USA začali prešetrovať ako sa utajovali informácie o Meltdown a Spectre

Značky: kauza Meltdown a SpectrebezpečnosťUSA

DSL.sk, 25.1.2018

Kým slovenská štátna správa nedokáže uspokojivo realizovať ani bežné nasadzovanie IT do praxe a predvádza v tejto oblasti jedno zlyhanie za druhým, napríklad v USA sa štát snaží nezaostať za vývojom v IT a často rieši aj dôležité otázky smerovania IT neriešené a neriešiteľné jednotlivými firmami.

Takým je aj včera odštartované vyšetrovanie spôsobu, akým sa utajili a nakoniec zverejnili informácie o závažných zraniteľnostiach Meltdown a Spectre v moderných procesoroch, americkým kongresom, konkrétne výborom pre energetiku a obchod Snemovne reprezentantov USA.

Zraniteľnosti Meltdown a Spectre, ktoré umožňujú útočníkom získať prístup k obsahu pamäti ku ktorej nemajú mať prístup a tak aj k akýmkoľvek citlivým dátam spracúvaným počítačmi, boli nezávisle objavené až tromi tímami. Ako prvý upozornil viaceré zainteresované spoločnosti tím Google Project Zero, v júni 2017.

Potenciálne problematickým aspektom riešenia týchto mimoriadne vážnych zraniteľností dotýkajúcich sa veľkého množstva počítačov, mobilných zariadení a ďalších moderných počítačových zariadení je ktoré spoločnosti boli na zraniteľnosti upozornené a aký režim zvolili s riešením a ďalším šírením týchto informácií.

Podľa výboru ich bolo totiž len menej ako desať, pričom uvádza sedem, okrem Google ešte Intel, AMD, ARM, Apple, Microsoft a Amazon. Na informácie bolo ale uvalené embargo do 9. januára 2018 a ďalším spoločnostiam, organizáciám a štátom tieto informácie poskytnuté neboli. Tie tak nemohli riešiť tieto problémy vo vlastných službách, produktoch a infraštruktúre a dozvedeli sa o nich až po zverejnení.

Informácie boli nakoniec zverejnené o niekoľko dní skôr ako vypršalo embargo, po zverejnení dedukcie na základe malej indície z povahy zmien v linuxovom jadre riešiacich Meltdown. Či o zraniteľnostiach vedeli ostatní vývojári linuxového jadra okrem prispievateľov z vyššie vymenovaných spoločností nie je jasné.

Kongresmani s cieľom prešetrenia týchto okolností napísali list CEO týchto siedmich spoločností s viacerými otázkami, na ktoré žiadajú odpovede do 7. februára. Okrem iného sa ich pýtajú, či vyhodnotili dopady neposkytnutia týchto informácií iným IT firmám a dopady na kritickú infraštruktúru, kedy informovali bezpečnostné tímy CERT a US-CERT.

Podľa listu si samozrejme uvedomujú potrebu kompromisu medzi širším zdieľaním informácií a potrebou chrániť tieto informácie pre únikom osobám so zámerom ich zneužiť, považujú ale za potrebné prešetriť či v prípade Meltdown a Spectre bolo embargo manažované správne a celkovo zhodnotiť ako by sa v podobných prípadoch malo poskytovať.

To samozrejme nie je len hypotetická otázka, keď dopady režimu zverejnenia informácií o týchto zraniteľnostiach je možné vidieť u viacerých firiem a verejne napríklad u chaotického riešenia problémov v linuxom jadre. Linux a jeho jadro samozrejme dnes ale používa veľká väčšina serverov.

Navyše opravenie zraniteľností nezvládli ani samotní výrobcovia čipov. Intel má problémy s aktualizáciami mikrokódu spôsobujúcimi reštarty a oficiálne odporúča doteraz vydané aktualizácie neinštalovať, firma navyše veľmi problematicky komunikuje. AMD, ktorej procesory sú postihnuté menej a Meltdown sa ich netýka, nemala v čase zverejnenia stopercentné informácie o aplikovaní druhej verzie Spectre na jej CPU a pôvodne avizovala, že je minimálna šanca realizovať tento útok. To sa ale zmenilo a chrániť sa je potrebné aj v prípade AMD.




Najnovšie články:



Diskusia:

skutok sa nestal.... Od: dghsdafg | Pridané: 25.1.2018 10:01 jaaaaj ci to nie na slovensku sa bude vysetrovat? Odpovedať Známka: 3.3 Hodnotiť:

Re: skutok sa nestal.... Od: veduci | Pridané: 25.1.2018 10:06 na Slovensku sa skutok nestal, kedze policia je tu riadena Kalinakom a ten neutpel ziadnu ujmu pri utokoch Meltdown a Spectre, neni co vysetrovat a koho branit! Odpovedať Známka: 6.8 Hodnotiť:

Re: skutok sa nestal.... Od: samovybuch samounos | Pridané: 25.1.2018 13:22 SamoMeltdown a samoSpectre, Viete ako znížite kriminalitu a zvyšitem objasnenosť zločinov? Budete poškodených ignorovať, dovtedy až kým sami nechytiam páchateľa. Až potom je skutok zločin a pán policajt sa vôbec nemusí namáhať. Treba si vedieť vybrať prípad. Odpovedať Známka: 4.3 Hodnotiť:

Re: skutok sa nestal.... Od: samonapadnutie | Pridané: 25.1.2018 13:24 Netreba sa stresovať niekto Meltdown a Spectre určite vyrieši stačí počkať a urobí to zadarmo, aby sa zviditeľnil. Odpovedať Známka: 3.3 Hodnotiť:

Re: skutok sa nestal.... Od reg.: quix_ | Pridané: 25.1.2018 19:04 alebo aj nie a bude sa to zneuzivat veselo niekolkopismenkovymi agenturami z roznych koncov sveta(ah aka to ironia, ked planeta je gulata) Odpovedať Hodnotiť:

Re: skutok sa nestal.... Od: Stalo sa? | Pridané: 25.1.2018 10:08 Monzo Intel urobi reklamu ako naleje do americkej ekonomiky v najblizsich rokoch miliardy dolacov. A skutok sa stal ale vyseru sa na to. Odpovedať Známka: 3.3 Hodnotiť:

Re: skutok sa nestal.... Od: taglajf | Pridané: 25.1.2018 11:04 pytal som sa Kalinaka, vraj nevie ci sa skutok stal lebo za tuto firmu neinkasuje "dotacie" Odpovedať Známka: 4.5 Hodnotiť:

Re: skutok sa nestal.... Od: aha problém | Pridané: 25.1.2018 13:51 Počkaj pozriem sa na účet. Do pamäte serveru. Odpovedať Hodnotiť:

ultraradikalny optimizmus Od: syntaxterrorX XX | Pridané: 25.1.2018 10:11 Byt CEO jednej z tych firiem, tak tu zasielku rovno forwardujem NSA a vyuctovanie za klik posielam na Finance Department. Odpovedať Známka: 3.3 Hodnotiť:

Re: ultraradikalny optimizmus Od: bludič | Pridané: 25.1.2018 13:19 a preto nie si CEO jednej z tých firiem. Odpovedať Známka: 7.5 Hodnotiť:

nabozensko-filozoficke presvedcenie Od: syntaxterrorX XX | Pridané: 25.1.2018 13:51 Presne tak. Byt CEO jednej z tých firiem by ma vnutorne priekazne neuspokojovalo. Odpovedať Známka: 0.0 Hodnotiť:

sdfghjkl Od: dfghjk | Pridané: 25.1.2018 10:17 no neviem. vmware vydal patch na spectre na zaciatku septembra minuleho roka, takze tie informacie asi malo viac firiem ako tych 7 vymenovanych. Odpovedať Známka: 5.0 Hodnotiť:

Re: sdfghjkl Od: frflee3141592 | Pridané: 25.1.2018 10:42 Ale asi sa k nim nedostal "oficialne". Odpovedať Známka: 5.0 Hodnotiť:

Titulok: Od: Meno: | Pridané: 25.1.2018 10:22 Kreteni rieia ako sa utajovali informacie miesto toho aby riesilo aby sa takym chybam predchadzalo a nebudu musie utajovat nic. Odpovedať Známka: -4.0 Hodnotiť:

Re: Titulok: Od: spoo | Pridané: 25.1.2018 11:16 ide tu vobec o UTAJOVANIE? nie... je jedno ako sa chranis musime ta vidiet do rychlosti 500kb/s s podstate real-time Odpovedať Známka: 0.0 Hodnotiť:

Re: Titulok: Od reg.: Say Truth | Pridané: 25.1.2018 14:14 Riešia to všetci, ale prečo sa neobjavujú správy o nejakých kauzách o výtvoroch čo by to už teraz zneužívali? Predsa už dosť času ubehlo a už by sa mali objavovať nejaké krádeže osobných údajov, identít, master key od bitcoinov atď... Čo myslíte? Odpovedať Hodnotiť:

Re: Titulcancel: Od: syntaxterrorX XX | Pridané: 25.1.2018 14:28 Presne tak. By sa mali objavovať aspoň nejaké krádeže správ o nejakých kauzách o výtvoroch čo by to už teraz priekazne zneužívali. Odpovedať Známka: 3.3 Hodnotiť:

Re: Titulcancel: Od: dj_v | Pridané: 25.1.2018 14:59 prečo by sa malo verejne hovoriť o NSA? Nie každý sa chce skrývať v Rusku Odpovedať Hodnotiť:

Re: Titulok: Od reg.: Uhlik | Pridané: 25.1.2018 17:09 Chybám sa predchádzať nedá a budú sa diať vždy, ale štát určite zaujíma, ako je vôbec možné, že sa nejakú informáciu podarilo utajiť pol roka aj pred samotným štátom a jeho spravodajskými službami ;) ... Odpovedať Hodnotiť:

USA začali prešetrovať Od: +-/ | Pridané: 25.1.2018 10:28 z tohto "akým sa utajili a nakoniec zverejnili informácie" usudzujem, ze nie je podstatne utajenie, ale hlavne sposob a pricina zverejnenia.... Aby sa tomu dalo do buducnosti zabranit :)))) Odpovedať Známka: 2.0 Hodnotiť:

50% bonus Token Od: VIOLA | Pridané: 25.1.2018 11:39 Pozrti tento pre-ICO: AI robot aplikovaný na blockchaine a má slúžiť na automatickú zoznamku - predpokladám že to bude hľadať podľa inputov najlepšiu osobu k tebe v rámci zoznamky. Vypadá to na zaujímavý projekt a vieš získať teraz 50% tokenov v pre-ICO fáze ;-) https://viola.ai/?r=20c33a6a66de Odpovedať Známka: -8.3 Hodnotiť:

Re: 50% bonus Token Od reg.: Say Truth | Pridané: 25.1.2018 14:05 forever alone Odpovedať Známka: 10.0 Hodnotiť:

Problém intelu. Od: Dušan123 | Pridané: 25.1.2018 15:24 "a verejne napríklad u chaotického riešenia problémov v linuxom jadre." Redakcia, to ste si mohli odpustiť. Chaos vytvárajú hlavne programátori intelu. Zdá sa, že namiesto dostatočného riešenia, chcú urobiť riešenie ktoré zníži výkon a potom veľa užívateľov nebude chcieť zapnúť opravu a keď ich hacknú (napríklad z NSA) tak intel bude z obliga. Úžasné. Odpovedať Známka: 2.5 Hodnotiť:

Statna sprava Od: Netrep | Pridané: 25.1.2018 16:12 Aj sprava aj intel sa vezu na jesnej lodi.zobrat prachy za produkt,tak cicho. Odpovedať Hodnotiť:

ako to dopadne Od reg.: ujo horar | Pridané: 25.1.2018 17:30 podla mna to dopadne tak, ze ukazu rukou na konkretneho pracovnika vyvoja vo firme intel, ktory to "posral" a toho daju do basy na 156 rokov ako je v statoch zvykom... Odpovedať Známka: 4.0 Hodnotiť:

Re: ako to dopadne Od: poiuz | Pridané: 26.1.2018 11:26 Mám riešenie na Meldown a Spectre. Stačí dementovať správu z 8.1.2018 resp bydanej o niekoľko dní neskôr. No a potom máme na ďalších 25 rokov pokoj. Prípadne je tu možnosť prejsť na architektúru 80486, ktorá nevyužívala špekulatívne výpočty. Už v 1993 sme vedeli, že prečo je Pentium také rýchle: "Pentium nepočíta, Pentium háda!" :) Odpovedať Hodnotiť:

Pridať komentár