Производитель чипов исправил несколько проблем с чипами в мае. Теперь он выпускает очередное исправление, но сторонние аналитики говорят, что компания не сообщает о своих проблемах всей правды
В мае, когда Intel выпустила патч для группы дыр в безопасности, найденных исследователями в процессорах компании, она дала понять, что все проблемы были таким образом решены.
Однако это оказалось не всей правдой, если верить голландским исследователям из Амстердамского свободного университета, обнаруживших уязвимости и сообщивших об этом техногиганту в сентябре 2018. Программный патч, который должен был исправить проблему с процессорами, исправлял только некоторые из обнаруженных исследователями проблем.
И только через 6 месяцев был выпущен второй патч, публично представленный компанией в начале ноября, в котором реально исправляются все проблемы, об исправлении которых Intel рапортовала ещё в мае — так утверждают в своём интервью исследователи.
Intel объявила общественности, что «всё исправлено», сказал Кристиано Джуфрида, профессор информатики из Амстердамского свободного университета, один из исследователей, сообщивших об уязвимостях. «И мы знали, что это было не так».
Эти уязвимости, как и другие серьёзные дыры в безопасности компьютерных чипов, обнаруженные сообществом специалистов по безопасности в последнее время, позволяли злоумышленникам извлекать пароли, шифровальные ключи и другие чувствительные данные из процессоров настольных компьютеров, ноутбуков и облачных серверов.
Заявления, сделанные исследователями, демонстрируют характерное напряжение между технологическими компаниями и экспертами по безопасности, периодически прочёсывающими продукты компаний в поисках недостатков, делающих компьютерные системы уязвимыми к атакам.
И хотя многие исследователи дают компаниям время на исправление проблем перед тем, как раскрыть эти уязвимости широкой общественности, технокомпании могут не торопясь исправлять ошибки, и пытаться заткнуть рот исследователям, стремящимся информировать общественность о проблемах с безопасностью.
Исследователи часто соглашаются раскрывать информацию об уязвимостях только для компаний, и не сообщать о них никому более до тех пор, пока компания не сможет выпустить патч. Обычно исследователи договариваются с компаниями о деталях публичного объявления о выходе исправления. Однако голландские исследователи говорят, что Intel злоупотребляла этим процессом.
Теперь они же утверждают, что Intel вновь взялась за старое. Они сказали, что новый патч, вышедший в ноябре, всё равно не исправляет одну из проблем, о которой они рассказали Intel в мае.
В Intel признали, что майский патч не исправляет все раскрытые исследователями проблемы, как и исправление от ноября. Однако они «чрезвычайно сильно» уменьшают риск атаки, сказала Лей Розенуолд, представитель компании.
Розенуолд сообщила, что Intel вместе с ноябрьским патчем публикует график работы над исправлениями – не как прямой ответ на жалобы исследователей, а в целях прозрачности.
«Мы обычно так не делаем, но нам стало понятно, что это сложный вопрос. Мы определённо должны подойти к этому прозрачно, — сказала она. – Мы можем не соглашаться с некоторыми наблюдениями исследователей, но, несмотря на это, мы ценим наши взаимоотношения с ними».
Голландские исследователи восемь месяцев молчали о проблемах, раскрытых ими во время работы Intel над патчем, выпущенным в мае. Затем, когда в Intel поняли, что патч не исправляет всех проблем, и попросили исследователей помолчать ещё шесть месяцев, их также попросили изменить работу, которую они планировали представить на конференции по компьютерной безопасности, убрав из неё все упоминания неисправленных уязвимостей. Исследователи говорят, что они неохотно согласились на это, поскольку не хотели, чтобы эти уязвимости стали известны общественности, пока к ним не будут выпущены исправления.
«Нам пришлось отредактировать работу ради них, чтобы мир не узнал, насколько всё уязвимо», — сказал Каве Разави, ещё один профессор информатики из Амстердамского свободного университета, член группы, сообщившей об уязвимостях.
Команда исследователей из Амстердамского свободного университета, слева направо: Герберт Бос, Кристиано Джуфрида, Себастьян Остерлунд, Пьетро Фриго, Алиса Милбёрн и Каве Разави.
По словам исследователей, после того, как они сообщили компании о неисправленных ошибках перед выпуском ноябрьского патча, в Intel попросили исследователей ничего не рассказывать об этом, пока в компании не подготовят очередной патч. Однако на этот раз исследователи отказались подчиняться.
«Мы думаем, что пришло время рассказать миру, что даже сейчас в Intel не исправили проблему», — сказал Герберт Бос, коллега упомянутых профессоров из Амстердамского свободного университета
Первые уязвимости были обнаружены, в том числе, университетской группой VUSec, куда входят Джуфрида, Бос, Разави, и четверо их аспирантов: Стефан ван Шайк, Алиса Милбёрн, Себастьян Остерлунд и Пьетро Фриго. Вторая группа из Грацского университета имени Карла и Франца в Австрии независимо от них обнаружила некоторые из этих проблем, и сообщила о них в Intel в апреле.
И все эти уязвимости произрастают из одной проблемы, связанной с обработкой данных процессорами от Intel.
Для экономии процессоры выполняют определённые функции, необходимость в которых они предсказывают заранее, и хранят обработанные данные. Если эту функцию отменяют и данные оказываются не нужны, они на некоторое время остаются в системе.
Уязвимость позволяет третьему лицу извлечь данные во время их обработки или хранения. Каждый из вариантов, открытых исследователями, описывает свой способ извлечения этих данных атакующим.
«Есть одна реальная проблема и есть много вариантов», — сказал Бос.
Когда Intel в мае выпустила исправления, она охарактеризовала проблему, как «от низкой до средней степени серьёзности». Исследователи рассказали, что компания выплатила им награду в $120 000 за открытие и сообщение об уязвимостях. Награды за указание на проблемы выплачиваются регулярно, но такая сумма за нахождение ошибки от низкой до средней степени серьёзности кажется очень высокой.
Когда исследователи сообщили о первых уязвимостях в Intel в сентябре 2018 года, они приложили к сообщению примеры успешного использования этих дыр – злонамеренный код, демонстрирующий успешные примеры атак для каждой из уязвимостей.
Следующие восемь месяцев команда реагирования на проблемы с безопасностью из Intel проверяла эти открытия и создала патч с намеченной датой выхода 11 мая. За четыре дня до выпуска, когда компания передала исследователям подробности этого исправления, те быстро поняли, что патч не исправляет все найденные уязвимости.
Инженеры от Intel просмотрели некоторые из примеров использования дыр, предоставленные исследователями. Но исследователи утверждают, что специалисты в Intel должны были, даже не видя этих материалов, самостоятельно раскрыть дополнительные уязвимости на основе известных данных.
Исследователи говорят, что в Intel избрали неэффективный способ справиться с уязвимостями в чипах. Вместо исправления главной проблемы, что, возможно, потребовало бы перепроектировать процессор, компания исправила каждый вариант проблем по отдельности.
«Мы уверены, что остаётся ещё куча уязвимостей, — сказал Бос. – А они не собираются как следует заняться инженерной разработкой до тех пор, пока на кону не окажется их репутация».
Стандартной практикой для инженеров, исправляющих код, при обнаружении нового класса уязвимостей является поиск дополнительных вариантов проблемы за исключением тех, что уже были обнаружены и о которых им сообщили.
Голландские исследователи утверждают, что ни один из вариантов атаки, предоставленных ими в Intel, не отличался на фундаментальном уровне от тех, что компания исправила, поэтому там должны были провести экстраполяцию и найти все оставшиеся варианты самостоятельно.
«Многие пропущенные ими атаки отличались от других несколькими строчками в коде. Иногда даже одной строчкой кода, — сказал Джуфрида. – Последствия этого события нас волнуют. Это значит, что пока мы не выдадим им все возможные варианты проблемы, они её не исправят».
Розенуолд из Intel сказала, что компания исправила основную проблему, изменив некоторые чипы, и будет вносить сходные исправления в другие свои чипы.
Несмотря на то, что исследователям запретили разглашать подробности, споры об этих уязвимостях начали просачиваться наружу. Информация об этом так свободно передавалась друг другу, что в итоге вернулась к самим исследователям.
«Всё больше и больше людей узнавало об этой уязвимости, до такой степени, что в итоге эта информация вернулась обратно к нам, — сказал Бос. – Они выстраивают иллюзию, что весь процесс раскрытия информации якобы находится у них под контролем. Но его никто не контролирует, и информация утекает».
Всё это означает, что пока исследователи хранили молчание, другие люди, желавшие воспользоваться уязвимостями, потенциально могли уже узнать о них. «Кто угодно может превратить это в оружие. И когда вы не сообщаете об этом общественности, это даже хуже, поскольку появятся люди, способные использовать эту информацию против незащищённых пользователей», — сказал Разави.
