В конце января 2018 года члены Комитета Сената США по энергетике и торговле направили официальные запросы компаниями Intel, AMD, ARM, Apple, Amazon, Google и Microsoft, силясь разобраться в хаосе, который окружал раскрытие информации об уязвимостях Spectre и Meltdown, а также многочисленные накладки, возникшие в процессе выпуска патчей для них.

Напомню, что глобальным уязвимостям Meltdown и Spectre подвержены практически все современные и не слишком процессоры и, следовательно, устройства. О проблеме стало известно в первых числах января 2018 года, однако с раскрытием информации об уязвимостях и патчами для них возникло множество проблем. К примеру, оказалось, что выпущенные патчи зачастую несовместимы с антивирусными решениями, вызывают отказ в работе некоторых систем, провоцируют BSOD и частые перезагрузки, а также заметно снижают производительность.

Более того, эксперты Google Project Zero, исходно обнаружившие Meltdown и Spectre, еще летом 2017 года уведомили о проблемах узкий круг производителей и ряд исследовательских учреждений. Официально раскрыть информацию о проблемах планировали в середине января 2018 года (обычное эмбарго длиной в 90 дней на этот раз было существенно увеличено в силу «комплексной природы уязвимостей и исправлений для них»). Однако утечка данных в СМИ произошла раньше, и в результате начало 2018 года ознаменовалось настоящей паникой среди специалистов по информационной безопасности, когда слухов было куда больше, чем фактов, а патчи и вовсе отсутствовали.

Учитывая всю серьезность проблемы, члены Комитета Сената США по энергетике и торговле призвали компании к ответу, требуя официальных разъяснений. Производители официально ответили на этот запрос еще в начале февраля 2018 года, однако их письма были обнародованы лишь сейчас.

Наиболее информативным и интересным определенно стал ответ компании Intel (PDF). В частности, представители «железного» гиганта пролили свет на весьма интересный нюанс:

«До утечки информации [в СМИ] Intel раскрывала данные о Spectre и Meltdown лишь тем компаниями, которые могли помочь Intel улучшить безопасность пользователей означенной технологии», — гласит письмо Intel.

Фактически это означает, что руководство Intel сочло бесполезной помощь со стороны властей и сторонних специалистов, не поставив в известность о Spectre и Meltdown никого, кроме узкого круга лиц. Лишь преждевременная утечка информации в прессу вынудила компанию «ускорить свои планы по выпуску исправлений» и уведомить о проблемах US-CERT, CERT/CC и широкую общественность.

Также членов Сената вполне оправдано волновал вопрос влияния Spectre и Meltdown на критические объекты инфраструктуры, особенно в свете того, что исследователи и производители долгое время скрывали критические уязвимости от властей. На это представители Intel ответили, что, согласно их данным, риск для промышленных систем управления весьма низок. В целом же Intel, равно как и представители других компаний, оправдывают «замалчивание» проблем Spectre и Meltdown очень просто, и сообщают, что наложенное на информацию эмбарго соответствовало всем принятым в индустрии стандартным процедурам. Якобы это должно было защитить общественность от эксплуатации еще не закрытых «дырок».

Интересные факты можно встретить также и в официальных ответах других компаний. К примеру, Microsoft признала, что инженеры компании заранее знали о том, что патчи для уязвимостей будут конфликтовать с некоторыми антивирусными продуктами. Компания даже пыталась предупредить производителей защитных решений, однако сделать это оказалось крайне сложно, так как нельзя было раньше времени сообщить о Meltdown и Spectre всему миру.



1 комментарий

  1. john_

    09.03.2018 at 20:02

    За пол года ничего не сдклали, начали клепать патч на коленке и запороли. И сейчас последствия…

Оставить мнение