Intel е предупредила китайците за Meltdown и Spectre по-рано от властите на САЩ

Разкритите хардуерни уязвимости Meltdown и Spectre засягат механизма за спекулативно изпълнение на инструкциите в съвременните процесори. Всички експерти, специалисти и учени са убедени, че това е най-сериозният бъг в безопасността, разкрит през последните години, а може би и най-сериозният в историята.

Прессъобщението бе планирано за 9 януари, но редакцията на The Register отнякъде се сдоби с тази информация и я публикува в свободен вид на 3 януари.

Естествено, Intel много по-рано е знаела за въпросните уязвимости. В реалността, бъговете бяха открити още през месец юни 2017 година от екипа на Google Project Zero. През изтеклото време трябваше да бъдат разработени допълнения, да бъдат предупредени производителите на най-различен хардуер, да бъдат обновени системите в дата центровете на облачните хранилища.

Но изглежда че най-интересното е останало за тази седмица. Авторитетният The Wall Street Journal съобщи, че Intel е предупредила китайските си партньори за Meltdown и Spectre, по-рано отколкото е съобщила на правителствените агенции на САЩ.

На пръв поглед, всичко изглежда разумно и логично от гледна точка създаването на необходимите пачове. Но на пръв поглед. Сега редица експерти се опасяват, че заради тази постъпка на Intel китайските специални служби са разбрали за хардуерните уязвимости по-рано от американските, и са се възползвали преди излизането на обновяванията.

Има и мнения, че това са просто спекулативни предложения – на практика няма никакви следи за осъществяването на Meltdown и Spectre атаки. Но при таргетирани конкретни цели, тази информация може и да не излезе – атаката може да остане абсолютно незабелязана, понеже уязвимостта е на хардуерно ниво и не зависи от операционната система, която няма как да запише никаква информация. А и някои предпочитат да си замълчат, ако са забелязали нещо. Липсата на следи съвсем не гарантира, че китайските хакери не са се възползвали от получената стратегическа предварителна информация.

Представител на Департамента за вътрешна сигурност (DHS) каза, че неговите служители са разбрали за всичко това на 3 януари 2018 година.

Представител на АНС също сподели, че неговата институция нищо не е знаела за тези бъгове и те не са използвани. Той дори допълни, че на неговите думи навярно няма да повярват.

Въпреки това, уязвимостите са толкова сериозни (засегнати са на практика всички компютърни системи), че за получаването на информация за тях, всяко разузнаване би заплатило космическа цена.

Параноята на компютърните специалисти е съвсем разбираема, понеже в близкото минало бяха открити мощни експлойти създадени от китайските правителствени хакери, в които се използват предимно 0day уязвимости. Сага ситуацията е много по-зле.

Intel отказа да предостави списъка с компаниите, на които предварително е дала тази информация. Процесорният гигант само каза, че сред посветените са Google (неговите служители откриха бъговете), както и някои ключови производители на компютри.

Intel каза, че ме е могла да предупреди всички, включително и американските специални служби, понеже информацията е била огласена по-рано от планираното (на 2 януари вместо на 9 януари), но това оправдание изглежда твърде слабо.

Политиката на Intel да уведомява само крупните партньори за разкрити уязвимости поставя в неудобно положение останалите. Това се счита и за нелоялна конкуренция. Така например, облачните провайдъри Joylent и DigitalOcean и в момента работят върху защитата от уязвимостите, докато големите облачни хостинги – техните конкуренти – имат преднина от половин година. И така и не се разбра, защо Intel най-напред не е уведомила Правителствения център за компютърни инциденти (CERT).