Em 3 de janeiro de 2018, a Intel anunciou publicamente informações sobre sérias vulnerabilidades do
Meltdown e
Spectre , para as quais quase todos os processadores atualmente usados em computadores desktop, servidores, tablets, smartphones etc. estão vulneráveis a várias vulnerabilidades. nos processadores modernos - e esse é o bug de segurança da CPU mais grave encontrado nos últimos anos.
O comunicado de imprensa estava planejado para ser publicado em 9 de janeiro, mas em 2 de janeiro as informações foram
vazadas ao público pelo The Register .
Obviamente, a Intel tomou conhecimento da vulnerabilidade muito antes do que foi anunciado ao público em geral (na realidade, os bugs foram encontrados em junho de 2017 por um dos membros do departamento de segurança do Google Project Zero). Anteriormente, era necessário desenvolver patches, notificar os fabricantes de equipamentos e atualizar sistemas nos data centers de armazenamento em nuvem. O mais interessante é que, de acordo com fontes bem informadas, a Intel notificou seus parceiros chineses sobre vulnerabilidades antes de denunciá-los às agências governamentais dos EUA,
escreve o Wall Street Journal .
Por um lado, essa sequência parece razoável do ponto de vista do desenvolvimento de patches. Mas alguns especialistas expressam preocupação de que, devido a essa política da Intel, os serviços de inteligência chineses possam descobrir vulnerabilidades antes das americanas e usá-las antes do lançamento dos patches.
Os pesquisadores observam que essas são apenas suposições especulativas. De fato, nenhuma evidência foi revelada de que tais ataques realmente ocorreram. Porém, no caso de ataques direcionados a alvos específicos, as informações sobre eles podem não vir à tona - ou o ataque pode passar despercebido ou a vítima prefere ficar calada sobre o incidente. Portanto, a falta de rastreamentos no momento não garante que os hackers chineses não tenham aproveitado as informações recebidas.
Um porta-voz do Departamento de Segurança Interna (DHS) disse que seus funcionários aprenderam sobre as vulnerabilidades nas notícias de 3 de janeiro.
O representante da NSA também
admitiu que eles não sabiam nada sobre bugs e não podiam explorá-los. Embora tenha feito uma reserva, ele entendeu que nem todos acreditariam em suas palavras.
No entanto, as vulnerabilidades são tão sérias e estão sujeitas a tantos processadores (quase todos os computadores) que qualquer agência de inteligência do mundo pagaria caro por informações sobre vulnerabilidades no ano passado. O ex-funcionário da NSA, Jake Williams, está "quase certo" de que as agências governamentais chinesas receberam informações sobre Meltdown e Spectre com antecedência, porque monitoram rotineiramente as comunicações entre a Intel e as empresas chinesas, incluindo fabricantes de hardware e empresas de hospedagem em nuvem.
O sentimento paranóico de especialistas é bastante justificado, porque no passado já havia evidências da participação de hackers "estatais" chineses no desenvolvimento de explorações e ataques a alvos estrangeiros usando vulnerabilidades de software de 0 dia. Agora a situação não é muito diferente, exceto que as vulnerabilidades são mais graves.
Os representantes da Intel se recusaram a fornecer uma lista de empresas que receberam informações antecipadas sobre o dia 0 nos processadores e que trabalharam com elas com antecedência para resolver as consequências. Naturalmente, o Google está entre eles (de fato, seus funcionários encontraram bugs). A Intel diz que entre eles também estão os principais fabricantes de computadores. Sabe-se que a Lenovo está entre eles, porque admitiu em um comunicado à imprensa em 3 de janeiro que trabalhou antecipadamente para corrigir bugs. Os serviços de hospedagem em nuvem foram anunciados com antecedência (Microsoft, Amazon, chinês Alibaba Group Holding, os dois primeiros relataram esse fato para fins de marketing), ARM Holdings e alguns outros.
A Intel disse que não conseguiu notificar a todos que desejava, incluindo as agências de inteligência dos EUA, porque as informações se tornaram públicas antes do planejamento (2 de janeiro em vez de 9 de janeiro), mas a desculpa parece fraca.
Seja como for, a política da Intel de notificar apenas os maiores parceiros antes dos bugs identificados coloca todos os demais em uma posição desconfortável. Isso inclui concorrência desleal. Por exemplo, os fornecedores de nuvem Joylent e DigitalOcean
ainda estão trabalhando na correção de vulnerabilidades, enquanto as grandes empresas de hospedagem em nuvem - seus concorrentes - tiveram uma desvantagem de meio ano. E não está claro por que a Intel não notificou o CERT (Centro Nacional de Resposta de Emergência em Computadores).