Intel раскрыла призрак, Meltdown для китайских компаний перед правительством США

Реакция Intel на Specter и Meltdown была, в балансе, довольно хорошей. Хотя первоначальный PR компании по этому вопросу оставил желать лучшего, он последовал за гораздо более четким сообщением о масштабах проблемы. Фактическое развертывание решений было медленным и гибким, но этого следует ожидать при решении такой сложной проблемы, особенно с учетом количества участников, которые сотрудничают с полевыми решениями.

Однако одно решение, принятое компанией, могло вернуться, чтобы укусить его. Согласно Wall Street Journal, Intel уведомила небольшую группу клиентов, в том числе несколько китайских компаний, прежде чем она появилась в правительстве США. Фактически, некоторые американские агентства были «включены» публичными отчетами, а не каким-либо процессом уведомления о предварительном раскрытии.

Сегодняшняя история о готовности администрации Trump рассмотреть вопрос о национализации сети 5G в качестве средства обеспечения активов США против иностранных государств, в том числе в Китае, подчеркнула одну область, в которой политика национальной безопасности и экономическая политика не всегда согласованно. Поведение Intel в предупреждении китайских компаний перед правительством США является еще одной иллюстрацией того же. В настоящее время нет никаких указаний на то, что информация была использована неправильно или что какой-либо вред наступил, но это пример того, как иногда лучшие корпоративные политики (в данном случае, обмен информацией с основными партнерами) не всегда являются лучшей политикой национальной безопасности ( обновление правительства США или других компаний о наличии недостатков безопасности).

Meltdown и Spectre уникально подходят для освещения таких проблем, потому что они не так уж далеки от гипотетических наихудших сценариев. Это недостатки, которые в некоторых случаях влияют на процессоры, идущие назад десятилетиями. Причина, по которой вы видите разные сроки, зависит от того, какой вариант ошибки и степень риска, но в совокупности, большинство процессоров Intel с тех пор, как Pentium Pro затронуто. Атом 2008 года, основанный на микроархитектуре Bonnell, может и не быть, поскольку он декодирует и в основном выполняет собственные инструкции x86, но это немного отличается от внешнего. (Более подробно на WikiChip, для тех из вас, кто интересуется необычными возможностями декодера маломощного процессора x86 с 2008 года).

Проблема, по словам Джейка Уильямса из Rendition InfoSec LLC, заключается в том, что эти недостатки могут быть использованы для сбора информации из центров обработки данных и облачных провайдеров, и китайское правительство сразу же узнает о проблемах, поскольку власти там регулярно контролируют все коммуникации. Уильямс утверждает, что существует «почти уверенность», что китайцы знали об этой проблеме - и с исправлениями, которые все еще продолжаются, возможно, что эксплойты могут появиться до того, как исправлены исправления ошибок.

Способ распространения информации о недостатках оставил плохой вкус во рту многих поставщиков по нескольким причинам. В июне прошлого года некоторым участникам было известно, что проблема существует, и, вероятно, именно поэтому Intel успела исправить решение в своих предстоящих 10-нм микросхемах, но другие компании не знали, до того, как в начале этого месяца начали появляться истории. Intel (и предположительно AMD и ARM) работали с такими компаниями, как Google, в течение нескольких месяцев, но заметки WSJ. Joyent, принадлежащий Samsung поставщик облачных услуг, не знал, что что-то не так. Также не было Rackspace или DigitalOcean.

Джейк - Никакой нюанс моего ответа. Никаких адвокатских оговорок. NSA не знали об этих недостатках и не использовали их. Я не ставил доброе имя на линии. Я понимаю, что вы не склонны верить, 1/2.
- Роб Джойс (@ RobJoyce45) 13 января 2018 года

Власти Департамента внутренней безопасности сообщили WSJ, что они узнали об ошибках 3 января, от публичной отчетности. NSA также заявила, что в недвусмысленном виде у него не было никакой информации. Призрак или Meltdown существовали.

Не следует ожидать, что органы национальной безопасности раскроют каждый недостаток, о котором они знают, но НСУ поставили перед ним сильную позицию. Lenovo, Microsoft и Amazon, помимо Google, также были осведомлены о проблемах (Google заявила, что она известна к июню 2017 года), а также Alibaba в Китае. Отсутствие координации с агентствами США привело к тому, что US-CERT изначально выносила неправильное руководство. Сначала организация заявила, что компаниям и заказчикам придется заменить поврежденные чипы Intel, прежде чем исправлять это руководство, чтобы предложить исправления программного обеспечения.

Сравнение между Meltdown и Spectre. Из этой презентации, через Rendition InfoSec

Первоначальный график раскрытия информации Intel был откалиброван 9 января, когда выставка Consumer Electronics Show была бы в самом разгаре. 3 января обнародовало, несомненно, сложную работу по смягчению последствий, но решение не зацикливаться в NSA или DHS было бы преднамеренным. Intel не обнаруживает ошибок процессора, которые влияют на большинство процессоров, которые он отправляет в течение 23 лет, и забывает уведомлять правительство США.

Отношения между Силиконовой Долиной и правительством США были в течение многих лет, особенно после утечек снежного покрова, но действительно удивительно, что Intel не уведомила DHS или NSA. В настоящее время никаких разъяснений относительно действий компании нет.

Читать далее

Рябь раскрывает древние глобальные мегававодки на Марсе

Intel раскрыла призрак, Meltdown для китайских компаний перед правительством США

Читать далее

Рябь раскрывает древние глобальные мегававодки на Марсе

Google раскрывает уязвимость iPhone, которая может украсть данные через Wi-Fi

Intel раскрывает цену, позиционирование и возможности разгона Rocket Lake

AMD раскрывает призванную уязвимость в CPU в Цен 3