Intel е предупредила китайците за Meltdown и Spectre по-рано от властите на САЩ
На 3 януари 2018 година Intel обществено огласи информацията за сериозните хардуерни уязвимости Meltdown и Spectre, към които в друга степен са уязвими съвсем всички процесори, употребявани в десктоп компютрите, сървърите, преносимите компютри, смарт телефоните и така нататък
Разкритите хардуерни уязвимости Meltdown и Spectre засягат механизма за спекулативно осъществяване на инструкциите в актуалните процесори. Всички специалисти, експерти и учени са уверени, че това е най-сериозният бъг в сигурността, оголен през последните години, а може би и най-сериозният в историята.
Прессъобщението бе планувано за 9 януари, само че редакцията на The Register отнякъде се снабди с тази информация и я разгласява в свободен тип на 3 януари.
Естествено, Intel доста по-рано е знаела за въпросните уязвимости. В действителността, бъговете бяха открити още през месец юни 2017 година от екипа на Гугъл Project Zero. През изтеклото време трябваше да бъдат създадени допълнения, да бъдат предизвестени производителите на най-различен хардуер, да бъдат актуализирани системите в дата центровете на облачните складове.
Но наподобява че най-интересното е останало за тази седмица. Авторитетният The Wall Street Journal заяви, че Intel е предизвестила китайските си сътрудници за Meltdown и Spectre, по-рано в сравнение с е съобщила на държавните организации на Съединени американски щати.
На пръв взор, всичко наподобява рационално и разумно от позиция основаването на нужните пачове. Но на пръв взор. Сега редица специалисти се притесняват, че поради тази постъпка на Intel китайските специфични служби са разбрали за хардуерните уязвимости по-рано от американските, и са се възползвали преди излизането на обновяванията.
Има и отзиви, че това са просто спекулативни оферти – на процедура няма никакви следи за реализирането на Meltdown и Spectre офанзиви. Но при таргетирани съответни цели, тази информация може и да не излезе – офанзивата може да остане безусловно незабелязана, тъй като уязвимостта е на хардуерно равнище и не зависи от операционната система, която няма по какъв начин да запише никаква информация. А и някои избират да си замълчат, в случай че са забелязали нещо. Липсата на следи напълно не подсигурява, че китайските хакери не са се възползвали от получената стратегическа предварителна информация.
Представител на Департамента за вътрешна сигурност (DHS) сподели, че неговите чиновници са разбрали за всичко това на 3 януари 2018 година.
Представител на АНС също показа, че неговата институция нищо не е знаела за тези бъгове и те не са употребявани. Той даже добави, че на неговите думи вероятно няма да повярват.
Въпреки това, уязвимостите са толкоз съществени (засегнати са на процедура всички компютърни системи), че за приемането на информация за тях, всяко разузнаване би заплатило галактическа цена.
Параноята на компютърните експерти е напълно разбираема, тъй като в близкото минало бяха открити мощни експлойти основани от китайските държавни хакери, в които се употребяват най-вече 0day уязвимости. Сага обстановката е доста по-зле.
Intel отхвърли да даде листата с фирмите, на които авансово е дала тази информация. Процесорният колос единствено сподели, че измежду отдадените са Гугъл (неговите чиновници откриха бъговете), както и някои основни производители на компютри.
Intel сподели, че ме е могла да предизвести всички, в това число и американските специфични служби, тъй като информацията е била огласена по-рано от плануваното (на 2 януари вместо на 9 януари), само че това опрощение наподобява прекомерно едва.
Политиката на Intel да уведомява единствено крупните сътрудници за разкрити уязвимости слага в неловко състояние останалите. Това се смята и за нелоялна конкуренция. Така да вземем за пример, облачните провайдъри Joylent и DigitalOcean и сега работят върху отбраната от уязвимостите, до момента в който огромните облачни хостинги – техните съперници – имат преднина от половин година. И по този начин и не се разбра, за какво Intel на първо време не е уведомила Правителствения център за компютърни произшествия (CERT).
Разкритите хардуерни уязвимости Meltdown и Spectre засягат механизма за спекулативно осъществяване на инструкциите в актуалните процесори. Всички специалисти, експерти и учени са уверени, че това е най-сериозният бъг в сигурността, оголен през последните години, а може би и най-сериозният в историята.
Прессъобщението бе планувано за 9 януари, само че редакцията на The Register отнякъде се снабди с тази информация и я разгласява в свободен тип на 3 януари.
Естествено, Intel доста по-рано е знаела за въпросните уязвимости. В действителността, бъговете бяха открити още през месец юни 2017 година от екипа на Гугъл Project Zero. През изтеклото време трябваше да бъдат създадени допълнения, да бъдат предизвестени производителите на най-различен хардуер, да бъдат актуализирани системите в дата центровете на облачните складове.
Но наподобява че най-интересното е останало за тази седмица. Авторитетният The Wall Street Journal заяви, че Intel е предизвестила китайските си сътрудници за Meltdown и Spectre, по-рано в сравнение с е съобщила на държавните организации на Съединени американски щати.
На пръв взор, всичко наподобява рационално и разумно от позиция основаването на нужните пачове. Но на пръв взор. Сега редица специалисти се притесняват, че поради тази постъпка на Intel китайските специфични служби са разбрали за хардуерните уязвимости по-рано от американските, и са се възползвали преди излизането на обновяванията.
Има и отзиви, че това са просто спекулативни оферти – на процедура няма никакви следи за реализирането на Meltdown и Spectre офанзиви. Но при таргетирани съответни цели, тази информация може и да не излезе – офанзивата може да остане безусловно незабелязана, тъй като уязвимостта е на хардуерно равнище и не зависи от операционната система, която няма по какъв начин да запише никаква информация. А и някои избират да си замълчат, в случай че са забелязали нещо. Липсата на следи напълно не подсигурява, че китайските хакери не са се възползвали от получената стратегическа предварителна информация.
Представител на Департамента за вътрешна сигурност (DHS) сподели, че неговите чиновници са разбрали за всичко това на 3 януари 2018 година.
Представител на АНС също показа, че неговата институция нищо не е знаела за тези бъгове и те не са употребявани. Той даже добави, че на неговите думи вероятно няма да повярват.
Въпреки това, уязвимостите са толкоз съществени (засегнати са на процедура всички компютърни системи), че за приемането на информация за тях, всяко разузнаване би заплатило галактическа цена.
Параноята на компютърните експерти е напълно разбираема, тъй като в близкото минало бяха открити мощни експлойти основани от китайските държавни хакери, в които се употребяват най-вече 0day уязвимости. Сага обстановката е доста по-зле.
Intel отхвърли да даде листата с фирмите, на които авансово е дала тази информация. Процесорният колос единствено сподели, че измежду отдадените са Гугъл (неговите чиновници откриха бъговете), както и някои основни производители на компютри.
Intel сподели, че ме е могла да предизвести всички, в това число и американските специфични служби, тъй като информацията е била огласена по-рано от плануваното (на 2 януари вместо на 9 януари), само че това опрощение наподобява прекомерно едва.
Политиката на Intel да уведомява единствено крупните сътрудници за разкрити уязвимости слага в неловко състояние останалите. Това се смята и за нелоялна конкуренция. Така да вземем за пример, облачните провайдъри Joylent и DigitalOcean и сега работят върху отбраната от уязвимостите, до момента в който огромните облачни хостинги – техните съперници – имат преднина от половин година. И по този начин и не се разбра, за какво Intel на първо време не е уведомила Правителствения център за компютърни произшествия (CERT).
Източник: kaldata.com
КОМЕНТАРИ