Další průšvih s dírami v CPU. NDA pod palbou kritiky, firmy informovaly Čínu, ale ne USA

39
Křemíkový čip zblízka (foto: Fritzchens Fritz)

Včera jsme zde měli zprávu o různých aktualizacích Windows, které se vyřinuly z Microsoftu s cílem chránit počítače před zneužitím zranitelností Meltdown a Spectre v procesorech. Ty poslední podle některých zdrojů přinášejí ochranu před Meltdownem i na 32bitové edice Windows (neochráněné původní opravou). A trošku paradoxně pak poslední z nich – byť jen na vyžádání – odstraňuje ochranu před Spectre variantou 2, protože s ní byly procesory Intel nestabilní.

Tyto hardwarové díry jsou ale zdá se bezedné a stále nás zásobují novým „zprávovým materiálem“. Firmy, které se do této šlamastyky a jejího řešení namočily, čelí nyní kritice za způsob, jakým bylo před odhalením celého problému s těmito citlivými informacemi nakládáno.

Americký Kongres požaduje vysvětlení od šéfů Amazonu, Microsoftu, Applu, Intelu, ARMu a dalších nejmenovaných firem (asi by se dal čekat Google). Členové výboru pro obchod a energie je budou grilovat za to, že tyto informace drželi v tajnosti, aby měli dost času se připravit na jejich odhalení. Upřeli tuto možnost mnoha dalším americkým firmám, které tak mohli poškodit.

Mnoho těchto firem si stěžuje, že do problému spadly ze dne na den a musely přijímat protiopatření na rychlo a za vysokých nákladů. Pokud přitom například poskytovaly cloudové služby, byly pod stejným rizikem, jako třeba privilegovaný zasvěcený Amazon.

Je ovšem třeba říct, že v tomto případě bylo tzv. informační embargo neboli NDA určitě nutné a pokud by se okruh zasvěcených hodně rozšířil, asi by vše prasklo předčasně. Asi by se ale a daly vést diskuse o tom, zda bylo fér informovat některé velké klienty a nebylo lepší omezit informace čistě jen na dodavatele hardwaru a softwaru, píšící záplaty a opravy, aby byly podmínky pro všechny klienty stejné.

Intel a spol. prý pustili informace do Číny, aniž by varovali úřady USA

Paralelně ale vyplynul problém, který asi bude ještě delikátnější a výbušnější. Wall Street Journal píše, že firmy, které o Meltdownu a Spectre pod embargem věděly, o nebezpečí v podstatě informovali dříve čínskou vládu než úřady Spojených Států (kde mají většinou sídlo). Toto asi nebylo až tak záměrem, jako spíš nedbalostí. Firmy totiž neinformovaly přímo úřady, ale vědomosti o potenciálně kritických „zero day“ zranitelnostech předaly svým čínským klientům, například provozovatelům cloudů. Mělo jít například o společnost Alibaba nebo Lenovo.

Má se však za to, že v případě čínských firem se takto citlivá komunikace pravděpodobně hned přímo nebo nepřímo dostala k tajným službám. Mohla nastat situace, kdy čínské kybernetické síly mohly tyto znalosti zneužít předtím, než na ně USA mohlo reagovat – buď k obchodní a technologické špionáži, nebo i přímo státní.

Sídlo úřadu NSA (Foto: Wikimedia Commons)
Sídlo úřadu NSA (Foto: Wikimedia Commons)

Že neměli předem žádné informace, uvádí zástupci Ministerstva vnitřní bezpečnosti Spojených států amerických. Vše se údajně začátkem ledna dozvídali až z médií. Podle Bílého domu nebyla o věci informována ani NSA, ačkoliv ochrana USA před podobnými hrozbami je v podstatě jejím smyslem.

Zda firmy při interním řešení těchto chyb nějak pochybily proti americkým zákonům, není v tuto chvíli jasné. Ale vzhledem k určité studené válce, která v kyberprostoru mezi USA a Čínou v některých ohledech doutná, to asi bylo přinejmenším neopatrné jednání.

Další průšvih s dírami v CPU. NDA pod palbou kritiky, firmy informovaly Čínu, ale ne USA

Ohodnoťte tento článek!

39 KOMENTÁŘE

  1. Intel si krásne predal svoje skladové zásoby a teraz príde ako záchranca s novou generáciou ktorá bude opravená na HW úrovni. Vymyslené to mali skvelo.
    O tomto koho informovali a koho nie, všetko je to o peniazoch.

  2. Intel a spol. informovali svojich najväčších (čiže čínskych a amerických) zákazníkov. Nie čínsku a americkú vládu. Keďže čínska vláda svoje firmy špehuje, tak sa o tom nepriamo dozvedela tiež. Zatiaľ čo americká vláda svoje firmy nešpehuje takže o tom nevedela?? Chápem to správne? Lebo sa mi tomu nejak nechce veriť.

    Skôr mám pocit, že nejaký „dôležitý“ úrad americkej vlády zistil, že ho tá informácia nejak obišla, a že je teda neschopný/bezcenný. A teraz sa snaží využiť negatívnu náladu voči IT firmám, ktoré o tom vedeli a preniesť vinu na ne.

    • asi tak … a kdy se začne řešit ta největší díra děr jménem „člověk“? Firmy vyskakují, mluví se o špionáži, přitom doteď nikdo konkrétně neřekl, jak cílěně se kdokoliv může dostat k jakému objemu dat … podle mého názoru je mnohem pravděpodobnější, že se najde další „snowden“, než že někdo zneužije data tímto způsobem …

      • Presne. 🙂 Ludia riesia obskurne technicke diery a potom veselo spustaju exace (idealne ako admin), co im pridu postou, pripadne si ich stiahnu z netu. 🙂 S kazdou hrou, co clovek kupi zo Steamu ma v kompe potencialne vsetko – od keyloggeru az po backdoor. 🙂 O updatoch priamo od Mrkvosoftu ani nehovoriac. 🙂

    • V Cine nieco ako sukromna firma neexistuje, aj ked navonok ako sukromna vyzera. Vsetko tam vlastnia kadejake statne fondy, takze staci informovat napriklad Lenovo, a o par hodin ide ta informacia na nejaky vladny urad.

  3. „Je ovšem třeba říct, že v tomto případě bylo tzv. informační embargo neboli NDA určitě nutné a pokud by se okruh zasvěcených hodně rozšířil, asi by vše prasklo předčasně. Asi by se ale a daly vést diskuse o tom, zda bylo fér informovat některé velké klienty a nebylo lepší omezit informace čistě jen na dodavatele hardwaru a softwaru, píšící záplaty a opravy, aby byly podmínky pro všechny klienty stejné.“

    To jsou dneska zprávy 😛

    • A cetl jste ty papiry? Mluvim puvodni vedecke papiry reportujici o tech bugach? Pokud ano a pokud se v pocitacich vyznate, pak proste nemuzete prohlasit, ze chyba nebyla zneuzitelna! Specificky Meltdown je pro Intel hotove Waterloo a pro vsechny cloud providery nabizejici sdilene prostredky a pouzivajici Intel take.

      • Ano, cetl jsem vytahy a nerozumime si, asi jsem to sem nenapsal, protoze me to uz nebavi stale dokola opakovat. Nejsem data centrum, nejsem cloud provider, me to proste nezajima. Pro domaci pocitace a pro bezne firemni klienty je chyba nezneuzitelna. A o to mi jde. Vytvorila se panika, ze vsichni musi updatovat a instalovat Melta patche, kdyz pritom musi „jen“ provideri.

        • Je videt, ze nebezpeci interpretujeme jinak. Problem Meltdown/Spectre je v moznosti utoku, pokud na pocitaci bezi i jiny (cizi) kod. To se sice nejvice deje u cloudu, ale take se to deje pri prohlizeni dnesniho moderniho webu, kde jsou tuny javascript kodu. Takze bohuzel v nebezpeci je/byl i bezny naivni uzivatel.

          • Prohlizece jsou nebo budou opatchovane.
            V podstate rikas, ze by uzivatel v dobe, kdy se prihlasuje na internetove bankovnictvi, nemel mit spusteniy jiny javaskriptovy kod. V pohode, toho se da docilit pomerne snadno a ja to tak delal vzdycky, takze pro me ok. Nicmene na prevody penez je stejne dvoufaktorova autentizace a ten nekdo by ti zaroven musel nabourat i mobil.
            Netvrdim, ze bitcoinove penezenky nejsou v ohrozeni, ale zase stajna pisnicka, ja to nevedu, tudiz nezajem a podobne to furt ma vetsina uzivatelu.

          • přesně, každá normální banka žádá sms autorizaci už i při platbě kartou … ještě ke kgardas … odkud máš, že u problému Melta – spectre běží v počítači jiný (cizí) kód? To bude asi blábol roku …

          • gogo1963: prosim prectete si ty puvodni zpravy: https://meltdownattack.com/ — jedna se o side-channel attack (safra jak to prelozit) na jiste rysy (spekulativni vykonavani) modernich CPU.
            Abyste mohl zautocit, potrebuje vas kod bezet na CPU. Ten kod pak pouzitim velmi zajimavych triku je schopen cist jakoukoli pamet daneho HW systemu. Cili je schopen nejen prekrocit hranice OS ktere klade OS mezi adresni prostory procesu, ale je schopen prekrocit i hranice hypervisoru, tj. dostat se do pameti jine virtualni masiny — to proto jsou oblacnici tak vyplaseni. Oni na tom maji zalozeny svuj business.
            Jak rikam, prectete si ty papiry: https://meltdownattack.com/ a zhodnotte sam…

          • Muzu potvrdit kgardasuv posledni koment, opravdu je to tak. Taky je to ten duvod, proc se Melta netyka beznych uzivatelu, protoze nejaky zavadny kod by se jim do PC musel nejprve dostat a ve chvili, kdy maji sva PC tak spatne zabezpecena, ze tam neco chytnou, tak uz je zbytecne na to jit tak slozite pres Meltu.

            Tohle je jak spravne kgardas poznamenal ciste problem cloud byznysu, nas bezne uzivatelew vubec nemusel zajimat kdyby to Microsoft tvrde neposral.

          • Pořád ingoruješ, že k tobě může přisvištět javascript na nějaký stránce, na kterou přijdeš, a už to máš.

            Cizí kód mi běží v PC v jednom kuse, pokud nebrowsím s vypnutým javascriptem. Což rozbíjí půlku webu.

  4. > Americký Kongres požaduje vysvětlení od šéfů Amazonu, Microsoftu, Applu, Intelu, ARMu a dalších nejmenovaných firem (asi by se dal čekat Google)
    Přímo v tom odkazovaném PDF jde velice snadno vidět jednotlivé dopisy pro Apple, Amazon, AMD, ARM, Google, Intel, Microsoft. Málem se jim to i povedlo dát správně podle abecedy 🙂

  5. Otázka znie inak. Kto zo zraniteľnosti ooo microarchitektúry ako takej môže profitovať na trhu, ktorý je už niekoľko rokov ťahúňom rastu a v globále tak stagnácie alebo mierneho poklesu PC segmentu ako takého.

    Pozrite si vyhlásenie k Recent Vulnerability čínskeho domáceho výrobcu x86 CPU, GPU a chipsetov ako v domácej nateraz sebestačnej 28nm litografie naviac obsahujúcich inštrukcie resp. akceleráciu pre v Číne štandardizované kryptografické algoritmy SM3 (hashovacie funkcie) a SM4 (bloková šifra).
    link: https://fuse.wikichip.org/news/733/zhaoxin-launches-their-highest-performance-chinese-x86-chips/

    To sú tisícky a tisícky office PC do štátnej správy a korporácii a nielen office PC ale aj rôzne microserverové riešenia, embedded, digital signage atď.

    A zrejme nezostalo len pri Číne môj najnovší úlovok, ktorý Lenovo zalistováva v (US, CA) rozm. ZhaoXin Blade Processor, a ThinkServer TS312Z Single Processor; ThinkServer RS312Z Single Processor; ThinkServer RS312Z-B Single Processor:
    https://www3.lenovo.com/us/en/enterprise-product-group/thinkserver/c/77LS
    https://canada.lenovo.com/sdwww3/ca/en/enterprise-product-group/thinkserver/c/77LS

  6. Intel delal Management Engine s NSA bitem jen tak z dobreho srdce. Vubec neni pravda, ze NSA ma v Intelu sve lidi. Informovani tak nebyli maximalne nevyznamni senatori, jinak samozrejme na patricnych mistech meli informace jako prvni primo od zdroje.