3 января 2018 года компания Intel публично огласила информацию о серьёзных уязвимостях Meltdown и Spectre, которым в разной степени подвержены практически все процессоры, используемые в настоящее время в настольных компьютерах, серверах, планшетах, смартфонах и т. д. Уязвимости связаны с механизмом спекулятивного выполнения инструкций в современных процессорах — и это самый серьёзный баг в безопасности CPU, найденный за последние годы.Пресс-релиз планировалось опубликовать 9 января, но 2 января информацию слило в открытый доступ издание The Register.
Разумеется, компании Intel стало известно об уязвимости гораздо раньше, чем она сообщила широкой публике (в реальности баги нашёл ещё в июне 2017 года один из членов отдела безопасности Google Project Zero). Предварительно нужно было разработать патчи, оповестить производителей оборудования и обновить системы в дата-центрах облачных хранилищ. Что самое интересное, по информации осведомлённых источников, Intel оповестила китайских партнёров об уязвимостях раньше, чем сообщила о них правительственным агентствам США, пишет The Wall Street Journal.
С одной стороны, такая последовательность кажется разумной с точки зрения разработки патчей. Но некоторые эксперты выражают опасение, что из-за подобной политики Intel китайские спецслужбы могли узнать об уязвимостях раньше, чем американские — и воспользоваться ими до выхода патчей.
Исследователи отмечают, что это лишь спекулятивные предположения. На самом деле не выявлено никаких следов, что такие атаки в реальности имели место. Но в случае таргетированных атак на конкретные цели информация о них может так и не всплыть на поверхность — или атака может остаться незамеченной, или жертва предпочтёт умолчать об инциденте. Так что отсутствие следов на данный момент ещё не гарантирует того, что китайские хакеры не воспользовались полученной информацией.
Представитель Министерства внутренней безопасности (DHS) заявил, что его сотрудники узнали об уязвимостях из новостей 3 января.
Представитель АНБ тоже признался, что они ничего не знали о багах и не могли их эксплуатировать. Хотя он и сделал оговорку, что понимает: его словам не все поверят.
Тем не менее, уязвимости настолько серьёзные и им подвержено такое количество процессроов (практически все компьютеры), что за информацию об уязвимостях в прошлом году дорого заплатило бы любое разведывательное агентство в мире. Бывший сотрудник АНБ Джейк Уильямс (Jake Williams) «почти наверняка» уверен, что информацию о Meltdown и Spectre заранее получили китайские правительственные агентства, потому что они в штатном порядке отслеживают коммуникации между Intel и китайскими компаниями, в том числе производителями оборудования и облачными хостингами.
Параноидальные настроения специалистов вполне оправданы, потому что в прошлом уже были свидетельства об участии китайских «государственных» хакеров в разработке эксплоитов и атаках на иностранные цели с использованием программных уязвимостей 0day. Сейчас ситуация мало чем отличается, разве что уязвимости более серьёзные.
Представители Intel отказались предоставить список компаний, которым заранее выдали информацию о 0day в процессорах и с которыми заранее работали над устранением последствий. Естественно, среди них Google (собственно, её сотрудники и нашли баги). Intel говорит, что среди них ещё и «ключевые» производители компьютеров. Известно, что в их числе Lenovo, потому что она в пресс-релизе 3 января признала, что заранее работала над устранением багов. Заранее были оповещены облачные хостинги (Microsoft, Amazon, китайская Alibaba Group Holding, первые две сообщили об этом факте в маркетинговых целях), компания ARM Holdings и некоторые другие.
Intel заявила, что не смогла оповестить всех, кого хотела, включая американские спецслужбы, потому что информация стала достоянием гласности раньше, чем было предусмотрено (2 января вместо 9 января), но оправдание выглядит слабо.
Как бы то ни было, политика Intel заранее уведомлять только самых крупных партнёров о выявленных багах ставит в неудобное положение всех остальных. Это в том числе и нечестная конкуренция. Например, облачные провайдеры Joylent и DigitalOcean до сих пор работают над устранением уязвимостей, тогда как у крупных облачных хостингов — их конкурентов — была фора в полгода. И непонятно, почему Intel в первую очередь не оповестила Национальный центр реагирования на компьютерные инциденты (CERT).
Комментарии (43)
keydon2
29.01.2018 17:06Но ведь чтобы воспользоваться уязвимостью. нужно иметь возможность запускать произвольный код. А это и раньше было критично.
В первую очередь неприятно VPS хостингам, но ведь ничего не мешает уйти на VDS, верно?
А интел и правда все мутнее и мутнее. Их решение с отдельной невидимой ОС в железе, Intel ME, постоянные смены сокетов.
nvksv
29.01.2018 17:34Но ведь чтобы воспользоваться уязвимостью. нужно иметь возможность запускать произвольный код.
JavaScript в пользовательских браузерах, собственно, такую возможность и предоставляет.
В первую очередь неприятно VPS хостингам, но ведь ничего не мешает уйти на VDS, верно?
Проблема только в том, что VDS куда дороже VPS. И администрировать на порядок сложнее.
А интел и правда все мутнее и мутнее. Их решение с отдельной невидимой ОС в железе, Intel ME...
А вот тут полностью согласен. Компьютер из понятного набора понятных микросхем превращается в черный ящик, живущий своей отдельной разумной жизнью.
PlayTime
29.01.2018 17:55+1Парни, А можно узнать разницу между VDS и VPS? И первое и второе это виртуальный сервер.
nvksv
29.01.2018 18:01+1Ну да. Как-то я букву V в VDS и не заметил… Лично я под VDS имел в виду выделенный физический сервер, проcто Dedicated Server. Пардон.
Hellsy22
29.01.2018 18:17А можно узнать разницу в администрировании? А то на уровне OS, что там, что там — в общем-то одно и то же.
nvksv
29.01.2018 18:36Развернуть несколько виртуалок с нужным содержимым легко и просто. И работать с ними легко и просто — вас не волнует, какое физическое железо там используется, есть ли SAN, какова топология сети, что делать при сбое железа. Платформа виртуализации все берет на себя. При сбое же часто оказывается проще и быстрее развернуть все заново, чем восстанавливать проблемное.
Развернуть несколько выделенных серверов — легко получится, только если все железо одинаковое и разворачиваются уже готовые образа. Но чуть что не так — все шишки будут ваши, в каждом конкретном случае придется разбираться индивидуально. Когда такой сервер один — с ним носятся как с писаной торбой и пылинки сдувают. Когда их вагон и маленькая тележка — возиться с каждым нет ни времени, ни сил. Нужно делом заниматься, а не сервера бесконечно настраивать.
Barafu
30.01.2018 02:34В VPS у вас есть внешняя админка, предоставляемая сервисом. Оттуда машину всегда можно ребутнуть, сбросить раздел, а в лучших случаях — восстановить бекап и войти в консоль без SSH. Админка может делать/восстанавливать бекапы независимо от оси сервака.
С DS всех этих радостей нет. Если в нём повис и не поднимается SSH — то аля-улю, гони гусей.
aamonster
30.01.2018 08:27Ну, сейчас, наверное, пойдут тарифы вида "только ваши VPS на физическом сервере".
nvksv
30.01.2018 17:34И самое веселое, что зловред, пробравшийся на один такой наш VPS, через Spectre сможет выкачать все интересное с любого другого нашего VPS.
Управление размещением VPS поможет только одним: держать серверы с секретами в одном месте, а хоть как-то доступные извне — в другом. Тоже не сахар.
Hellsy22
30.01.2018 09:44Если в нём повис и не поднимается SSH — то аля-улю, гони гусей.
… логинься в KVM, который выглядит абсолютно точно так же, как и для VPS?
Stanislavvv
30.01.2018 13:27Не «аля-улю», а iLO :-)
И это уже дофига лет как, если сервер — таки сервер, а не разожравшийся десктоп.
echo1
30.01.2018 14:20вы конечно же можете привети юзкейсы данной уязвимости? ну тоесть есть уязвимости, а есть петя, который бушует на миллиарды долларов. и ничо, майкрософт заплатку накатил, никаких криков переходим на линукс не наблюдается.
проблема с интелом в том, что он занимает 99.7% корпоративного рынка. амд тут не игрок, из-за решения вложится в портатив они отстали лет на 10. тем более и они подвержены спектру. стоит отдать должное сектантам, как искренним, так и профессиональным, они создают впечатление что амд из себя хоть что-то представляет.
pewpew
29.01.2018 19:27Что самое интересное, по информации осведомлённых источников, Intel оповестила китайских партнёров об уязвимостях раньше, чем сообщила о них правительственным агентствам США, пишет The Wall Street Journal.
С какой стати вообще специально сообщать правительственным агентам США что-либо раньше коммерческих? Чем они важнее партнёров компании? Насколько известно, компания Intel вполне себе частная и государству ничем не обязана.
pnetmon
29.01.2018 20:22Из-за государственной безопасности. Представьте разработчики российской системы сообщили о проблеме и о вносимых изменениях своим китайским производителям, а через время оповестили о проблеме российские госорганы. Есть промежуток времени в который китайские органы и не органы знают, а отечественные органы нет. Могут злоумышленники использовать в это время уязвимости?
pewpew
29.01.2018 20:32Не вижу принципиальной разницы. С каких пор отечественные органы вдруг стали «добромышленниками»? Государственная безопасность подразумевает сохранение государства и государственного строя. Простым людям с этого ни горячо ни холодно.
surius
29.01.2018 21:13А вы рассматривайте гос. ограны как крупного потребителя с очень специфическими запросами (оборока например). Плюс вы не знаете условия на которых они (интел и гос. органы) взаимодействуют.
pnetmon
29.01.2018 21:24Государственная безопасность
Вот от этого и пляшите для техники используемой госорганами и работающей во исполнение указаний госорганов, забыв что такую же технику в личном владении могут иметь простые люди.
Притом под грифом много чего не связанного с вооружением, в том же финансовом и добывающем секторе, энергетике,.....
jryj
29.01.2018 20:46С какой стати вообще специально сообщать правительственным агентам США что-либо раньше коммерческих?
Наверняка на оборудовании интел работают какие-нибудь системы в оборонке.
В том же финансовом секторе наверняка много всякого на оборудовани интел.boblenin
29.01.2018 22:43Например с такой, что intel — это корпорация с головным оффисом в США. И тот факт, что китайские спецслужбы получили доступ к этой информации раньше чем штатовские может, при некотором старании, прокатить за гос. измену.
Учитывая, что ген. директор еще и акции продал практически перед самым оповещением об уязвимости. Вполне повод заинтересоваться этим гражданином Брайаном Кржанич.pewpew
29.01.2018 23:04О какой измене вы говорите? В этом мире никто никаким куклам поклоняться не обязан. И патриотические чувства испытывать тоже. Intel — коммерческая корпорация. Она обязана только своим акционерам. Всё остальное притянуто за уши. Да, конечно она некоторым образом несёт ответственность за продукцию, которой пользуется весь мир.
boblenin
29.01.2018 23:17Intel, как организация является резидентом страны и подчиняется ее законодательству. Но в придачу ко всему решения в компании принимают люди, которые тоже имеют гражданство и традиционно для США даже давали присягу флагу и стране.
Незнание закона не освобождает от ответственности. Что уж говорить о сознательном игнорировании.gagmaker
30.01.2018 00:00Незнание закона не освобождает от ответственности. Что уж говорить о сознательном игнорировании.
Простите, незнание какого именно закона вы вменяете Intel-овскому начальству?boblenin
30.01.2018 00:12Не им, а предыдущему оратору 107-56.
Они-то вряд ли могут пытаться мотивировать что-то незнанием. Собственно и не пытаются.gagmaker
30.01.2018 02:21естесственно. в идеале, они должны действовать так, что бы принести наибольшую выгоду бизнесу, или, в данном, случае — причинить наименьший ущерб. очевидно, очередность оповещения слабо связана с величиной ущерба; я думаю они, зная о масштабе проблемы, пытались минимизировать ущерб лично для себя любимых, а уж потом все остальное. вот это — реальная проблема, а не очередность оповешения и уж точно не то, что гос-во было оповещено не в первую очередь.
boblenin
30.01.2018 17:40Какое из действий минимизировало ущерб? Insider trading или treason?
gagmaker
30.01.2018 20:05Какое из действий минимизировало ущерб?
А вы видите только эти действия? Очевидно у Intel был выбор, что делать и, наверняка, они рассматривали многие версии. Так же очведно, что государство рассматривалось как равноправный партнер и клиент.
Insider trading или treason?
Insider trading — это еще не оконченная история. Насчет treason — не смешите вы публику. Вы что на самом деле считаете, что если бы Intel в первую очередь побежал к президенту или в fbi, то это как-нибудь повлияло на их ситуяцию, что она была бы лучше? Это, наверное, верно для стран суверенной демократии, здесь — пока еще не так.
Если вы видите предательство в действиюх Intel, почему вы не видите, по крайней мере, преступной халатности в действиях государственных огранов, использовавших процессоры Intel?
Абсурд, правда? Так же как и ваши обвинения в предательстве…boblenin
30.01.2018 20:44> А вы видите только эти действия?
А вы видите какие-то еще? Это факты или фантазии?
> Насчет treason — не смешите вы публику. Вы что на самом деле
> считаете, что если бы Intel в первую очередь побежал к президенту
> или в fbi
Если бы у бабушки… не очень понятно, что вы хотите доказать прибегая к такому приему. Можно, конечно, немного пофантазировать, но не понятно зачем.
> Это, наверное, верно для стран суверенной демократии, здесь — пока
> еще не так.
Этого я не понял. Вы о чем вообще? Здесь — это где?
> Если вы видите предательство в действиюх Intel, почему вы не
> видите, по крайней мере, преступной халатности в действиях
> государственных огранов
Гос. органы еще 30 лет назад всеми правдами и неправдами вытягивало AMD, как альтернативу Intel. Вполне себе адекватная перестраховка. Вы предлагаете судить гос. органы (кого например поименно или хотя бы по должностям?) за то, что не смогли предсказать то, что у intel будут такие уязвимости?
С одной стороны обладание информацией и сокрытие, с другой телепатия.
> Абсурд, правда? Так же как и ваши обвинения в предательстве…
Правда абсурд. Как и ваша демагогия.gagmaker
30.01.2018 21:25не очень понятно, что вы хотите доказать прибегая к такому приему. Можно, конечно, немного пофантазировать, но не понятно зачем.
прием называется — мысленный эксперимент :) обычно, прежде чем действовать, анализируешь последствия. Что бы понять мотивации, часто полезно анализировать postmortem возможные варианты действий, «если бы» (what-if analysis).
Здесь — это где?
в штатах.
С одной стороны обладание информацией и сокрытие
Вы путаетесь в показаниях… Определитесь, сокрытие информации или, все-таки, предательство.
FYI, даже Розенбергов не судили за предательство. Но вы почему-то считаете, что Intel нужно судить именно за предательство. абсурд.
Интересно услышать почему Intel молчал в течении 6 месяцев — это да. Но даже это молчание на криминал не тянет, имхо.boblenin
30.01.2018 23:50> Что бы понять мотивации, часто полезно анализировать
> postmortem возможные варианты действий, «если бы» (what-if
> analysis).
Т.е. теперь вы вменяете главе Intel то, что он рассматривал такой вариант и отмел его как несущественный. Другими словами приписываете ему умысел, верно?
> Вы путаетесь в показаниях… Определитесь, сокрытие
> информации или, все-таки, предательство.
Это вы путаетесь в понятиях. «treason — 1) the crime of betraying one's country,...», «Преда?тельство — нарушение верности кому-либо или неисполнение долга перед кем-либо.»
Сокрытие информации или дезинформация лежит в другой плоскости. Перпендикулярной.
> в штатах.
See it, say it — пока еще не закон. 107-56 подходит близко.
> FYI, даже Розенбергов не судили за предательство.
Ну… Клинтон только пальчиком погрозили за организацию утечки секретной инофрмации. Фемида, как известно, не зрячая.
> Интересно услышать почему Intel молчал в течении 6 месяцев —
> это да. Но даже это молчание на криминал не тянет, имхо.
Почему молчал как раз понятно. Стандартная практика при получении оповещения о взломе — сначала постараться нейтрализовать проблему и уменьшить последствия, а только потом переставать молчать.gagmaker
31.01.2018 00:26Т.е. теперь вы вменяете главе Intel то, что он рассматривал такой вариант и отмел его как несущественный. Другими словами приписываете ему умысел, верно?
Вменяю, приписываю? Вы читаете между строк? Если, да, то явно не моих.
я-то как раз ничего, никому не вменяю. это вы призываете судить Intel то за предательство, то за сокрытие информации… Я всего лишь предполагаю. И исхожу при этом, что они все-таки компетентные люди, что бы принимать решения такого уровня.
Это вы путаетесь в понятиях. «treason — 1) the crime of betraying one's country,...», ...
Словарь Даля здесь вообще ни причем. Если вы говорите об обвинениях, о суде, то, наверное, нужно использовать юридическое значение слов.
Термин treason в Конституции США (Article III, section 3) определен так:Treason against the United States, shall consist only in levying War against them, or in adhering to their Enemies, giving them Aid and Comfort.
С какой стороны в действиях Intel вы видите предательство: War, Aid or Comfort?
Dvlbug
30.01.2018 21:08Скажите вы верите, что в структурах Intel, в том числе максимально высоких уровней, не было людей от госструктур?
То что говорят, ничего не значит, никак на ситуацию они повлиять не могли.
Если будем доверять каждому слову, то если скажу, что ваша мама это папа, вы мне поверите?boblenin
30.01.2018 23:54Я тоже думаю, что за каждым из нас наблюдает агент из ФСБ, ФБР, ЦРУ, МИ-6 и конечно Моссад. Ну а за каждым из них наблюдает двое из вышеперечисленных.
Dvlbug
30.01.2018 10:07А каким образом разглашение уязвимости в ИХ собственном продукте может попасть под гостайну? Спецификации процессоров и технологий пусть под NDA, но доступны.
pashkov
30.01.2018 16:19Интересно, почему Google Project Zero полгода молчали?
За комментариями к Баффету или к Сноудену?Dvlbug
30.01.2018 19:46geektimes.ru/post/297311
Проект вовсе не молчал, они почти сразу сообщили и не обнародовали информацию, пока все не слил The Register.
gx2
SergeyMax
Посмотрите внимательнее, первое письмо было 29-го декабря, и время перезагрузки планировалось на 10-е января, но
и обновление переназначили на 3-е.
gx2
Я к тому, что оповестили допустим в июне-августе (слово «заранее» подразумевает, что не за месяц до), а назначили обслуживание на самый крайний срок 9-10 января, как так-то…
MaxEL_UA
Я 15 декабря ресайзил несколько виртуалок в ARM и пару в ASM. Так вот у них был стататус Already Updated по крайней мере 2-го января, когда начал готовиться к риьутам 10-го… И они не бутались.
gx2
Пользуемся только ARM, вся классика давно перенесена в ARM. Проблемы были только с Ubuntu, у них отвалился waagent, и были большие танцы. У debian и windows всё ок. Если что, это Западная Европа.