Der Chiphersteller hat im Mai mehrere Chipprobleme behoben. Jetzt veröffentlicht er einen weiteren Fix, aber Analysten von Drittanbietern sagen, dass das Unternehmen nicht die ganze Wahrheit über seine Probleme berichtet.
Als Intel im Mai einen Patch für eine Gruppe von Sicherheitslücken veröffentlichte, die von Forschern in den Prozessoren des Unternehmens gefunden wurden, wurde deutlich, dass alle Probleme damit behoben waren.
Dies war jedoch nicht alles, so niederländische Forscher der Freien Universität Amsterdam, die Schwachstellen entdeckten und dies dem Technologieriesen im September 2018 meldeten. Der Software-Patch, der das Prozessorproblem beheben sollte, korrigierte nur einige der von den Forschern entdeckten Probleme.
Und erst nach 6 Monaten wurde der zweite Patch veröffentlicht,
den das Unternehmen Anfang November öffentlich
vorgestellt hatte , in dem alle Probleme, die Intel im Mai gemeldet hatte, tatsächlich behoben wurden, wie die Forscher in ihrem Interview sagten.
Intel gab der Öffentlichkeit bekannt, dass "alles repariert wurde", sagte Cristiano Jufrida, ein Informatikprofessor an der Freien Universität Amsterdam, einer der Forscher, die die Sicherheitslücken gemeldet hatten. "Und wir wussten, dass das nicht der Fall war."
Diese Sicherheitsanfälligkeiten sowie andere schwerwiegende Sicherheitslücken in Computerchips, die kürzlich von der Sicherheitsgemeinschaft entdeckt wurden, ermöglichten es Angreifern, Kennwörter, Verschlüsselungsschlüssel und andere vertrauliche Daten von Desktop-Prozessoren, Laptops und Cloud-Servern zu extrahieren.
Aussagen von Forschern belegen eine charakteristische Spannung zwischen Technologieunternehmen und Sicherheitsexperten, die die Produkte von Unternehmen regelmäßig auf Fehler untersuchen, die Computersysteme anfällig für Angriffe machen.
Und während viele Forscher Unternehmen Zeit geben, Probleme zu beheben, bevor sie diese Sicherheitslücken der Öffentlichkeit aufzeigen, nehmen sich Technologieunternehmen möglicherweise die Zeit, um die Fehler zu korrigieren und den Mund zu halten, wenn Forscher die Öffentlichkeit über Sicherheitsprobleme informieren möchten.
Forscher erklären sich häufig damit einverstanden, Schwachstelleninformationen nur an Unternehmen weiterzugeben und diese erst dann an andere weiterzugeben, wenn das Unternehmen den Patch veröffentlichen kann. In der Regel verhandeln Forscher mit Unternehmen über die Details einer öffentlichen Ankündigung eines Fixes. Niederländische Forscher sagen jedoch, dass Intel diesen Prozess missbraucht hat.
Nun behaupten sie, Intel habe das alte wieder aufgenommen. Sie sagten, dass der neue Patch, der im November veröffentlicht wurde, eines der Probleme, die sie Intel im Mai mitgeteilt hatten, immer noch nicht behebt.
Intel räumte ein, dass der Mai-Patch nicht alle von den Forschern entdeckten Probleme sowie den November-Patch behebt. Sie "extrem" reduzieren jedoch das Angriffsrisiko, sagte die Unternehmenssprecherin Lei Rosenwold.
Rosenwold sagte, dass Intel zusammen mit dem November-Patch einen Arbeitsplan für Patches veröffentlicht - nicht als direkte Antwort auf Beschwerden von Forschern, sondern für Transparenz.
"Normalerweise tun wir das nicht, aber es wurde uns klar, dass dies ein schwieriges Thema ist. Wir sollten dies auf jeden Fall transparent angehen “, sagte sie. "Wir sind vielleicht nicht mit einigen Beobachtungen der Forscher einverstanden, aber trotzdem schätzen wir unsere Beziehung zu ihnen."
Niederländische Forscher schwiegen acht Monate lang über die Probleme, die sie entdeckten, als Intel an einem Patch arbeitete, der im Mai veröffentlicht wurde. Als Intel dann feststellte, dass der Patch nicht alle Probleme behebt, und die Forscher aufforderte, weitere sechs Monate zu schweigen, wurden sie gebeten, die auf der Computersicherheitskonferenz geplante Arbeit zu ändern und alle Verweise auf nicht korrigierte Sicherheitsanfälligkeiten zu entfernen. Die Forscher zögerten, dem zuzustimmen, weil sie nicht wollten, dass diese Sicherheitslücken der Öffentlichkeit bekannt werden, bis sie behoben wurden.
"Wir mussten die Arbeit für sie bearbeiten, damit die Welt nicht weiß, wie verletzlich alles ist", sagte Cave Razavi, ein weiterer Informatikprofessor an der Freien Universität Amsterdam, Mitglied des Teams für
die Meldung von
Sicherheitslücken .
Ein Forscherteam der Freien Universität Amsterdam von links nach rechts: Herbert Bos, Cristiano Jufrida, Sebastian Osterlund, Pietro Frigo, Alice Milburn und Cave Razavi.Nachdem die Forscher das Unternehmen vor der Veröffentlichung des November-Patches über die nicht korrigierten Fehler informiert hatten, forderte Intel die Forscher auf, nichts darüber zu sagen, bis das Unternehmen den nächsten Patch vorbereitet hat. Diesmal weigerten sich die Forscher jedoch zu gehorchen.
"Wir denken, es ist Zeit, der Welt zu sagen, dass Intel das Problem auch jetzt noch nicht behoben hat", sagte Herbert Bos, ein Kollege der Professoren der Freien Universität Amsterdam
Die ersten Schwachstellen wurden entdeckt, unter anderem von der VUSec-Hochschulgruppe, zu der Jufrid, Bos, Razavi und vier ihrer Doktoranden gehören: Stefan van Scheik, Alice Milburn, Sebastian Osterlund und Pietro Frigo. Eine zweite Gruppe der Grazer Universität Karl und Franz in Österreich entdeckte unabhängig von ihnen einige dieser Probleme und meldete sie Intel im April.
All diese Schwachstellen entstehen durch ein Problem bei der Datenverarbeitung durch Intel-Prozessoren.
Um Geld zu sparen, führen Prozessoren bestimmte Funktionen aus, deren Bedarf sie im Voraus vorhersagen, und speichern die verarbeiteten Daten. Wenn diese Funktion abgebrochen wird und die Daten nicht benötigt werden, bleiben sie einige Zeit im System.
Durch die Sicherheitslücke kann ein Dritter Daten während der Verarbeitung oder Speicherung extrahieren. Jede der von Forschern entdeckten Optionen beschreibt eine eigene Methode zum Extrahieren dieser Daten durch einen Angreifer.
"Es gibt ein echtes Problem und es gibt viele Möglichkeiten", sagte Bos.
Als Intel die Fixes im Mai veröffentlichte, beschrieb es das Problem als "niedrig bis mittelschwer". Forscher sagten, das Unternehmen habe ihnen eine Belohnung in Höhe von 120.000 US-Dollar für die Entdeckung und Meldung von Schwachstellen gezahlt. Belohnungen für die Meldung von Problemen werden regelmäßig ausgezahlt, aber dieser Betrag für die Ermittlung eines geringen bis mittleren Fehlers scheint sehr hoch zu sein.
Als die Forscher im September 2018 die ersten Sicherheitsanfälligkeiten bei Intel meldeten, fügten sie Beispiele für die erfolgreiche Ausnutzung dieser Sicherheitslücken in den Code für schädliche Nachrichten ein, die Beispiele für erfolgreiche Angriffe für jede der Sicherheitsanfälligkeiten demonstrieren.
In den nächsten acht Monaten reagierte das Sicherheitsteam von Intel auf diese Erkenntnisse und erstellte einen Patch mit dem Veröffentlichungsdatum 11. Mai. Als das Unternehmen vier Tage vor der Veröffentlichung den Forschern die Details zu diesem Fix mitteilte, wurde ihnen schnell klar, dass der Patch nicht alle gefundenen Schwachstellen behebt.
Intel-Ingenieure untersuchten einige der von Forschern bereitgestellten Anwendungsfälle. Die Forscher sagten jedoch, dass Intel-Spezialisten, ohne diese Materialien überhaupt zu sehen, zusätzliche Schwachstellen auf der Grundlage bekannter Daten selbstständig entdecken mussten.
Laut Forschern hat Intel einen ineffizienten Weg gewählt, um mit Chip-Schwachstellen umzugehen. Anstatt das Hauptproblem zu beheben, das möglicherweise eine Neugestaltung des Prozessors erfordert, hat das Unternehmen jede Version der Probleme einzeln behoben.
"Wir sind sicher, dass es noch eine Reihe von Schwachstellen gibt", sagte Bos. "Und sie werden die Ingenieurarbeiten erst dann richtig ausführen, wenn ihr Ruf auf dem Spiel steht."
Wenn es darum geht, eine neue Klasse von Sicherheitslücken zu erkennen, suchen Ingenieure, die den Code korrigieren, standardmäßig nach weiteren Varianten des Problems, mit Ausnahme derjenigen, die bereits entdeckt und gemeldet wurden.
Niederländische Forscher behaupten, dass sich keine der von ihnen bei Intel angebotenen Angriffsoptionen grundlegend von denen des Unternehmens unterschied. Daher mussten sie alle verbleibenden Optionen selbst extrapolieren und finden.
„Viele der Angriffe, die sie verpassten, unterschieden sich in einigen Zeilen im Code von den anderen. Manchmal sogar mit einer Codezeile «, sagte Jufrid. - Die Folgen dieses Ereignisses erregen uns. Das bedeutet, dass sie das Problem erst beheben können, wenn wir ihnen alle möglichen Lösungen für das Problem geben. “
Rosenwold von Intel sagte, das Unternehmen habe das Hauptproblem durch den Austausch einiger Chips behoben und werde ähnliche Korrekturen an seinen anderen Chips vornehmen.
Trotz der Tatsache, dass es Forschern verboten war, Details preiszugeben, begannen Streitigkeiten über diese Sicherheitslücken auszuströmen. Informationen darüber wurden so frei aneinander weitergegeben, dass sie schließlich an die Forscher selbst zurückgingen.
"Immer mehr Menschen erfuhren von dieser Sicherheitsanfälligkeit, so dass uns diese Informationen letztendlich wieder zur Verfügung standen", sagte Bos. - Sie bauen die Illusion auf, dass der gesamte Prozess der Offenlegung von Informationen angeblich unter ihrer Kontrolle steht. Aber niemand kontrolliert es und Informationen lecken. “
All dies bedeutet, dass, während die Forscher schwiegen, andere Leute, die die Sicherheitslücken ausnutzen wollten, möglicherweise bereits etwas über sie erfahren könnten. „Jeder kann daraus eine Waffe machen. Und wenn Sie die Öffentlichkeit nicht darüber informieren, ist es noch schlimmer, weil es Leute geben wird, die diese Informationen gegen ungeschützte Benutzer verwenden können “, sagte Razavi.