Intel раскрыла призрак, Meltdown для китайских компаний перед правительством США

Intel раскрыла призрак, Meltdown для китайских компаний перед правительством США

Реакция Intel на Specter и Meltdown была, в балансе, довольно хорошей. Хотя первоначальный PR компании по этому вопросу оставил желать лучшего, он последовал за гораздо более четким сообщением о масштабах проблемы. Фактическое развертывание решений было медленным и гибким, но этого следует ожидать при решении такой сложной проблемы, особенно с учетом количества участников, которые сотрудничают с полевыми решениями.

Однако одно решение, принятое компанией, могло вернуться, чтобы укусить его. Согласно Wall Street Journal, Intel уведомила небольшую группу клиентов, в том числе несколько китайских компаний, прежде чем она появилась в правительстве США. Фактически, некоторые американские агентства были «включены» публичными отчетами, а не каким-либо процессом уведомления о предварительном раскрытии.

Сегодняшняя история о готовности администрации Trump рассмотреть вопрос о национализации сети 5G в качестве средства обеспечения активов США против иностранных государств, в том числе в Китае, подчеркнула одну область, в которой политика национальной безопасности и экономическая политика не всегда согласованно. Поведение Intel в предупреждении китайских компаний перед правительством США является еще одной иллюстрацией того же. В настоящее время нет никаких указаний на то, что информация была использована неправильно или что какой-либо вред наступил, но это пример того, как иногда лучшие корпоративные политики (в данном случае, обмен информацией с основными партнерами) не всегда являются лучшей политикой национальной безопасности ( обновление правительства США или других компаний о наличии недостатков безопасности).

Meltdown и Spectre уникально подходят для освещения таких проблем, потому что они не так уж далеки от гипотетических наихудших сценариев. Это недостатки, которые в некоторых случаях влияют на процессоры, идущие назад десятилетиями. Причина, по которой вы видите разные сроки, зависит от того, какой вариант ошибки и степень риска, но в совокупности, большинство процессоров Intel с тех пор, как Pentium Pro затронуто. Атом 2008 года, основанный на микроархитектуре Bonnell, может и не быть, поскольку он декодирует и в основном выполняет собственные инструкции x86, но это немного отличается от внешнего. (Более подробно на WikiChip, для тех из вас, кто интересуется необычными возможностями декодера маломощного процессора x86 с 2008 года).

Проблема, по словам Джейка Уильямса из Rendition InfoSec LLC, заключается в том, что эти недостатки могут быть использованы для сбора информации из центров обработки данных и облачных провайдеров, и китайское правительство сразу же узнает о проблемах, поскольку власти там регулярно контролируют все коммуникации. Уильямс утверждает, что существует «почти уверенность», что китайцы знали об этой проблеме - и с исправлениями, которые все еще продолжаются, возможно, что эксплойты могут появиться до того, как исправлены исправления ошибок.

Способ распространения информации о недостатках оставил плохой вкус во рту многих поставщиков по нескольким причинам. В июне прошлого года некоторым участникам было известно, что проблема существует, и, вероятно, именно поэтому Intel успела исправить решение в своих предстоящих 10-нм микросхемах, но другие компании не знали, до того, как в начале этого месяца начали появляться истории. Intel (и предположительно AMD и ARM) работали с такими компаниями, как Google, в течение нескольких месяцев, но заметки WSJ. Joyent, принадлежащий Samsung поставщик облачных услуг, не знал, что что-то не так. Также не было Rackspace или DigitalOcean.

Джейк - Никакой нюанс моего ответа. Никаких адвокатских оговорок. NSA не знали об этих недостатках и не использовали их. Я не ставил доброе имя на линии. Я понимаю, что вы не склонны верить, 1/2.

- Роб Джойс (@ RobJoyce45) 13 января 2018 года

Власти Департамента внутренней безопасности сообщили WSJ, что они узнали об ошибках 3 января, от публичной отчетности. NSA также заявила, что в недвусмысленном виде у него не было никакой информации. Призрак или Meltdown существовали.

Не следует ожидать, что органы национальной безопасности раскроют каждый недостаток, о котором они знают, но НСУ поставили перед ним сильную позицию. Lenovo, Microsoft и Amazon, помимо Google, также были осведомлены о проблемах (Google заявила, что она известна к июню 2017 года), а также Alibaba в Китае. Отсутствие координации с агентствами США привело к тому, что US-CERT изначально выносила неправильное руководство. Сначала организация заявила, что компаниям и заказчикам придется заменить поврежденные чипы Intel, прежде чем исправлять это руководство, чтобы предложить исправления программного обеспечения.

Сравнение между Meltdown и Spectre. Из этой презентации, через Rendition InfoSec
Сравнение между Meltdown и Spectre. Из этой презентации, через Rendition InfoSec

Первоначальный график раскрытия информации Intel был откалиброван 9 января, когда выставка Consumer Electronics Show была бы в самом разгаре. 3 января обнародовало, несомненно, сложную работу по смягчению последствий, но решение не зацикливаться в NSA или DHS было бы преднамеренным. Intel не обнаруживает ошибок процессора, которые влияют на большинство процессоров, которые он отправляет в течение 23 лет, и забывает уведомлять правительство США.

Отношения между Силиконовой Долиной и правительством США были в течение многих лет, особенно после утечек снежного покрова, но действительно удивительно, что Intel не уведомила DHS или NSA. В настоящее время никаких разъяснений относительно действий компании нет.

Читать далее

Должен ли Spectre, Meltdown быть Death Knell для стандарта x86?
Должен ли Spectre, Meltdown быть Death Knell для стандарта x86?

Spectre и Meltdown являются серьезными недостатками процессора, но оправдывают ли они выброс всей модели CPU с закрытым исходным кодом?

Microsoft Pulls Specter, Meltdown Patches для более старых систем AMD
Microsoft Pulls Specter, Meltdown Patches для более старых систем AMD

Microsoft остановила распространение патчей для Spectre, Meltdown на некоторых системах AMD из-за проблем с BSOD и кирпичными системами.

AMD выпускает обновленное руководство по управлению рисками на Meltdown, Spectre
AMD выпускает обновленное руководство по управлению рисками на Meltdown, Spectre

AMD прояснила свои слабости от Spectre и Meltdown. Через неделю все не так радужно, как надеялись AMD.

Intel выпускает обновления для Meltdown, проблемы с загрузкой Spectre на более старых платформах
Intel выпускает обновления для Meltdown, проблемы с загрузкой Spectre на более старых платформах

Первоначальные исправления Meltdown и Spectre от Intel для более старых систем вызвали частые перезагрузки и другие проблемы. Компания думает, что она прибила эти проблемы.