پنهان کاری اینتل از آسیب پذیری پردازنده ها

نوشته شده توسط :
پنهان کاری اینتل از آسیب پذیری پردازنده ها

بر اساس نامه‌هایی که از سوی شرکت‌های فعال در حوزه‌ی فناوری به قانون‌گذاران ایالات متحده ارسال شده؛ اینتل تا زمانی که اخبار مرتبط با دو آسیب‌پذیری امنیتی موسوم به Meltdown و Spectre به‌طور عمومی منتشر نشده بودند، وجود این روزنه‌های امنیتی را به مراجع دولتی گزارش نداده است. این در حالی است که شش ماه پیش از انتشار اخبار مرتبط به روزنه‌های امنیتی یادشده، آلفابت، شرکت مادر گوگل، اینتل را از وجود این آسیب‌پذیری‌ها مطلع ساخته بود.

مقامات دولت فعلی و پیشین ایالات متحده در این باره که اطلاعات مربوط به وجود این دو آسیب‌پذیری پیش از نشر عمومی اخبار مربوطه به دولت گزارش نشده‌اند، ابراز نگرانی کرده‌اند؛ چرا که چنین روزنه‌هایی می‌توانند بر امنیت ملی ایالات متحده تاثیرگذار باشند. از سوی دیگر اینتل مدعی است که به عقیده‌ی این شرکت نیازی به اشتراک‌گذاری اطلاعات با دولت وجود نداشته است، چرا که هکرها از این روزنه‌های امنیتی استفاده نکرده‌ بودند.

اینتل تا سیزدهم دی‌ماه (سوم ژانویه) که اطلاعات مربوط به روزنه‌های امنیتی Meltdown و Spectre در وب‌سایت The Register منتشر شدند، از اطلاع‌رسانی به گروه آمادگی فوریت‌های رایانه‌ای ایالات متحده که بیشتر با عنوان US-CERT شناخته می‌شود، خودداری کرده بود. وظیفه‌ی این گروه اطلاع‌رسانی به بخش‌های دولتی و خصوصی در رابطه با مشکلات مربوط به فضای مجازی است؛ گروه مذکور از اظهار نظر در مورد این مسئله خودداری کرده است.

در پاسخ به درخواست گرگ والدن، نماینده‌ی جمهوری‌خواه در مجلس نمایندگان آمریکا که مدیریت کمیسیون انرژی و تجارت مجلس را نیز بر عهده دارد، روز پنج‌شنبه اینتل، آلفابت و اپل نامه‌هایی ارسال کردند که طی این نامه‌ها جزئیات مربوط به زمان انتشار اخبار مربوط به روزنه‌های امنیتی Meltdown و Spectre شرح داده شده‌اند؛ خبرگزاری رویترز نیز موفق شده است تا به این نامه‌ها دست پیدا کند.

به گفته‌ی آلفابت، پژوهشگران امنیتی در گروه پروژه‌ی «صفر» گوگل طی ماه ژوئن سه شرکت اینتل، AMD و ARM را از وجود این دو روزنه‌ی امنیتی آگاه کرده‌اند. سپس آلفابت به آن‌ها ۹۰ روز فرصت داده است تا راهکاری برای مقابله با این آسیب‌پذیری‌ها پیدا کنند. کاری که آلفابت انجام داده رویه‌ای استاندارد است که به شرکت‌ها اجازه می‌دهد پیش از انتشار عمومی اخبار مرتبط با آسیب‌پذیری‌ها و سوءاستفاده‌ی هکرها از این آسیب‌پذیری‌ها نسبت به رفع آن‌ها اقدام کنند.

مقامات آلفابت می‌گویند تصمیم‌گیری در مورد اطلاع‌رسانی به دولت پیرامون این دو آسیب‌پذیری را به شرکت‌های تولید‌کننده‌ی پردازنده واگذار کرده بود؛ این کار نیز یک رویه‌ی استاندارد در میان شرکت‌های فعال در حوزه‌ی فناوری است. از سوی دیگر اینتل نیز در نامه‌ی خود توضیح داده است که چون نشانه‌ای دال بر سوءاستفاده‌ی هکرها از این روزنه‌های امنیتی وجود نداشته، تصمیم گرفته دولت را از وجود این دو روزنه‌ی امنیتی مطلع نسازد.

اینتل مدعی است که تحلیلی پیرامون خطرات احتمالی این آسیب‌پذیری‌ها برای زیرساخت‌های حیاتی انجام نداده، چرا که به اعتقاد آن‌ها این روزنه‌های امنیتی نمی‌توانند تاثیری بر سیستم‌های کنترل صنعتی داشته باشند. با این وجود، بر اساس نامه‌ی ارسال شده توسط اینتل، این شرکت دیگر شرکت‌های حوزه‌ی فناوری را که از پردازنده‌های ساخت اینتل استفاده می‌کرده‌اند، از وجود مشکل یادشده آگاه کرده است.

اینتل، آلفابت و اپل از اظهار نظر پیرامون این مسئله خودداری کرده‌اند. در کنار آن‌ها، AMD ،ARM، مایکروسافت و آمازون نیز به سوالات قانون‌گذاران آمریکایی پاسخ داده‌اند. مایکروسافت می‌گوید چند هفته‌ پیش از انتشار عمومی اخبار مرتبط با این آسیب‌پذیری‌ها، شرکت‌های سازنده‌ی نرم‌افزارهای آنتی‌ویروس را از وجود این دو روزنه‌ی امنیتی آگاه ساخته است تا از مشکلات مرتبط با سازگاری پیشگیری کند. AMD نیز می‌گوید آلفابت فرصت ۹۰ روزه‌ی داده‌شده به شرکت‌های تولید‌کننده‌ی پردازنده برای مقابله با این روزنه‌های امنیتی را دو بار تمدید کرد؛ یک بار تا سیزدهم دی‌ماه (۳ ژانویه) و بار دوم نیز تا نوزدهم دی‌ماه (۹ ژانویه).

 

منبع :زومیت