3 января 2018 года компания Intel публично огласила информацию о серьёзных уязвимостях Meltdown и Spectre, которым в разной степени подвержены практически все процессоры, используемые в настоящее время в настольных компьютерах, серверах, планшетах, смартфонах и т. д. Уязвимости связаны с механизмом спекулятивного выполнения инструкций в современных процессорах — и это самый серьёзный баг в безопасности CPU, найденный за последние годы.Пресс-релиз планировалось опубликовать 9 января, но 2 января информацию слило в открытый доступ издание The Register.
Разумеется, компании Intel стало известно об уязвимости гораздо раньше, чем она сообщила широкой публике (в реальности баги нашёл ещё в июне 2017 года один из членов отдела безопасности Google Project Zero). Предварительно нужно было разработать патчи, оповестить производителей оборудования и обновить системы в дата-центрах облачных хранилищ. Что самое интересное, по информации осведомлённых источников, Intel оповестила китайских партнёров об уязвимостях раньше, чем сообщила о них правительственным агентствам США, пишет The Wall Street Journal.
С одной стороны, такая последовательность кажется разумной с точки зрения разработки патчей. Но некоторые эксперты выражают опасение, что из-за подобной политики Intel китайские спецслужбы могли узнать об уязвимостях раньше, чем американские — и воспользоваться ими до выхода патчей.
Исследователи отмечают, что это лишь спекулятивные предположения. На самом деле не выявлено никаких следов, что такие атаки в реальности имели место. Но в случае таргетированных атак на конкретные цели информация о них может так и не всплыть на поверхность — или атака может остаться незамеченной, или жертва предпочтёт умолчать об инциденте. Так что отсутствие следов на данный момент ещё не гарантирует того, что китайские хакеры не воспользовались полученной информацией.
Представитель Министерства внутренней безопасности (DHS) заявил, что его сотрудники узнали об уязвимостях из новостей 3 января.
Представитель АНБ тоже признался, что они ничего не знали о багах и не могли их эксплуатировать. Хотя он и сделал оговорку, что понимает: его словам не все поверят.
Тем не менее, уязвимости настолько серьёзные и им подвержено такое количество процессроов (практически все компьютеры), что за информацию об уязвимостях в прошлом году дорого заплатило бы любое разведывательное агентство в мире. Бывший сотрудник АНБ Джейк Уильямс (Jake Williams) «почти наверняка» уверен, что информацию о Meltdown и Spectre заранее получили китайские правительственные агентства, потому что они в штатном порядке отслеживают коммуникации между Intel и китайскими компаниями, в том числе производителями оборудования и облачными хостингами.
Параноидальные настроения специалистов вполне оправданы, потому что в прошлом уже были свидетельства об участии китайских «государственных» хакеров в разработке эксплоитов и атаках на иностранные цели с использованием программных уязвимостей 0day. Сейчас ситуация мало чем отличается, разве что уязвимости более серьёзные.
Представители Intel отказались предоставить список компаний, которым заранее выдали информацию о 0day в процессорах и с которыми заранее работали над устранением последствий. Естественно, среди них Google (собственно, её сотрудники и нашли баги). Intel говорит, что среди них ещё и «ключевые» производители компьютеров. Известно, что в их числе Lenovo, потому что она в пресс-релизе 3 января признала, что заранее работала над устранением багов. Заранее были оповещены облачные хостинги (Microsoft, Amazon, китайская Alibaba Group Holding, первые две сообщили об этом факте в маркетинговых целях), компания ARM Holdings и некоторые другие.
Intel заявила, что не смогла оповестить всех, кого хотела, включая американские спецслужбы, потому что информация стала достоянием гласности раньше, чем было предусмотрено (2 января вместо 9 января), но оправдание выглядит слабо.
Как бы то ни было, политика Intel заранее уведомлять только самых крупных партнёров о выявленных багах ставит в неудобное положение всех остальных. Это в том числе и нечестная конкуренция. Например, облачные провайдеры Joylent и DigitalOcean до сих пор работают над устранением уязвимостей, тогда как у крупных облачных хостингов — их конкурентов — была фора в полгода. И непонятно, почему Intel в первую очередь не оповестила Национальный центр реагирования на компьютерные инциденты (CERT).
