В мае производитель микросхем устранил несколько проблем с чипами.
Сейчас компания внедряет еще одно исправление, но сторонние аналитики говорят, что компания не говорит всей правды о своих проблемах.
В мае, когда Intel выпустила патч для группы дыр в безопасности, обнаруженных исследователями в процессорах компании, это показало, что все проблемы решены.
Однако это оказалось не всей правдой, утверждают голландские исследователи из Свободного университета Амстердама, которые обнаружили уязвимости и сообщили об этом технологическому гиганту в сентябре 2018 года.
Программный патч, который должен был исправить проблему с процессоры исправили лишь некоторые из проблем, обнаруженных исследователями.
И только спустя 6 месяцев второй патч был выпущен в открытый доступ.
представлено компанией в начале ноября , который фактически устраняет все проблемы, об исправлении которых Intel сообщала еще в мае — так говорят исследователи в своем интервью.
Intel объявила общественности, что «все исправлено», — сказал Криштиану Джуффрида, профессор информатики из Свободного университета Амстердама, один из исследователей, сообщивших об уязвимостях.
«И мы знали, что это не так».
Эти уязвимости, как и другие серьезные дыры в безопасности компьютерных чипов, недавно обнаруженные сообществом безопасности, позволили злоумышленникам извлечь пароли, ключи шифрования и другие конфиденциальные данные из процессоров настольных компьютеров, ноутбуков и облачных серверов.
Заявления исследователей подчеркивают характерное напряжение между технологическими компаниями и экспертами по безопасности, которые периодически прочесывают продукты компаний на наличие недостатков, которые делают компьютерные системы уязвимыми для атак.
И хотя многие исследователи дают компаниям время на устранение проблем, прежде чем раскрывать эти уязвимости широкой публике, технологические компании могут медлить с исправлением ошибок и пытаться заставить замолчать исследователей, которые хотят проинформировать общественность о проблемах безопасности.
Исследователи часто соглашаются раскрывать уязвимости только компаниям и не раскрывать их кому-либо еще, пока компания не выпустит исправление.
Обычно исследователи договариваются с компаниями о деталях публичного объявления о выпуске исправления.
Однако голландские исследователи утверждают, что Intel злоупотребила этим процессом.
Теперь они утверждают, что Intel вернулась к своим старым привычкам.
Они заявили, что новый патч, выпущенный в ноябре, до сих пор не исправляет ни одну из проблем, о которых они сообщили Intel в мае.
В Intel признали, что майский патч не устраняет всех выявленных исследователями проблем, как и ноябрьский патч.
Однако они «чрезвычайно» снижают риск атак, сказала Ли Розенвальд, представитель компании.
Розенвальд сообщил, что Intel публикует график исправлений в ноябрьском патче не в качестве прямого ответа на жалобы исследователей, а в целях прозрачности.
«Обычно мы этого не делаем, но нам стало ясно, что это сложный вопрос.
Мы определенно должны быть прозрачными в этом вопросе», — сказала она.
«Мы можем не соглашаться с некоторыми наблюдениями исследователей, но, тем не менее, мы ценим наши отношения с ними».
Голландские исследователи в течение восьми месяцев хранили молчание о проблемах, которые они обнаружили во время работы Intel над патчем, выпущенным в мае.
Затем, когда Intel поняла, что патч не решает всех проблем, и попросила исследователей хранить молчание еще шесть месяцев, их также попросили изменить статью, которую они планировали представить на конференции по компьютерной безопасности, удалив все ссылки на неисправленные уязвимости.
Исследователи говорят, что неохотно согласились на это, поскольку не хотели, чтобы уязвимости стали достоянием общественности до тех пор, пока для них не будут выпущены исправления.
«Нам пришлось отредактировать работу ради них, чтобы мир не знал, насколько все уязвимо», — сказал Каве Разави, еще один профессор информатики в Vrije Universiteit Amsterdam и член команды.
Группа исследователей из Свободного университета Амстердама (слева направо): Герберт Бос, Кристиано Джуфрида, Себастьян Остерлунд, Пьетро Фриго, Алиса Милберн и Каве Разави.
По словам исследователей, после того как они сообщили компании о неисправленных ошибках перед выходом ноябрьского патча, Intel попросила исследователей ничего об этом не говорить, пока компания не подготовит следующий патч.
Однако на этот раз исследователи отказались подчиниться.
«Мы думаем, что пришло время сообщить миру, что Intel даже сейчас не решила проблему», — сказал Герберт Бос, коллега упомянутых профессоров из Vrije Universiteit Amsterdam. Первые уязвимости были обнаружены, среди прочего, университетской командой VUSec, в которую входят Джуффрида, Бос, Разави и четверо их аспирантов: Стефан ван Шайк, Элис Милберн, Себастьян Остерлунд и Пьетро Фриго.
Вторая группа из Университета Карла-Франца в Граце в Австрии независимо обнаружила некоторые из этих проблем и сообщила о них Intel в апреле.
И все эти уязвимости проистекают из одной проблемы, связанной с обработкой данных процессорами Intel. Чтобы сэкономить деньги, процессоры выполняют определенные функции, необходимость в которых они прогнозируют заранее, и сохраняют обработанные данные.
Если эта функция отменена и данные больше не нужны, они некоторое время остаются в системе.
Уязвимость позволяет третьей стороне извлекать данные во время их обработки или хранения.
Каждый из вариантов, обнаруженных исследователями, описывает разные способы извлечения этих данных злоумышленником.
«Есть одна реальная проблема и есть много вариантов», — сказал Бос.
Когда в мае компания Intel выпустила исправления, она описала проблему как «от низкой до средней степени серьезности».
Исследователи заявили, что компания выплатила им вознаграждение в размере 120 000 долларов за обнаружение и сообщение об уязвимостях.
Вознаграждения за указание на проблемы выплачиваются регулярно, но за обнаружение ошибки низкой и средней степени серьезности эта сумма кажется очень высокой.
Когда исследователи сообщили о первых уязвимостях в Intel в сентябре 2018 года, они включили тематические исследования дыр — вредоносный код, демонстрирующий успешные примеры атак для каждой из уязвимостей.
Группа реагирования на проблемы безопасности Intel провела следующие восемь месяцев, проверяя эти открытия и создавая исправление, выпуск которого намечен на 11 мая.
За четыре дня до выпуска, когда компания предоставила исследователям подробную информацию об этом патче, они быстро поняли, что патч не исправляет все найденные уязвимости.
Инженеры Intel рассмотрели некоторые примеры дыр, предоставленные исследователями.
Но исследователи утверждают, что эксперты Intel должны были самостоятельно обнаружить дополнительные уязвимости на основе известных данных, даже не видя этих материалов.
Исследователи говорят, что Intel выбрала неэффективный способ борьбы с уязвимостями в своих чипах.
Вместо того, чтобы устранять основную проблему, которая могла бы потребовать перепроектирования процессора, компания исправляла каждый вариант проблемы индивидуально.
«Мы считаем, что еще осталось много уязвимостей», — сказал Бос.
«И они не собираются делать никаких хороших разработок, пока на кону не будет стоять их репутация».
Стандартная практика инженеров по исправлению кода при обнаружении нового класса уязвимостей — поиск дополнительных вариантов проблемы помимо тех, которые уже были обнаружены и о которых им было сообщено.
Голландские исследователи утверждают, что ни один из вариантов атаки, которые они предоставили Intel, принципиально не отличался от тех, которые исправила компания, поэтому им пришлось экстраполировать и найти все оставшиеся варианты самостоятельно.
«Многие атаки, которые они пропустили, отличались от других несколькими строками кода.
Иногда даже с помощью одной строчки кода», — сказала Джуфрида.
– Последствия этого события нас беспокоят. Это значит, что пока мы не предоставим им все возможные варианты решения проблемы, они ее не исправят».
Розенвальд из Intel заявил, что компания устранила основную проблему, заменив некоторые чипы, и внесет аналогичные исправления в другие свои чипы.
Несмотря на то, что исследователям запретили разглашать подробности, по поводу этих уязвимостей начали просачиваться споры.
Информация об этом передавалась настолько свободно, что в конечном итоге дошла до самих исследователей.
«Все больше и больше людей узнавали об этой уязвимости до такой степени, что в конечном итоге информация вернулась к нам», — сказал Бос.
– Они создают иллюзию, что весь процесс раскрытия информации якобы находится под их контролем.
Но никто это не контролирует, и информация просачивается».
Все это означает, что пока исследователи хранили молчание, другие люди, желающие воспользоваться уязвимостями, потенциально могли уже знать о них.
«Любой может превратить это в оружие.
А когда вы не сообщаете об этом общественности, это еще хуже, потому что найдутся люди, которые смогут использовать эту информацию против уязвимых пользователей», — сказал Разави.
Теги: #информационная безопасность #Процессоры #Intel #безопасность #патчи #баги
-
Microsoft Выпустила My Phone
19 Oct, 24 -
Ждем Вас На Emc Technology Day #3
19 Oct, 24 -
Внимание: Ddos
19 Oct, 24 -
Top4Top - Первый Тестовый Пост
19 Oct, 24 -
Крепость Гномов
19 Oct, 24 -
Информация За 2007 Год
19 Oct, 24
