A fabricante de chips corrigiu vários problemas de chips em maio. Agora ele está liberando outra correção, mas analistas de terceiros dizem que a empresa não está relatando toda a verdade sobre seus problemas.
Em maio, quando a Intel lançou um patch para um grupo de falhas de segurança encontradas por pesquisadores nos processadores da empresa, deixou claro que todos os problemas foram resolvidos.
No entanto, essa não era a verdade, de acordo com pesquisadores holandeses da Universidade Livre de Amsterdã que descobriram vulnerabilidades e relataram isso à gigante da tecnologia em setembro de 2018. O patch de software que deveria corrigir o problema do processador corrigia apenas alguns dos problemas descobertos pelos pesquisadores.
E somente após 6 meses o segundo patch foi lançado,
apresentado publicamente
pela empresa no início de novembro , no qual todos os problemas relatados pela Intel em maio foram realmente corrigidos, como dizem os pesquisadores em sua entrevista.
A Intel anunciou ao público que "tudo está consertado", disse Cristiano Jufrida, professor de ciência da computação da Universidade Livre de Amsterdã, um dos pesquisadores que relataram as vulnerabilidades. "E nós sabíamos que não era o caso."
Essas vulnerabilidades, juntamente com outras falhas graves de segurança nos chips de computador, descobertas recentemente pela comunidade de segurança, permitiram que os invasores extraíssem senhas, chaves de criptografia e outros dados confidenciais de processadores de desktop, laptops e servidores em nuvem.
Declarações feitas por pesquisadores demonstram uma tensão característica entre empresas de tecnologia e especialistas em segurança que vasculham periodicamente os produtos das empresas em busca de falhas que tornam os sistemas de computadores vulneráveis a ataques.
E enquanto muitos pesquisadores dão tempo às empresas para corrigir problemas antes de revelar essas vulnerabilidades ao público em geral, as empresas de tecnologia podem dedicar algum tempo para corrigir os erros e tentar calar a boca dos pesquisadores que procuram informar o público sobre questões de segurança.
Os pesquisadores geralmente concordam em divulgar informações de vulnerabilidade apenas para as empresas e em não divulgá-las a mais ninguém até que a empresa possa lançar o patch. Os pesquisadores normalmente negociam com as empresas os detalhes de um anúncio público de uma correção. No entanto, pesquisadores holandeses dizem que a Intel abusou desse processo.
Agora eles afirmam que a Intel voltou a retomar o antigo. Eles disseram que o novo patch, lançado em novembro, ainda não corrige um dos problemas que eles disseram à Intel em maio.
A Intel admitiu que o patch de maio não corrige todos os problemas descobertos pelos pesquisadores, assim como o de novembro. No entanto, eles "extremamente" reduzem o risco de ataque, disse Lei Rosenwold, porta-voz da empresa.
Rosenwold disse que a Intel, junto com o patch de novembro, está publicando um cronograma de trabalho para os patches - não como uma resposta direta às reclamações dos pesquisadores, mas pela transparência.
"Geralmente não fazemos isso, mas ficou claro para nós que essa é uma questão difícil. Definitivamente, devemos abordar isso de forma transparente ”, disse ela. "Podemos não concordar com algumas observações dos pesquisadores, mas, apesar disso, valorizamos nosso relacionamento com eles".
Pesquisadores holandeses ficaram em silêncio por oito meses sobre os problemas que descobriram enquanto a Intel estava trabalhando em um patch lançado em maio. Então, quando a Intel percebeu que o patch não solucionava todos os problemas e pediu aos pesquisadores que ficassem em silêncio por mais seis meses, eles também foram convidados a alterar o trabalho que planejavam apresentar na conferência de segurança do computador, removendo todas as referências a vulnerabilidades não corrigidas. Os pesquisadores dizem que estavam relutantes em concordar com isso, porque não queriam que essas vulnerabilidades fossem conhecidas do público até que fossem corrigidas.
"Tivemos que editar o trabalho para eles, para que o mundo não soubesse o quão vulnerável tudo é", disse Cave Razavi, outro professor de ciência da computação da Universidade Livre de Amsterdã, membro da equipe de
relatórios de vulnerabilidades .
Uma equipe de pesquisadores da Universidade Livre de Amsterdã, da esquerda para a direita: Herbert Bos, Cristiano Jufrida, Sebastian Osterlund, Pietro Frigo, Alice Milburn e Cave Razavi.Segundo os pesquisadores, depois de informarem a empresa sobre os erros não corrigidos antes do lançamento do patch de novembro, a Intel pediu aos pesquisadores que não falassem nada até que a empresa preparasse o próximo patch. No entanto, desta vez, os pesquisadores se recusaram a obedecer.
"Acreditamos que é hora de dizer ao mundo que a Intel ainda não resolveu o problema", disse Herbert Bos, colega dos professores da Universidade Livre de Amsterdã.
As primeiras vulnerabilidades foram descobertas, inclusive pelo grupo da universidade VUSec, que inclui Jufrid, Bos, Razavi e quatro de seus alunos de graduação: Stefan van Scheik, Alice Milburn, Sebastian Osterlund e Pietro Frigo. Um segundo grupo da Universidade Graz de Karl e Franz, na Áustria, independentemente deles, descobriu alguns desses problemas e os informou à Intel em abril.
E todas essas vulnerabilidades surgem de um problema relacionado ao processamento de dados pelos processadores Intel.
Para economizar dinheiro, os processadores executam determinadas funções, cuja necessidade eles prevêem com antecedência, e armazenam os dados processados. Se essa função for cancelada e os dados não forem necessários, eles permanecerão no sistema por algum tempo.
A vulnerabilidade permite que terceiros extraiam dados durante o processamento ou armazenamento. Cada uma das opções descobertas pelos pesquisadores descreve sua própria maneira de extrair esses dados por um invasor.
"Há um problema real e há muitas opções", disse Bos.
Quando a Intel lançou as correções em maio, descreveu o problema como "gravidade baixa a média". Pesquisadores disseram que a empresa pagou a eles uma recompensa de US $ 120.000 pela descoberta e comunicação de vulnerabilidades. As recompensas por relatar problemas são pagas regularmente, mas esse valor para encontrar um erro baixo a médio parece muito alto.
Quando os pesquisadores relataram as primeiras vulnerabilidades na Intel em setembro de 2018, eles acrescentaram exemplos de exploração bem-sucedida desses furos à mensagem - código malicioso que demonstra exemplos de ataque bem-sucedidos para cada uma das vulnerabilidades.
Nos oito meses seguintes, a equipe de segurança da Intel respondeu a essas descobertas e criou um patch com a data de lançamento prevista para 11 de maio. Quatro dias antes do lançamento, quando a empresa deu aos pesquisadores os detalhes dessa correção, eles rapidamente perceberam que o patch não corrigia todas as vulnerabilidades encontradas.
Os engenheiros da Intel analisaram alguns dos casos de uso fornecidos pelos pesquisadores. Mas os pesquisadores dizem que os especialistas da Intel tiveram que, mesmo sem ver esses materiais, descobrir de forma independente vulnerabilidades adicionais com base em dados conhecidos.
Pesquisadores dizem que a Intel escolheu uma maneira ineficiente de lidar com as vulnerabilidades dos chips. Em vez de corrigir o problema principal, que pode exigir a reformulação do processador, a empresa corrigiu cada versão dos problemas individualmente.
"Temos certeza de que ainda há um monte de vulnerabilidades", disse Bos. "E eles não farão o trabalho de engenharia adequadamente até que sua reputação esteja em risco."
Quando se trata de detectar uma nova classe de vulnerabilidades, é prática padrão que os engenheiros de correção de código procurem variantes adicionais do problema, exceto aquelas que já foram descobertas e relatadas a eles.
Os pesquisadores holandeses afirmam que nenhuma das opções de ataque oferecidas na Intel diferia fundamentalmente daquelas que a empresa corrigia; portanto, tiveram que extrapolar e encontrar todas as opções restantes por conta própria.
“Muitos dos ataques que eles perderam diferiram dos outros em algumas linhas no código. Às vezes, mesmo com uma linha de código ”, disse Jufrid. - As consequências deste evento nos excitam. Isso significa que até que possamos fornecer a eles todas as soluções possíveis para o problema, elas não o resolverão. ”
Rosenwold, da Intel, disse que a empresa resolveu o principal problema alterando alguns dos chips e fará correções semelhantes às de outros chips.
Apesar do fato de os pesquisadores terem sido proibidos de divulgar detalhes, as disputas sobre essas vulnerabilidades começaram a surgir. As informações sobre ele foram tão livremente transmitidas entre si que acabaram retornando aos próprios pesquisadores.
"Mais e mais pessoas estavam aprendendo sobre essa vulnerabilidade, a tal ponto que, no final, essas informações voltaram para nós", disse Bos. - Eles constroem a ilusão de que todo o processo de divulgação de informações está supostamente sob seu controle. Mas ninguém o controla, e a informação vaza. ”
Tudo isso significa que, enquanto os pesquisadores estavam em silêncio, outras pessoas que queriam tirar proveito das vulnerabilidades já poderiam potencialmente aprender sobre elas. “Qualquer um pode transformar isso em uma arma. E quando você não informa o público sobre isso, é ainda pior, porque haverá pessoas que poderão usar essas informações contra usuários desprotegidos ", disse Razavi.