 2008 года).

Проблема, по словам Джейка Уильямса из Rendition InfoSec LLC, заключается в том, что эти недостатки могут быть использованы для сбора информации из центров обработки данных и облачных провайдеров, и китайское правительство сразу же узнает о проблемах, поскольку власти там регулярно контролируют все коммуникации. Уильямс утверждает, что существует «почти уверенность», что китайцы знали об этой проблеме - и с исправлениями, которые все еще продолжаются, возможно, что эксплойты могут появиться до того, как исправлены исправления ошибок.

Способ распространения информации о недостатках оставил плохой вкус во рту многих поставщиков по нескольким причинам. В июне прошлого года некоторым участникам было известно, что проблема существует, и, вероятно, именно поэтому Intel успела исправить решение в своих предстоящих 10-нм микросхемах, но другие компании не знали, до того, как в начале этого месяца начали появляться истории. Intel (и предположительно AMD и ARM) работали с такими компаниями, как Google, в течение нескольких месяцев, но заметки WSJ. Joyent, принадлежащий Samsung поставщик облачных услуг, не знал, что что-то не так. Также не было Rackspace или DigitalOcean.

Джейк - Никакой нюанс моего ответа. Никаких адвокатских оговорок. NSA не знали об этих недостатках и не использовали их. Я не ставил доброе имя на линии. Я понимаю, что вы не склонны верить, 1/2.

- Роб Джойс (@ RobJoyce45) 13 января 2018 года

Власти Департамента внутренней безопасности сообщили WSJ, что они узнали об ошибках 3 января, от публичной отчетности. NSA также заявила, что в недвусмысленном виде у него не было никакой информации. Призрак или Meltdown существовали.

Не следует ожидать, что органы национальной безопасности раскроют каждый недостаток, о котором они знают, но НСУ поставили перед ним сильную позицию. Lenovo, Microsoft и Amazon, помимо Google, также были осведомлены о проблемах (Google заявила, что она известна к июню 2017 года), а также Alibaba в Китае. Отсутствие координации с агентствами США привело к тому, что US-CERT изначально выносила неправильное руководство. Сначала организация заявила, что компаниям и заказчикам придется заменить поврежденные чипы Intel, прежде чем исправлять это руководство, чтобы предложить исправления программного обеспечения.

Сравнение между Meltdown и Spectre. Из этой презентации, через Rendition InfoSec
Сравнение между Meltdown и Spectre. Из этой презентации, через Rendition InfoSec

Первоначальный график раскрытия информации Intel был откалиброван 9 января, когда выставка Consumer Electronics Show была бы в самом разгаре. 3 января обнародовало, несомненно, сложную работу по смягчению последствий, но решение не зацикливаться в NSA или DHS было бы преднамеренным. Intel не обнаруживает ошибок процессора, которые влияют на большинство процессоров, которые он отправляет в течение 23 лет, и забывает уведомлять правительство США.

Отношения между Силиконовой Долиной и правительством США были в течение многих лет, особенно после утечек снежного покрова, но действительно удивительно, что Intel не уведомила DHS или NSA. В настоящее время никаких разъяснений относительно действий компании нет.

Читать далее

Chromebook увеличивает долю рынка по мере перехода образования в Интернет
Chromebook увеличивает долю рынка по мере перехода образования в Интернет

Продажи Chromebook резко выросли из-за пандемии: продажи выросли на 90 процентов, и ожидается рост в будущем. Это создает некоторые проблемы для таких компаний, как Microsoft.

Обзор: Oculus Quest 2 может стать переломным моментом для массового внедрения VR
Обзор: Oculus Quest 2 может стать переломным моментом для массового внедрения VR

Oculus Quest 2 теперь доступен, и это улучшение по сравнению с оригиналом во всех отношениях. И все же это на 100 долларов дешевле, чем последний выпуск. Проведя некоторое время с Quest 2, я считаю, что мы можем оглянуться на него как на гарнитуру, которая наконец сделала VR доступной для массовых потребителей.

Новая серия AMD Radeon RX 6000 оптимизирована для борьбы с амперами
Новая серия AMD Radeon RX 6000 оптимизирована для борьбы с амперами

AMD представила серию RX 6000 сегодня. Впервые с момента покупки ATI в 2006 году использование графических процессоров AMD на платформах AMD даст определенные преимущества.

Зонд "Вояджер-2" ведет переговоры с модернизированной сетью НАСА после 8 месяцев молчания
Зонд "Вояджер-2" ведет переговоры с модернизированной сетью НАСА после 8 месяцев молчания

НАСА только что поздоровалось с "Вояджером-2", и зонд сказал это в ответ.