源之原味

参议员担心崩溃和幽灵的披露给了中国一个优势

 

这篇文章来自 wired.com。原始 url 是: https://www.wired.com/story/meltdown-and-spectre-intel-china-disclosure/

以下内容由机器翻译生成。如果您觉得可读性不好, 请阅读原文或 点击这里.

参议员担心崩溃和幽灵的披露给了中国一个优势

似乎没有人会费心通知美国政府有关的崩溃和幽灵芯片 bug 时, 他们被发现。
Natascha Eibl

国会听证会 星期三在 崩溃和幽灵芯片漏洞 你所期待的 technobabble 和痛苦的误会。但参议院商业、科学和交通委员会也提出了一个重要的实际问题: 没有人告诉美国政府的缺陷, 直到 他们公开披露 在1月初。因此, 在研究人员和私人公司暗中应对危机的几个月中, 政府无法评估或开始维护联邦制度的国家安全问题。

新罕布什尔州参议员玛吉?哈桑在听证会上说: "这真的是令人不安的, 很多人如果不是政府使用的所有计算机都包含处理器漏洞, 这可能允许敌对国家窃取关键数据集和信息.""更令人不安的是, 这些处理器公司在通知 [国土安全部] 前六月就知道了这些漏洞."

攻击者可以利用幽灵和崩溃芯片 bug, 这预示着整个新类的漏洞, 从系统中窃取许多不同类型的数据。尽管20年来世界上最受欢迎的加工芯片存在缺陷, 但在2017年下半年, 一系列学术研究人员发现了它们。一旦了解了这一问题, 英特尔和其他芯片制造商就开始了大量的秘密努力, 尽可能多地通知供应链客户和操作系统制造商, 这样他们就可以开始创建补丁了。

"中国政府很可能知道这些漏洞."

参议员比尔尼尔森

尽管 Intel 在这一过程中通知了一组国际私营科技公司--包括一些在中国的企业--但在1月初公开披露之前, 国土安全部和美国政府并没有了解情况。许多参议员在星期三的听证会上指出, 这一延迟披露可能给外国政府的早期警告, 美国没有。如果 国家黑客 不知道幽灵和崩溃, 并利用 bug 的间谍活动, 他们可能已经开始在几个月前补丁开始走出去。

佛罗里达州参议员尼尔森在星期三表示: "据报道, 英特尔在通知美国政府之前, 已经向中国公司通报了幽灵和崩溃的弱点.""因此, 中国政府很可能知道这些漏洞."

英特尔拒绝出席听证会, 但乔伊斯-金, 首席营销官的手臂 软银独资公司 这就创建了由其他公司制造的处理器体系结构示意图, 告诉委员会, ARM 在了解幽灵和崩溃的10天内将重点告知客户。"在这一点上, 鉴于我们所看到的前所未有的规模, 我们的重点是确保我们评估这一脆弱性的全面影响, 以及获取 [信息] 给潜在的受影响的客户, 并集中精力发展缓解",金姆告诉参议员们。"我们在中国有建筑客户, 我们能够通知他们与他们一起工作的缓解。

自1月首次披露以来, 研究人员发现了许多其他变种的崩溃和幽灵, 芯片制造商已经努力修补。Kim 解释说, 由于这些新的菌株已经出现在过去的六月, ARM 已经与国土安全部密切合作, 建立沟通渠道, 以披露和合作。

一位国土安全部的官员告诉有线记者: "我们总是希望尽快被告知安全漏洞, 以便我们能够验证、减轻和披露对我们的利益攸关者的脆弱性."

英特尔在一份关于有线的声明中说, "我们自1月以来一直与参议院商业委员会合作, 处理委员会关于协调披露程序的问题, 并将继续与委员会和其他国会合作, 以解决任何其他问题。

管理漏洞发现总是很复杂的, 但在涉及到许多组织时尤其如此。幽灵和熔毁的赌注比往常要高, 因为这些虫子被发现在世界上大多数的设备中, 并且持续了两年。这些条件不仅给许多大公司带来了巨大的修补挑战, 他们还提出了一个问题, 即是否发现了这些漏洞, 并悄悄地利用了未知实体或政府多年。如果一个国家知道如何利用这些漏洞, 那么这些缺陷对于情报收集就非常有价值。

"在这类公开听证会上, 没有人能解决甚至提及任何真正的问题."

戴夫 Aitel, 豁免权

这就是为什么这个概念, 首次报告《华尔街日报》, 英特尔优先考虑向中国公司通报美国政府的问题。在这一点上没有具体的证据表明, 中国实际上滥用了这些早期披露的崩溃和幽灵, 但该国是众所周知的侵略性国家发起的黑客运动, 最近 只有成熟.

“A number of things probably combined to lead to the insufficiency of US government notification,” Art Manion, a senior vulnerability analyst at the CERT Coordination Center at Carnegie Mellon, which works on coordinating disclosures worldwide, told the committee. “We are actively working with industry contacts to remind them of the existing practice of notifying critical infrastructure and important service providers before public disclosure happens to avoid costly surprises.” When pressed by the committee, he added that the months-long wait to notify the US government about Meltdown and Spectre was a mistake on the part of chipmakers like Intel. “It is a rather long time, and in our professional assessment it is probably too long, particularly for very special new types of vulnerabilities like this,” he said.

Analysts say that pre-notifying DHS would be valuable in situations where a major vulnerability is about to be publicly disclosed. But they also caution that congressional hearings about security in general tend to mask or oversimplify deeply complex and nuanced topics. “Nobody can address or even mention any of the real issues in these types of public hearings,” says Dave Aitel, a former NSA researcher who now runs the penetration-testing firm Immunity. “DHS probably won’t get substantially more cooperation.”


更多精彩的有线故事

Leave A Reply

Your email address will not be published.