Intel раскрыла призрак, Meltdown для китайских компаний перед правительством США

Intel раскрыла призрак, Meltdown для китайских компаний перед правительством США

Реакция Intel на Specter и Meltdown была, в балансе, довольно хорошей. Хотя первоначальный PR компании по этому вопросу оставил желать лучшего, он последовал за гораздо более четким сообщением о масштабах проблемы. Фактическое развертывание решений было медленным и гибким, но этого следует ожидать при решении такой сложной проблемы, особенно с учетом количества участников, которые сотрудничают с полевыми решениями.

Однако одно решение, принятое компанией, могло вернуться, чтобы укусить его. Согласно Wall Street Journal, Intel уведомила небольшую группу клиентов, в том числе несколько китайских компаний, прежде чем она появилась в правительстве США. Фактически, некоторые американские агентства были «включены» публичными отчетами, а не каким-либо процессом уведомления о предварительном раскрытии.

Сегодняшняя история о готовности администрации Trump рассмотреть вопрос о национализации сети 5G в качестве средства обеспечения активов США против иностранных государств, в том числе в Китае, подчеркнула одну область, в которой политика национальной безопасности и экономическая политика не всегда согласованно. Поведение Intel в предупреждении китайских компаний перед правительством США является еще одной иллюстрацией того же. В настоящее время нет никаких указаний на то, что информация была использована неправильно или что какой-либо вред наступил, но это пример того, как иногда лучшие корпоративные политики (в данном случае, обмен информацией с основными партнерами) не всегда являются лучшей политикой национальной безопасности ( обновление правительства США или других компаний о наличии недостатков безопасности).

Meltdown и Spectre уникально подходят для освещения таких проблем, потому что они не так уж далеки от гипотетических наихудших сценариев. Это недостатки, которые в некоторых случаях влияют на процессоры, идущие назад десятилетиями. Причина, по которой вы видите разные сроки, зависит от того, какой вариант ошибки и степень риска, но в совокупности, большинство процессоров Intel с тех пор, как Pentium Pro затронуто. Атом 2008 года, основанный на микроархитектуре Bonnell, может и не быть, поскольку он декодирует и в основном выполняет собственные инструкции x86, но это немного отличается от внешнего. (Более подробно на WikiChip, для тех из вас, кто интересуется необычными возможностями декодера маломощного процессора x86 с 2008 года).

Проблема, по словам Джейка Уильямса из Rendition InfoSec LLC, заключается в том, что эти недостатки могут быть использованы для сбора информации из центров обработки данных и облачных провайдеров, и китайское правительство сразу же узнает о проблемах, поскольку власти там регулярно контролируют все коммуникации. Уильямс утверждает, что существует «почти уверенность», что китайцы знали об этой проблеме - и с исправлениями, которые все еще продолжаются, возможно, что эксплойты могут появиться до того, как исправлены исправления ошибок.

Способ распространения информации о недостатках оставил плохой вкус во рту многих поставщиков по нескольким причинам. В июне прошлого года некоторым участникам было известно, что проблема существует, и, вероятно, именно поэтому Intel успела исправить решение в своих предстоящих 10-нм микросхемах, но другие компании не знали, до того, как в начале этого месяца начали появляться истории. Intel (и предположительно AMD и ARM) работали с такими компаниями, как Google, в течение нескольких месяцев, но заметки WSJ. Joyent, принадлежащий Samsung поставщик облачных услуг, не знал, что что-то не так. Также не было Rackspace или DigitalOcean.

Джейк - Никакой нюанс моего ответа. Никаких адвокатских оговорок. NSA не знали об этих недостатках и не использовали их. Я не ставил доброе имя на линии. Я понимаю, что вы не склонны верить, 1/2.

- Роб Джойс (@ RobJoyce45) 13 января 2018 года

Власти Департамента внутренней безопасности сообщили WSJ, что они узнали об ошибках 3 января, от публичной отчетности. NSA также заявила, что в недвусмысленном виде у него не было никакой информации. Призрак или Meltdown существовали.

Не следует ожидать, что органы национальной безопасности раскроют каждый недостаток, о котором они знают, но НСУ поставили перед ним сильную позицию. Lenovo, Microsoft и Amazon, помимо Google, также были осведомлены о проблемах (Google заявила, что она известна к июню 2017 года), а также Alibaba в Китае. Отсутствие координации с агентствами США привело к тому, что US-CERT изначально выносила неправильное руководство. Сначала организация заявила, что компаниям и заказчикам придется заменить поврежденные чипы Intel, прежде чем исправлять это руководство, чтобы предложить исправления программного обеспечения.

Сравнение между Meltdown и Spectre. Из этой презентации, через Rendition InfoSec
Сравнение между Meltdown и Spectre. Из этой презентации, через Rendition InfoSec

Первоначальный график раскрытия информации Intel был откалиброван 9 января, когда выставка Consumer Electronics Show была бы в самом разгаре. 3 января обнародовало, несомненно, сложную работу по смягчению последствий, но решение не зацикливаться в NSA или DHS было бы преднамеренным. Intel не обнаруживает ошибок процессора, которые влияют на большинство процессоров, которые он отправляет в течение 23 лет, и забывает уведомлять правительство США.

Отношения между Силиконовой Долиной и правительством США были в течение многих лет, особенно после утечек снежного покрова, но действительно удивительно, что Intel не уведомила DHS или NSA. В настоящее время никаких разъяснений относительно действий компании нет.

Читать далее

Новые изображения Юпитера из зонда Юноны раскрывают удивительную деталь

В паре недавно выпущенных изображений вы можете увидеть беспрецедентное количество деталей в облаках Юпитера, и оба они были созданы учеными-гражданами.

Наложение очков на молитвенный богомол раскрывает новую форму 3D Vision

Насекомые видят мир совсем иначе, чем мы, но исследователи из Университета Ньюкасла в Великобритании теперь говорят, что молящийся богомол обладает одним важным элементом человеческого видения: он может видеть в 3D, несмотря на наличие сравнительно крошечного мозга.

Intel не раскрыла Призрак, Meltdown для правительства США, пока не появилась публикация

Intel теперь признала, что решила не сообщать правительству США о Meltdown или Spectre, предпочитая вместо этого публиковать новости. У него не было таких сомнений в предупреждении других клиентов.

Juno Probe раскрывает восьмиугольный вихревой кластер Юпитера и глубокие облачные полосы

Зонд Juno NASA находится на орбите Юпитера с 2016 года, отправив назад захватывающие изображения и данные с самой большой планеты солнечной системы. В последнем наборе открытий Юнона раскрывает дикий восьмиугольный шторм на северном полюсе Юпитера и глубине знаковых полос планеты.