Pembuat chip memperbaiki beberapa masalah chip pada bulan Mei. Sekarang dia merilis perbaikan lain, tetapi analis pihak ketiga mengatakan perusahaan tidak melaporkan seluruh kebenaran tentang masalahnya.
Pada bulan Mei, ketika Intel merilis patch untuk sekelompok lubang keamanan yang ditemukan oleh para peneliti di prosesor perusahaan, itu menjelaskan bahwa semua masalah telah diselesaikan.
Namun, ini tidak sepenuhnya benar, menurut peneliti Belanda dari Free University of Amsterdam yang menemukan kerentanan dan melaporkan hal ini kepada raksasa teknologi pada September 2018. Tambalan perangkat lunak yang seharusnya memperbaiki masalah prosesor hanya mengoreksi beberapa masalah yang ditemukan oleh para peneliti.
Dan hanya setelah 6 bulan tambalan kedua dirilis,
disajikan secara terbuka
oleh perusahaan pada awal November , di mana semua masalah yang dilaporkan Intel pada bulan Mei benar-benar diperbaiki, seperti yang dikatakan para peneliti dalam wawancara mereka.
Intel mengumumkan kepada publik bahwa "semuanya sudah diperbaiki," kata Cristiano Jufrida, seorang profesor ilmu komputer di Free University of Amsterdam, salah satu peneliti yang melaporkan kerentanan. "Dan kami tahu bukan itu masalahnya."
Kerentanan ini, bersama dengan lubang keamanan serius lainnya dalam chip komputer, baru-baru ini ditemukan oleh komunitas keamanan, memungkinkan penyerang untuk mengekstrak kata sandi, kunci enkripsi, dan data sensitif lainnya dari prosesor desktop, laptop, dan server cloud.
Pernyataan yang dibuat oleh para peneliti menunjukkan ketegangan karakteristik antara perusahaan teknologi dan pakar keamanan secara berkala menyisir produk perusahaan untuk kelemahan yang membuat sistem komputer rentan terhadap serangan.
Dan sementara banyak peneliti memberi perusahaan waktu untuk memperbaiki masalah sebelum mengungkapkan kerentanan ini kepada masyarakat umum, perusahaan teknologi mungkin meluangkan waktu untuk memperbaiki kesalahan dan mencoba untuk menutup mulut para peneliti yang ingin memberi tahu publik tentang masalah keamanan.
Para peneliti sering setuju untuk mengungkapkan informasi kerentanan hanya kepada perusahaan, dan tidak mengungkapkannya kepada orang lain sampai perusahaan dapat merilis patch. Para peneliti biasanya bernegosiasi dengan perusahaan tentang rincian pengumuman publik tentang perbaikan. Namun, para peneliti Belanda mengatakan bahwa Intel menyalahgunakan proses ini.
Sekarang mereka mengklaim bahwa Intel telah mengambil yang lama. Mereka mengatakan bahwa tambalan baru, yang dirilis pada bulan November, masih tidak memperbaiki salah satu masalah yang mereka katakan kepada Intel pada bulan Mei.
Intel mengakui bahwa patch Mei tidak memperbaiki semua masalah yang ditemukan oleh para peneliti, serta perbaikan November. Namun, mereka "sangat" mengurangi risiko serangan, kata Lei Rosenwold, seorang juru bicara perusahaan.
Rosenwold mengatakan bahwa Intel, bersama dengan patch November, mempublikasikan jadwal kerja untuk patch - bukan sebagai tanggapan langsung terhadap keluhan dari para peneliti, tetapi untuk transparansi.
“Kami biasanya tidak melakukan itu, tetapi menjadi jelas bagi kami bahwa ini adalah masalah yang sulit. Kita harus mendekati ini secara transparan, ”katanya. "Kami mungkin tidak setuju dengan beberapa pengamatan dari para peneliti, tetapi, meskipun demikian, kami menghargai hubungan kami dengan mereka."
Peneliti Belanda telah diam selama delapan bulan tentang masalah yang mereka temukan saat Intel mengerjakan patch yang dirilis pada bulan Mei. Kemudian, ketika Intel menyadari bahwa tambalan tidak memperbaiki semua masalah, dan meminta para peneliti untuk tetap diam selama enam bulan lagi, mereka juga diminta untuk mengubah pekerjaan yang mereka rencanakan untuk hadir pada konferensi keamanan komputer, menghapus semua referensi tentang kerentanan yang tidak diperbaiki. Para peneliti mengatakan mereka enggan untuk menyetujui hal ini, karena mereka tidak ingin kerentanan ini diketahui publik sampai mereka ditambal.
"Kami harus mengedit pekerjaan untuk mereka sehingga dunia tidak akan tahu betapa rapuhnya segalanya," kata Cave Razavi, profesor ilmu komputer lainnya di Free University of Amsterdam, anggota tim
pelaporan kerentanan .
Sebuah tim peneliti dari Free University of Amsterdam, dari kiri ke kanan: Herbert Bos, Cristiano Jufrida, Sebastian Osterlund, Pietro Frigo, Alice Milburn dan Cave Razavi.Menurut para peneliti, setelah mereka memberi tahu perusahaan tentang kesalahan yang tidak diperbaiki sebelum rilis patch November, Intel meminta para peneliti untuk tidak mengatakan apa-apa tentang hal itu sampai perusahaan menyiapkan patch berikutnya. Namun, kali ini, para peneliti menolak untuk patuh.
"Kami pikir sudah waktunya untuk memberi tahu dunia bahwa bahkan sekarang Intel belum memperbaiki masalahnya," kata Herbert Bos, seorang kolega para profesor dari Free University of Amsterdam.
Kerentanan pertama ditemukan, termasuk oleh kelompok universitas VUSec, yang meliputi Jufrid, Bos, Razavi, dan empat mahasiswa pascasarjana mereka: Stefan van Scheik, Alice Milburn, Sebastian Osterlund dan Pietro Frigo. Kelompok kedua dari Universitas Graz Karl dan Franz di Austria, terlepas dari mereka, menemukan beberapa masalah ini, dan melaporkannya ke Intel pada bulan April.
Dan semua kerentanan ini muncul dari satu masalah yang terkait dengan pemrosesan data oleh prosesor Intel.
Untuk menghemat uang, prosesor menjalankan fungsi tertentu, kebutuhan yang mereka prediksi sebelumnya, dan menyimpan data yang diproses. Jika fungsi ini dibatalkan dan data tidak diperlukan, mereka tetap di sistem untuk beberapa waktu.
Kerentanan memungkinkan pihak ketiga untuk mengekstrak data selama pemrosesan atau penyimpanan. Setiap opsi yang ditemukan oleh peneliti menjelaskan caranya sendiri untuk mengekstraksi data ini oleh penyerang.
"Ada satu masalah nyata dan ada banyak pilihan," kata Bos.
Ketika Intel merilis perbaikan pada bulan Mei, itu menggambarkan masalah sebagai "keparahan rendah hingga sedang." Para peneliti mengatakan perusahaan membayar mereka hadiah sebesar $ 120.000 untuk menemukan dan melaporkan kerentanan. Hadiah untuk masalah pelaporan dibayar secara teratur, tetapi jumlah ini untuk menemukan kesalahan rendah hingga sedang tampaknya sangat tinggi.
Ketika peneliti melaporkan kerentanan pertama di Intel pada September 2018, mereka menambahkan contoh keberhasilan eksploitasi lubang ini pada pesan - kode berbahaya yang menunjukkan contoh serangan yang berhasil untuk masing-masing kerentanan.
Selama delapan bulan ke depan, tim keamanan Intel menanggapi temuan ini dan membuat tambalan dengan tanggal rilis 11 Mei mendatang. Empat hari sebelum rilis, ketika perusahaan memberi peneliti rincian perbaikan ini, mereka segera menyadari bahwa patch tidak memperbaiki semua kerentanan yang ditemukan.
Insinyur Intel melihat beberapa kasus penggunaan yang disediakan oleh para peneliti. Tetapi para peneliti mengatakan bahwa spesialis Intel harus, tanpa melihat bahan-bahan ini, secara mandiri menemukan kerentanan tambahan berdasarkan data yang diketahui.
Para peneliti mengatakan Intel telah memilih cara yang tidak efisien untuk menangani kerentanan chip. Alih-alih memperbaiki masalah utama, yang mungkin memerlukan mendesain ulang prosesor, perusahaan memperbaiki setiap versi masalah secara individual.
"Kami yakin masih ada banyak kerentanan yang tersisa," kata Bos. "Dan mereka tidak akan melakukan pekerjaan teknik dengan benar sampai reputasi mereka dipertaruhkan."
Ketika datang untuk mendeteksi kelas kerentanan baru, itu adalah praktik standar bagi teknisi yang mengoreksi kode untuk mencari varian tambahan dari masalah, kecuali untuk mereka yang telah ditemukan dan dilaporkan kepada mereka.
Peneliti Belanda mengklaim bahwa tidak ada opsi serangan yang mereka berikan di Intel berbeda secara fundamental dari yang ditetapkan perusahaan, sehingga mereka harus memperkirakan dan menemukan semua opsi yang tersisa pada mereka sendiri.
“Banyak serangan yang mereka lewatkan berbeda dari yang lain dalam beberapa baris dalam kode. Terkadang bahkan dengan satu baris kode, ”kata Jufrid. - Konsekuensi dari acara ini membuat kami bersemangat. Ini berarti bahwa sampai kita memberi mereka semua solusi yang mungkin untuk masalah tersebut, mereka tidak akan memperbaikinya. "
Rosenwold dari Intel mengatakan perusahaan memperbaiki masalah utama dengan mengubah beberapa chip, dan akan melakukan koreksi serupa dengan chip lainnya.
Terlepas dari kenyataan bahwa para peneliti dilarang untuk mengungkapkan rincian, perselisihan tentang kerentanan ini mulai mereda. Informasi tentang itu begitu bebas ditransmisikan satu sama lain sehingga akhirnya kembali ke peneliti sendiri.
"Semakin banyak orang belajar tentang kerentanan ini, sedemikian rupa sehingga pada akhirnya informasi ini kembali kepada kami," kata Bos. - Mereka membangun ilusi bahwa seluruh proses pengungkapan informasi seharusnya di bawah kendali mereka. Tapi tidak ada yang mengendalikannya, dan informasi bocor. "
Semua ini berarti bahwa sementara para peneliti diam, orang lain yang ingin mengambil keuntungan dari kerentanan berpotensi sudah belajar tentang mereka. "Siapa pun bisa mengubahnya menjadi senjata. Dan ketika Anda tidak memberi tahu publik tentang hal itu, itu lebih buruk lagi, karena akan ada orang yang dapat menggunakan informasi ini terhadap pengguna yang tidak dilindungi, "kata Razavi.