Intel не раскрыла Призрак, Meltdown для правительства США, пока не появилась публикация

Intel не раскрыла Призрак, Meltdown для правительства США, пока не появилась публикация

Intel находится под огнем за то, что не смог раскрыть Spectre и Meltdown правительству США после того, как он услышал об атаках в июне. Месяц назад мы сообщили, что некоторые правительственные учреждения, такие как НСА, не были проинформированы об этих подвигах. Теперь выяснилось, что ни одно правительственное агентство не было проинформировано об эксплойтах, период, пока новости не стали публичными.

Нынешние и прежние правительственные чиновники США заявили, что правительство не было проинформировано об этих недостатках, прежде чем они стали публичными, поскольку эти недостатки потенциально могут иметь последствия для национальной безопасности, сообщает Reuters. Intel заявила, что не считает, что недостатки должны быть разделены с властями США, поскольку «хакеры не использовали уязвимости». Эта информация взята из писем Intel, AMD и ARM, направленных Грегу Уолдену (R-OR), который возглавляет Комитет по энергетике и торговле в Палате представителей.

Это смехотворное оправдание. Прежде всего, Intel не может автоматически знать, были ли использованы эксплойты или нет. Белые шляпы тщательно контролируют эти проблемы, но массовое вредоносное ПО - это не единственный вид эксплойта, который существует во вселенной. Если разведывательное агентство обнаружило и развернуло целевые пакеты программного обеспечения для сбора данных от определенных лиц, мы никогда не узнаем об этом. Черт возьми, вот почему некоторые из раскрытий Сноудена удивили людей. Люди подозревали, что некоторые из этих действий произошли, но еще не собрали все части.

Вторая причина, по которой это оправдание, заключается в том, что Intel не применяла ее последовательно. Reuters снова говорит: «Intel заявила, что она сообщила другим технологическим компаниям, которые используют свои фишки этой проблемы, согласно ее письму». Поэтому было достаточно важно сказать клиентам, включая некоторых китайских клиентов, о том, что у его процессоров были критические проблемы, но не важно, чтобы сказать правительству, которое фактически зависит от процессоров Intel, чтобы хранить секретные данные и хранилища данных.

Intel не раскрыла Призрак, Meltdown для правительства США, пока не появилась публикация

Сначала Google обнаружил недостатки как часть Project Zero и проинформировал Intel, AMD и ARM о своих выводах. Это дало им стандартные 90 дней, чтобы исправить эту проблему, только чтобы продлить этот срок до 3 января, а затем и до 9 января. Это объясняет, я подозреваю, почему Intel смогла якобы включить аппаратные средства для своих будущих процессоров Cannon Lake - время, необходимое для этого. Алфавит оставил его до самой компании чип-компании о том, будут ли они информировать правительство.

Причина, по которой решение Intel удерживать эту информацию, связано с невероятно неравным стандартом, применяемым к раскрытию информации. Если бы Intel раскрыла эти недостатки китайским клиентам, мы можем предположить, что китайское правительство, вероятно, узнало о них, учитывая степень наблюдения за данными, которые практикуются в этой стране.

Это нехороший взгляд на Intel, и решение генерального директора продать максимальную скидку на акции, которые ему разрешили продать до того, как новости упали, не совсем заставляет его отлично выглядеть. Учитывая, как долго Intel разрабатывает патчи и как развивается чревато, я понимаю, что не признаю эту ошибку публично, пока у вас не будет исправлений. Это здравый смысл. Но не информирование правительственных учреждений в соответствии с соглашением о конфиденциальности - это совсем другое. В результате некоторые из клиентов, которые, скорее всего, пострадали от эксплойтов для Meltdown и Spectre, были последними, кто получил уведомление о существовании проблемы.