Další průšvih s dírami v CPU. NDA pod palbou kritiky, firmy informovaly Čínu, ale ne USA

30. 1. 2018

Sdílet

 Autor: Fritzchens Fritz, použito se souhlasem autora - public domain

Včera jsme zde měli zprávu o různých aktualizacích Windows, které se vyřinuly z Microsoftu s cílem chránit počítače před zneužitím zranitelností Meltdown a Spectre v procesorech. Ty poslední podle některých zdrojů přinášejí ochranu před Meltdownem i na 32bitové edice Windows (neochráněné původní opravou). A trošku paradoxně pak poslední z nich – byť jen na vyžádání – odstraňuje ochranu před Spectre variantou 2, protože s ní byly procesory Intel nestabilní.

Tyto hardwarové díry jsou ale zdá se bezedné a stále nás zásobují novým „zprávovým materiálem“. Firmy, které se do této šlamastyky a jejího řešení namočily, čelí nyní kritice za způsob, jakým bylo před odhalením celého problému s těmito citlivými informacemi nakládáno.

Americký Kongres požaduje vysvětlení od šéfů Amazonu, Microsoftu, Applu, Intelu, ARMu a dalších nejmenovaných firem (asi by se dal čekat Google). Členové výboru pro obchod a energie je budou grilovat za to, že tyto informace drželi v tajnosti, aby měli dost času se připravit na jejich odhalení. Upřeli tuto možnost mnoha dalším americkým firmám, které tak mohli poškodit.

Mnoho těchto firem si stěžuje, že do problému spadly ze dne na den a musely přijímat protiopatření na rychlo a za vysokých nákladů. Pokud přitom například poskytovaly cloudové služby, byly pod stejným rizikem, jako třeba privilegovaný zasvěcený Amazon.

Je ovšem třeba říct, že v tomto případě bylo tzv. informační embargo neboli NDA určitě nutné a pokud by se okruh zasvěcených hodně rozšířil, asi by vše prasklo předčasně. Asi by se ale a daly vést diskuse o tom, zda bylo fér informovat některé velké klienty a nebylo lepší omezit informace čistě jen na dodavatele hardwaru a softwaru, píšící záplaty a opravy, aby byly podmínky pro všechny klienty stejné.

Intel a spol. prý pustili informace do Číny, aniž by varovali úřady USA

Paralelně ale vyplynul problém, který asi bude ještě delikátnější a výbušnější. Wall Street Journal píše, že firmy, které o Meltdownu a Spectre pod embargem věděly, o nebezpečí v podstatě informovali dříve čínskou vládu než úřady Spojených Států (kde mají většinou sídlo). Toto asi nebylo až tak záměrem, jako spíš nedbalostí. Firmy totiž neinformovaly přímo úřady, ale vědomosti o potenciálně kritických „zero day“ zranitelnostech předaly svým čínským klientům, například provozovatelům cloudů. Mělo jít například o společnost Alibaba nebo Lenovo.

Má se však za to, že v případě čínských firem se takto citlivá komunikace pravděpodobně hned přímo nebo nepřímo dostala k tajným službám. Mohla nastat situace, kdy čínské kybernetické síly mohly tyto znalosti zneužít předtím, než na ně USA mohlo reagovat – buď k obchodní a technologické špionáži, nebo i přímo státní.

bitcoin školení listopad 24

Sídlo úřadu NSA (Foto: Wikimedia Commons) Sídlo úřadu NSA (Foto: Wikimedia Commons)

Že neměli předem žádné informace, uvádí zástupci Ministerstva vnitřní bezpečnosti Spojených států amerických. Vše se údajně začátkem ledna dozvídali až z médií. Podle Bílého domu nebyla o věci informována ani NSA, ačkoliv ochrana USA před podobnými hrozbami je v podstatě jejím smyslem.

Zda firmy při interním řešení těchto chyb nějak pochybily proti americkým zákonům, není v tuto chvíli jasné. Ale vzhledem k určité studené válce, která v kyberprostoru mezi USA a Čínou v některých ohledech doutná, to asi bylo přinejmenším neopatrné jednání.