Η μυστικότητα που επέβαλε η Intel εξακολουθεί να περιβάλλει πολλές λεπτομέρειες των τρωτών σημείων Meltdown και Specter που προκάλεσαν και συνεχίζουν να προκαλούν προβλήματα σε παγκόσμιο επίπεδο.
Είναι γνωστό ότι οι πληροφορίες για τις ευπάθειες ασφαλείας που ανακαλύπτονται διατηρούνται υπό άκρα μυστικότητα, μέχρις ότου κυκλοφορήσει κάποια νέα ενημέρωση κώδικα. Είναι μια ώριμη και καλά κατανοητή διαδικασία.
Όμως στην περίπτωση των Meltdown και Specter, τα πράγματα δεν πήγαν όπως αναμενόταν.
“Κανονικά, έχουμε χρονοδιαγράμματα και αποκαλύπτουμε πλήρως το τι συνέβη”, δήλωσε ο Jonathan Corbet, ο οποίος διατηρεί την τεκμηρίωση για τον πυρήνα του Linux και είναι μέλος του Technical Advisory Board του Linux Foundation.
“Σε αυτή την περίπτωση εξακολουθεί να υπάρχει πολλή μυστικότητα για το Meltdown και Specter και τον τρόπο που μπορεί να τα διαχειριστεί κανείς.”
Ο Jess Frazelle, ο οποίος εργάζεται σε λογισμικό ανοιχτού κώδικα, και containers για Linux στη Microsoft ανέφερε στο linux.conf.au open-source software conference που έγινε στο Sydney την Τετάρτη:
“Υπάρχουν άνθρωποι που έχουν δηλώσει δημοσίως σε αυτή τη διάσκεψη ότι δεν τους επιτρέπεται να λένε καν τα ονόματα αυτών των τρωτών σημείων”, δήλωσε ο Corbet, αναφερόμενος στον Casey Schaufler της Intel.
Ο Schaufler παρουσίασε μια συζήτηση για το μέλλον της ασφάλειας στον πυρήνα του Linux, αλλά του απαγορεύτηκε να αναφέρει ακόμη και το πιο σημαντικό πρόβλημα στα προϊόντα της εταιρείας του από το bug Pentium FDIV που υπήρξε πριν από μια γενιά.
Θα μπορούσαν τα τρωτά σημεία όπως το Meltdown και το Specter να εντοπιστούν ταχύτερα εάν οι κατασκευαστές μετακινηθούν σε πιο ανοικτές αρχιτεκτονικές, projects που θα μπορούσαν να επιδιορθωθούν πιο άμεσα από τις κοινότητες λογισμικού;
Ο hardware hacker Andrew “bunnie” Huang το πιστεύει:
“Δυστυχώς, νομίζω ότι στην περίπτωση αυτού του συγκεκριμένου σφάλματος, όλα τα συστατικά που ήταν απαραίτητα να συμβεί, ήταν δημοσιευμένα ” αλλά γενικά έχει την πεποίθηση ότι το ανοιχτό hardware μπορεί να βοηθήσει στην εύρεση άλλων σφαλμάτων.
Όμως το πρόβλημα είναι καθαρά το κέρδος:
Ο Huang ανέφερε ότι θα είναι ενδιαφέρον να δούμε τι συμβαίνει με την Intel, καθώς το σφάλμα Pentium FDIV τους κόστισε 475 εκατομμύρια δολάρια το 1994.
Από την άλλη ο Huang αναρωτήθηκε αν αυτή η μυστικότητα τελικά βοηθάει.
“Από ποιο προσπαθείς να προστατεύσεις την είσοδο; Προσπαθείς να σιγουρευτείς ότι οι τυχαίοι νεαροί scripters δεν θα χρησιμοποιήσουν την ευπάθεια; Ή κοιτάζεις να κρατήσεις τους κρατικούς hackers μακριά; .. Αν πραγματικά προσπαθείτε να προστατέψετε, για παράδειγμα, από τους κρατικούς hackers, αυτοί οι τύποι μπορεί να ακούνε ήδη τις επικοινωνίες σας και θα γνώριζαν για την ευπάθεια την ίδια στιγμή που το μάθατε και εσείς.”
Meltdown και Specter: γιατί η Intel είναι τόσο μυστικοπαθής;
