Am 3. Januar 2018 gab Intel öffentlich Informationen über schwerwiegende Sicherheitslücken von
Meltdown und
Spectre bekannt , für die fast alle derzeit auf Desktop-Computern, Servern, Tablets, Smartphones usw. verwendeten Prozessoren für verschiedene Sicherheitslücken anfällig sind. Sicherheitslücken sind mit dem Mechanismus der spekulativen Ausführung von Anweisungen verbunden in modernen Prozessoren - und dies ist der schwerwiegendste CPU-Sicherheitsfehler der letzten Jahre.
Die Pressemitteilung sollte am 9. Januar veröffentlicht werden, aber am 2. Januar wurden Informationen
von The Register an die Öffentlichkeit weitergegeben .
Natürlich wurde Intel viel früher auf die Sicherheitsanfälligkeit aufmerksam, als sie der Öffentlichkeit angekündigt wurde (in Wirklichkeit wurden Fehler im Juni 2017 von einem Mitglied der Sicherheitsabteilung von Google Project Zero gefunden). Bisher mussten Patches entwickelt, Gerätehersteller benachrichtigt und Systeme in Cloud-Speicher-Rechenzentren aktualisiert werden. Interessanterweise informierte Intel laut informierten Quellen seine chinesischen Partner über Sicherheitslücken, bevor sie diese US-Regierungsbehörden meldeten,
schreibt das Wall Street Journal .
Einerseits erscheint diese Sequenz unter dem Gesichtspunkt der Patch-Entwicklung vernünftig. Einige Experten äußern jedoch Bedenken, dass chinesische Geheimdienste aufgrund einer solchen Intel-Politik früher als amerikanische Sicherheitslücken erkennen und diese nutzen könnten, bevor Patches veröffentlicht werden.
Die Forscher stellen fest, dass dies nur spekulative Annahmen sind. Tatsächlich wurden keine Beweise dafür gefunden, dass solche Angriffe tatsächlich stattgefunden haben. Bei gezielten Angriffen auf bestimmte Ziele werden Informationen über diese möglicherweise nicht angezeigt - oder der Angriff bleibt unbemerkt oder das Opfer schweigt lieber über den Vorfall. Das Fehlen von Spuren im Moment garantiert also nicht, dass chinesische Hacker die erhaltenen Informationen nicht genutzt haben.
Ein Sprecher des Department of Homeland Security (DHS) sagte, seine Mitarbeiter hätten aus den Nachrichten vom 3. Januar von den Sicherheitslücken erfahren.
Der NSA-Vertreter gab auch
zu, dass er nichts über Fehler wusste und sie nicht ausnutzen konnte. Obwohl er einen Vorbehalt machte, verstand er, dass nicht jeder seinen Worten glauben würde.
Trotzdem sind die Sicherheitslücken so schwerwiegend und unterliegen so vielen Prozessoren (fast allen Computern), dass jeder Geheimdienst der Welt im vergangenen Jahr teuer für Informationen über Sicherheitslücken bezahlen würde. Der frühere NSA-Mitarbeiter Jake Williams ist sich „fast sicher“, dass chinesische Regierungsbehörden im Voraus Informationen über Meltdown und Spectre erhalten haben, da sie die Kommunikation zwischen Intel und chinesischen Unternehmen, einschließlich Hardwareherstellern und Cloud-Hosting-Unternehmen, routinemäßig verfolgen.
Das paranoide Gefühl von Experten ist durchaus gerechtfertigt, da es bereits in der Vergangenheit Hinweise auf die Beteiligung chinesischer "staatlicher" Hacker an der Entwicklung von Exploits und Angriffen auf ausländische Ziele unter Verwendung von 0-Tage-Software-Schwachstellen gab. Jetzt ist die Situation nicht viel anders, außer dass die Schwachstellen schwerwiegender sind.
Vertreter von Intel lehnten es ab, eine Liste von Unternehmen bereitzustellen, die im Voraus Informationen über 0day in Prozessoren erhalten hatten und die im Voraus mit ihnen zusammengearbeitet hatten, um die Konsequenzen zu lösen. Natürlich gehört Google dazu (tatsächlich haben seine Mitarbeiter Fehler gefunden). Intel sagt, dass unter ihnen auch "Schlüssel" -Computerhersteller sind. Es ist bekannt, dass Lenovo unter ihnen ist, weil es in einer Pressemitteilung am 3. Januar zugegeben hat, dass es im Voraus daran gearbeitet hat, Fehler zu beheben. Cloud-Hosting-Dienste wurden im Voraus angekündigt (Microsoft, Amazon, chinesische Alibaba Group Holding, die ersten beiden meldeten dies zu Marketingzwecken), ARM Holdings und einige andere.
Intel sagte, es sei nicht möglich, alle zu benachrichtigen, einschließlich der amerikanischen Geheimdienste, da die Informationen veröffentlicht wurden, bevor sie geplant waren (2. Januar statt 9. Januar), aber die Entschuldigung scheint schwach zu sein.
Wie dem auch sei, die Politik von Intel, nur die größten Partner im Voraus über festgestellte Fehler zu informieren, bringt alle anderen in eine unangenehme Lage. Dies schließt unlauteren Wettbewerb ein. Beispielsweise arbeiten die Cloud-Anbieter Joylent und DigitalOcean
immer noch an der Behebung von Sicherheitslücken, während große Cloud-Hosting-Unternehmen - ihre Konkurrenten - ein halbes Jahr Handicap hatten. Und es ist nicht klar, warum Intel das Nationale Zentrum für Computer-Notfallmaßnahmen (CERT) nicht zuerst benachrichtigt hat.