Intel Disclosed Spectre, Meltdown до китайських компаній перед урядом США

Відповідь Intel на Spectre і Meltdown була, нарешті, досить непоганою. Незважаючи на те, що початковий PR компанії з цього питання залишив бажати кращого, він пішов на більш чітке звітування про масштаби проблеми. Фактична розробка рішень була повільною та пристосованою, але це слід очікувати при вирішенні такої складної проблеми, як, зокрема, з огляду на кількість учасників, які співпрацюють із галузевими рішеннями.

Однак одне рішення, яке зробила компанія, могло повернутись, щоб вкусити його. За даними Wall Street Journal, Intel повідомила невелику групу клієнтів, включаючи декілька китайських компаній, до того, як вона з'явилася в уряді США. Насправді, деякі американські агенції були "зафіксовані" публічними звітами, а не будь-яким процесом попередження розголошення.

Сьогоднішня історія про готовність адміністрації Трамп розглянути питання про націоналізацію мережі 5G як засобу забезпечення активів США проти іноземних держав, у тому числі з Китаю, висвітлила одну з областей, де політика національної безпеки та економічна політика не завжди є чистою. Поведінка Intel, попереджаючи китайські компанії перед урядом США, є ще однією ілюстрацією. В даний час немає жодних ознак того, що інформація була використана неправильно або що будь-яка шкода відбулася, але це є прикладом того, як іноді краща корпоративна політика (у цьому випадку, обмін інформацією з основними партнерами) не завжди є найкращою політикою національної безпеки ( оновлення американського уряду чи інших компаній про наявність недоліків безпеки).

Meltdown і Spectre унікально підходять для висвітлення таких проблем, оскільки вони не так далеко від гіпотетичних гірших сценаріїв. Це дефекти, що впливають на процеси, що відбуваються десятиліттями, у деяких випадках. Причиною того, що ви бачите різні терміни на це, залежить від того, який варіант помилки та ступінь ризику, але в сукупності більшість процесорів Intel з часу впливу на Pentium Pro. 2008 рік Atom, заснований на мікроархітектурі Боннелла, може бути не таким, оскільки він декодує і в основному виконує вбудовані інструкції x86, але це трохи витісняє. (Більш детальна інформація на WikiChip, тим, хто з вас цікавиться незвичайними можливостями декодера малопотужного процесора x86 від 2008 року.)

Проблема, на думку Джейка Вільямса з компанії Rendition InfoSec LLC, полягає в тому, що ці недоліки можуть бути гіпотетичними за допомогою засобів для викрадення інформації з центрів обробки даних та постачальників хмарних мереж, і китайський уряд буде негайно усвідомлювати проблеми, оскільки влада там постійно контролює все комунікації Вільямс стверджує, що "майже впевненість" китайці усвідомлюють проблему - і з виправленнями, що ще тривають, можливо, експлойти можуть виникнути, перш ніж патчі для виправлення помилок будуть готові.

Спосіб розповсюдження дефектної інформації призвів до поганого смаку в устах багатьох виробників з кількох причин. Деяким акторам в минулому червні було відомо про те, що ця проблема існувала, ймовірно, тому Intel мала час випікати рішення у своїй майбутній 10-нм чіпі, але інші компанії не мали жодного попередження, перш ніж розповіді почали з'являтися на початку цього місяця. Intel (і, ймовірно, AMD та ARM) працювали з такими компаніями, як Google протягом декількох місяців, але WSJ відзначає, що Joyent, постачальник хмарних послуг, що належить Samsung, не мав жодного попередження про щось неправильне. Не було також Rackspace або DigitalOcean.

Джейк - Ніяких нюансів на мою відповідь. Жоден адвокат не застерігає. НДА не знала про ці недоліки, і не використовувала їх. Я не кладу моє добру назву на лінію злегка. Я розумію, що ви не хотіли вірити, 1/2.
- Роб Джойс (@ RobJoyce45) 13 січня 2018 року

Влада Департаменту внутрішньої безпеки повідомили WSJ, що вони лише дізналися про помилки 3 січня з публічних звітів. НСА також заявила, що в непевних умовах вона не мала інформації Spectre або Meltdown.

Не слід очікувати, що агентства національної безпеки розкриватимуть усі недоліки, про які вони знають, але НДА зайняла сильну позицію щодо цього. Lenovo, Microsoft і Amazon, на додаток до Google, також були обізнані про проблеми (Google заявив, що це було відомо до червня 2017 року), як і Alibaba у Китаї. Відсутність координації з американськими установами призвела US-CERT до випуску неправомірного керівництва спочатку. Спочатку організація заявила, що компанії і клієнти повинні були замінити уражені чіпи Intel, перш ніж внести зміни до цього керівництва, щоб запропонувати програмні патчі будуть достатніми.

Порівняння між Meltdown та Spectre. З цієї презентації, через Rendition InfoSec

Розклад первинного розкриття інформації Intel був відкалібрований до 9 січня, коли Consumer Electronics Show був повним ходом. 3 січня, безсумнівно, ускладнило деякі зусилля з пом'якшення наслідків, але рішення про те, щоб не втручатися в НСА чи ДСЗ, було б навмисним. Інтел не виявляє помилок процесорів, які впливають на більшість центральних процесорів, які він поставляє протягом 23 років, і забуває повідомити про це уряд США.

Відносини між Силіконовою долиною та урядом США протікають протягом багатьох років, особливо після витоку Сноуведену, але справді дивно, що Intel не повідомив DHS або NSA. На цей час ніяких пояснень щодо дій компанії не було.

Читати далі

Should Spectre, Meltdown Be the Death Knell for Standard x86?

Intel Disclosed Spectre, Meltdown до китайських компаній перед урядом США

Читати далі

Should Spectre, Meltdown Be the Death Knell for Standard x86?

Деталі Google Spectre та Meltdown виправлено для своїх хмарних служб

Intel має 10-нм виправлення для Meltdown, Spectre; Можна втратити участь у AMD в 2017 році

Intel Meltdown, Spectre Updates Розгортаються для старих процесорів, включаючи Ivy, Sandy Bridge