El 3 de enero de 2018, Intel anunció públicamente información sobre vulnerabilidades graves de
Meltdown y
Spectre , a las que casi todos los procesadores utilizados actualmente en computadoras de escritorio, servidores, tabletas, teléfonos inteligentes, etc., son vulnerables a varias vulnerabilidades. Las vulnerabilidades están asociadas con el mecanismo de ejecución especulativa de instrucciones en procesadores modernos, y este es el error de seguridad de CPU más grave encontrado en los últimos años.
Se planeaba publicar el comunicado de prensa el 9 de enero, pero el 2 de enero,
The Register filtró información
al público .
Por supuesto, Intel se dio cuenta de la vulnerabilidad mucho antes de lo que anunció al público en general (en realidad, uno de los miembros del departamento de seguridad de Google Project Zero encontró errores en junio de 2017). Anteriormente, era necesario desarrollar parches, notificar a los fabricantes de equipos y actualizar los sistemas en los centros de datos de almacenamiento en la nube. Lo más interesante, según fuentes informadas, Intel notificó a sus socios chinos sobre las vulnerabilidades antes de que las denunciaran a las agencias gubernamentales de los EE. UU.,
Escribe The Wall Street Journal .
Por un lado, esta secuencia parece razonable desde el punto de vista del desarrollo de parches. Pero algunos expertos expresan preocupación porque, debido a la política de Intel, los servicios de inteligencia chinos podrían descubrir vulnerabilidades antes que las estadounidenses y usarlas antes de que se publiquen los parches.
Los investigadores señalan que estos son solo supuestos especulativos. De hecho, no se ha revelado evidencia de que tales ataques hayan tenido lugar. Pero en el caso de ataques dirigidos a objetivos específicos, la información sobre ellos puede no salir a la superficie, o el ataque puede pasar desapercibido o la víctima prefiere permanecer en silencio sobre el incidente. Por lo tanto, la falta de rastros en este momento no garantiza que los hackers chinos no hayan aprovechado la información recibida.
Un portavoz del Departamento de Seguridad Nacional (DHS) dijo que sus empleados se enteraron de las vulnerabilidades de las noticias del 3 de enero.
El representante de la NSA también
admitió que no sabían nada sobre los errores y no podían explotarlos. Aunque hizo una reserva, entendió que no todos creerían sus palabras.
Sin embargo, las vulnerabilidades son tan graves y están sujetas a tantos procesadores (casi todas las computadoras) que cualquier agencia de inteligencia en el mundo pagaría un alto precio por la información sobre vulnerabilidades el año pasado. El ex empleado de la NSA, Jake Williams, está "casi seguro" seguro de que las agencias gubernamentales chinas recibieron información sobre Meltdown y Spectre de antemano porque rastrean habitualmente las comunicaciones entre Intel y las empresas chinas, incluidos los fabricantes de hardware y las empresas de alojamiento en la nube.
El sentimiento paranoico de los expertos está bastante justificado, porque en el pasado ya había evidencia de la participación de hackers "estatales" chinos en el desarrollo de exploits y ataques contra objetivos extranjeros que utilizan vulnerabilidades de software de 0 días. Ahora la situación no es muy diferente, excepto que las vulnerabilidades son más serias.
Los representantes de Intel se negaron a proporcionar una lista de empresas a las que se les dio información anticipada sobre 0 días en procesadores y que trabajaron con ellos por adelantado para resolver las consecuencias. Naturalmente, Google se encuentra entre ellos (de hecho, sus empleados encontraron errores). Intel dice que entre ellos también se encuentran fabricantes de computadoras "clave". Se sabe que Lenovo se encuentra entre ellos, porque admitió en un comunicado de prensa el 3 de enero que trabajó de antemano para corregir errores. Los servicios de alojamiento en la nube se anunciaron por adelantado (Microsoft, Amazon, Chinese Alibaba Group Holding, los dos primeros informaron este hecho con fines de marketing), ARM Holdings y algunos otros.
Intel dijo que no pudo notificar a todos los que quería, incluidas las agencias de inteligencia de EE. UU., Porque la información se hizo pública antes de que se planificara (2 de enero en lugar del 9 de enero), pero la excusa parece débil.
Sea como fuere, la política de Intel de notificar solo a los socios más grandes antes de los errores identificados coloca a todos los demás en una posición incómoda. Esto incluye la competencia desleal. Por ejemplo, los proveedores de la nube Joylent y DigitalOcean
todavía están trabajando para corregir las vulnerabilidades, mientras que las grandes empresas de alojamiento en la nube, sus competidores, tenían una desventaja de medio año. Y no está claro por qué Intel no notificó primero al Centro Nacional de Respuesta a Emergencias Informáticas (CERT).