Intel Disclosed Spectre, Meltdown до китайських компаній перед урядом США

Intel Disclosed Spectre, Meltdown до китайських компаній перед урядом США

Відповідь Intel на Spectre і Meltdown була, нарешті, досить непоганою. Незважаючи на те, що початковий PR компанії з цього питання залишив бажати кращого, він пішов на більш чітке звітування про масштаби проблеми. Фактична розробка рішень була повільною та пристосованою, але це слід очікувати при вирішенні такої складної проблеми, як, зокрема, з огляду на кількість учасників, які співпрацюють із галузевими рішеннями.

Однак одне рішення, яке зробила компанія, могло повернутись, щоб вкусити його. За даними Wall Street Journal, Intel повідомила невелику групу клієнтів, включаючи декілька китайських компаній, до того, як вона з'явилася в уряді США. Насправді, деякі американські агенції були "зафіксовані" публічними звітами, а не будь-яким процесом попередження розголошення.

Сьогоднішня історія про готовність адміністрації Трамп розглянути питання про націоналізацію мережі 5G як засобу забезпечення активів США проти іноземних держав, у тому числі з Китаю, висвітлила одну з областей, де політика національної безпеки та економічна політика не завжди є чистою. Поведінка Intel, попереджаючи китайські компанії перед урядом США, є ще однією ілюстрацією. В даний час немає жодних ознак того, що інформація була використана неправильно або що будь-яка шкода відбулася, але це є прикладом того, як іноді краща корпоративна політика (у цьому випадку, обмін інформацією з основними партнерами) не завжди є найкращою політикою національної безпеки ( оновлення американського уряду чи інших компаній про наявність недоліків безпеки).

Meltdown і Spectre унікально підходять для висвітлення таких проблем, оскільки вони не так далеко від гіпотетичних гірших сценаріїв. Це дефекти, що впливають на процеси, що відбуваються десятиліттями, у деяких випадках. Причиною того, що ви бачите різні терміни на це, залежить від того, який варіант помилки та ступінь ризику, але в сукупності більшість процесорів Intel з часу впливу на Pentium Pro. 2008 рік Atom, заснований на мікроархітектурі Боннелла, може бути не таким, оскільки він декодує і в основному виконує вбудовані інструкції x86, але це трохи витісняє. (Більш детальна інформація на WikiChip, тим, хто з вас цікавиться незвичайними можливостями декодера малопотужного процесора x86 від 2008 року.)

Проблема, на думку Джейка Вільямса з компанії Rendition InfoSec LLC, полягає в тому, що ці недоліки можуть бути гіпотетичними за допомогою засобів для викрадення інформації з центрів обробки даних та постачальників хмарних мереж, і китайський уряд буде негайно усвідомлювати проблеми, оскільки влада там постійно контролює все комунікації Вільямс стверджує, що "майже впевненість" китайці усвідомлюють проблему - і з виправленнями, що ще тривають, можливо, експлойти можуть виникнути, перш ніж патчі для виправлення помилок будуть готові.

Спосіб розповсюдження дефектної інформації призвів до поганого смаку в устах багатьох виробників з кількох причин. Деяким акторам в минулому червні було відомо про те, що ця проблема існувала, ймовірно, тому Intel мала час випікати рішення у своїй майбутній 10-нм чіпі, але інші компанії не мали жодного попередження, перш ніж розповіді почали з'являтися на початку цього місяця. Intel (і, ймовірно, AMD та ARM) працювали з такими компаніями, як Google протягом декількох місяців, але WSJ відзначає, що Joyent, постачальник хмарних послуг, що належить Samsung, не мав жодного попередження про щось неправильне. Не було також Rackspace або DigitalOcean.

Джейк - Ніяких нюансів на мою відповідь. Жоден адвокат не застерігає. НДА не знала про ці недоліки, і не використовувала їх. Я не кладу моє добру назву на лінію злегка. Я розумію, що ви не хотіли вірити, 1/2.

- Роб Джойс (@ RobJoyce45) 13 січня 2018 року

Влада Департаменту внутрішньої безпеки повідомили WSJ, що вони лише дізналися про помилки 3 січня з публічних звітів. НСА також заявила, що в непевних умовах вона не мала інформації Spectre або Meltdown.

Не слід очікувати, що агентства національної безпеки розкриватимуть усі недоліки, про які вони знають, але НДА зайняла сильну позицію щодо цього. Lenovo, Microsoft і Amazon, на додаток до Google, також були обізнані про проблеми (Google заявив, що це було відомо до червня 2017 року), як і Alibaba у Китаї. Відсутність координації з американськими установами призвела US-CERT до випуску неправомірного керівництва спочатку. Спочатку організація заявила, що компанії і клієнти повинні були замінити уражені чіпи Intel, перш ніж внести зміни до цього керівництва, щоб запропонувати програмні патчі будуть достатніми.

Порівняння між Meltdown та Spectre. З цієї презентації, через Rendition InfoSec
Порівняння між Meltdown та Spectre. З цієї презентації, через Rendition InfoSec

Розклад первинного розкриття інформації Intel був відкалібрований до 9 січня, коли Consumer Electronics Show був повним ходом. 3 січня, безсумнівно, ускладнило деякі зусилля з пом'якшення наслідків, але рішення про те, щоб не втручатися в НСА чи ДСЗ, було б навмисним. Інтел не виявляє помилок процесорів, які впливають на більшість центральних процесорів, які він поставляє протягом 23 років, і забуває повідомити про це уряд США.

Відносини між Силіконовою долиною та урядом США протікають протягом багатьох років, особливо після витоку Сноуведену, але справді дивно, що Intel не повідомив DHS або NSA. На цей час ніяких пояснень щодо дій компанії не було.

Читати далі

Новий Mac Teardowns демонструє компанію Apple M1 Engineering під капотом
Новий Mac Teardowns демонструє компанію Apple M1 Engineering під капотом

iFixit розібрав MacBook Air та MacBook Pro, що працюють на M1, даючи нам поглянути на одну з останніх незвіданих основних областей цих продуктів: їх основний фізичний дизайн.

Належність AMD на TSMC не шкодить перспективам зростання компанії
Належність AMD на TSMC не шкодить перспективам зростання компанії

Придбати високоякісні компоненти ПК було важко майже півроку. Для цього існує ряд причин, включаючи наслідки пандемії, сплеск попиту на все обчислювальне обладнання та дефіцит постачання. Багато очних яблук пройшли навчання на таких ливарних заводах, як TSMC, до такої міри, що національні уряди поставили ...

Штально, Google є єдиною компанією, яка любить альтернативу для відстеження Google
Штально, Google є єдиною компанією, яка любить альтернативу для відстеження Google

Mozilla, Microsoft, Duckduckgo, і багато інших, сказали, що вони не підтримують Floc, але Google може не потребувати їх, щоб підробляти вперед.

Активізійний позов вимагає закінчення культури компанії "Frat Boy"
Активізійний позов вимагає закінчення культури компанії "Frat Boy"

Більше двох років Каліфорнійський відділ справедливої ​​зайнятості та житла досліджував Activision Blizzard Inc. для "порушень громадянських прав держави та рівних законів". Дослідження розкрило різноманітність несправедливого поведінки, яка коливається від несправедливого до злочинного злочинця.