Intel voisi tienata miljardeja Meltdown & Spectreista

(in) Turvallinen on viikoittainen kolumni, joka sukeltaa nopeasti kiihtyvään kyberturvallisuuden aiheeseen.

Intel pudotti pallon Meltdownille ja Spectrelle. Tai voisi olla tarkempaa sanoa, että Intel näki pallon, nappasi sen ja hautasi sen sitten pensaiden alle toivoen, että et huomaisi. Arkiasiakkaille se on ongelma ilman helppoa ratkaisua. Nyt se on valmis hyötymään päätöksestään myydä kriittisesti viallisia tuotteita tietämättömälle väestölle.

Pikainen yhteenveto

Jos et tunne, Meltdown ja Spectre ovat hyväksikäyttöjä, jotka vaikuttavat tietokoneesi prosessoriin. Ne ovat kaksi erilaista, mutta toisiinsa liittyvää hyväksikäyttöä, jotka hyödyntävät "spekulatiivista suoritusta" eli optimointimenetelmää, jota on käytetty käytännössä jokaisessa viimeisen 20 vuoden aikana valmistetussa tietokoneprosessorissa. Kyllä, tämä tarkoittaa, että lähes jokainen viimeisen kahden vuosikymmenen aikana myyty prosessori on alttiina näille hyväksikäytöille – mukaan lukien

älypuhelin, joka on työpöydälläsi, ja se, joka on siinä vanhassa opiskelijan kannettavassa tietokoneessa, jota käytit yliopistossa.

Se on iso juttu. Meltdown- ja Spectre-hyödynnät löydettiin vuoden 2017 alussa, ja Google Project Zero -tutkija Jann Horn paljasti ne ensimmäisen kerran Intelille, AMD: lle ja ARM: lle 1. kesäkuuta 2017. Tietojen julkistamisen jälkeen jokainen yritys alkoi ottaa yhteyttä yritysasiakkaisiinsa ja ilmoittaa heille haavoittuvuuksista. Kaikki pyrkivät löytämään korjauksen ja pitämään sen salassa, koska niin kauan kuin haavoittuvuudet pysyivät yksityisinä, ne olivat vähemmän vaarallisia yleisölle. Tämä merkitsi enemmän aikaa löytää korjaus.

Haavoittuvuudet paljastettiin yleisölle vasta 3. tammikuuta 2018, vaikka joitain huhuja riehui hieman aikaisemmin, koska kaikki harhaanjohtavat tietoturvapaikat lensivät ympäriinsä.

Myydä tai olla myymättä

Miksi se tarkoittaa, että Intel pudotti pallon? Yksinkertainen. Tämä aikajana tarkoittaa, että Intel – ja ollakseni rehellinen, AMD ja ARM – viettivät noin seitsemän kuukautta vuonna 2017 markkinoinnissa, mainonnassa ja tuotteiden myynnissä, joiden he tiesivät olevan kriittisesti puutteellisia. He tiesivät myös, että ainoa tapa korjata nämä tuotteet tarkoitti niiden suorituskyvyn heikentämistä.

Jos ostit prosessorin, pöytätietokoneen tai kannettavan tietokoneen viime vuonna, se on nyt hitaampi kuin ostohetkellä näiden tietoturvakorjausten vuoksi. Tämä tarkoittaa, että se ei täytä luvattua suorituskykyä, ja Intel, AMD ja ARM tietävät sen. He tiesivät sen viime vuonna jokaisen myymänsä laitteen kohdalla.

Kotiuttaminen

Jokainen Intel-prosessori, joka tällä hetkellä huminaa henkilökohtaisessa tietokoneessa, yrityspalvelimessa tai valtion työasemassa hitaampia ja vähemmän turvallisia kuin nämä tulevat Intel-prosessorit, nämä prosessorit on suunniteltu voittamaan valtava tietoturva virhe. Toisella kädellä Intel myi tuotteita, joiden se tiesi olevan puutteellisia, ja toisella kädellä alkoi valmistaa tuotetta, joka lievensi näitä puutteita.

Se on kuin auton ostamista, jos lukitsit eivät toimi ja ainoa ratkaisu on vähentää polttoainetehokkuutta jopa 31 prosenttiat. Ja sitten löytää kaveri, joka myi sinulle auton tiesi eikä kertonut sinulle. Mutta älä huoli, hänellä on upouusi malli, joka korjaa kaikki ongelmat yhdellä alhaisella hinnalla.

Nämä tulevat prosessorit voivat hyvin todennäköisesti olla Intelin tähän mennessä myydyimmät tuotteet. Ne eivät ole vain edeltäjäänsä nopeampia, vaan myös turvallisempia. Intel ansaitsee potentiaalisesti miljardeja dollareita korjaamalla ongelman, jonka se auttoi luomaan.

Luonnollisesti ei kaikille jos prosessori loppuu ja ostaa uuden, mutta tiedätkö kuka tekee? Yritysasiakkaat, valtion virastot ja kaikki, joille tietoturva ei ole valinnaista. Päivitykset eivät enää ole näiden asiakkaiden nopeus, vaan turvallisuus.

Kuinka monta tietokonetta on tällä hetkellä Yhdysvaltain ulkoministeriön tai puolustusministeriön käytössä? Pelkästään Yhdysvalloissa on kymmeniä virastoja, jotka näkevät näiden päivittämisen näihin uusiin prosessoreihin kansallisen turvallisuuden vuoksi. Lisää tähän joukko vastaavia virastoja, jotka ovat olemassa joka toinen maa maailmassa ja voit alkaa saada käsitystä siitä, millaisia ​​yllätyksiä Intelillä on. Ja jos Intel on ensimmäinen yritys, joka ottaa käyttöön siruja laitteistotason korjauksilla Meltdowniin ja Spectreen ilman suorituskyvyn heikkenemistä? Tämän vuoden markkinaosuuden menetyss voidaan hyvinkin kääntää, ja se ei ole hyvä uutinen AMD: lle tai ARM: lle.

Siitä puhuen

Onko reilua valita Intel, kun AMD ja ARM jatkoivat myös tuotteiden myyntiä, joiden tiesivät olevan puutteellisia? Se on hyvä pointti, AMD ja ARM jatkoivat kumpikin tuotteiden myyntiä, joiden he tiesivät olevan puutteellisia, kun heille kerrottiin hyväksikäytöstä. On olemassa pari keskeistä eroa, jotka tekevät Intelistä reilun kohteen pienempiin kilpailijoihinsa nähden.

Intelin Meltdownin ja Spectterin käsittely on ollut huolestuttavaa - kuten oikeusjuttujen määräs tällä hetkellä vireillä mikroprosessorijättiä vastaan ​​voi todistaa. Ensinnäkin meillä on ongelma, jota olemme jo käsitelleet melko paljon, Intel jatkoi prosessorien myyntiä, joiden se tiesi olevan puutteellisia, mutta siellä on enemmänkin.

Intel ei paljastanut Meltdown- ja Spectre-hyökkäyksiä asiakkaille Yhdysvaltain hallitus, kuten National Security Agency tai Department of Homeland Security. Molemmat virastot saivat tietää Meltdownista ja Spectrestä samalla tavalla kuin sinä ja minä, uutisraporttien kautta 3. tammikuuta 2018 tai sen jälkeen. AMD tai ARM eivät myöskään olleet yhteydessä valtion virastoihin, joten he ovat melkein yhtä syyllisiä täällä. Melkein. Kuinka monta noista hallituksen pöytäkoneista, kannettavat tietokoneet, ja palvelimet käyttävät AMD-prosessoreita? Arvokkaat harvat. Intelin osuus prosessorimarkkinoista on noin 80 prosenttia, AMD on lähempänä 20 prosenttia.

AMD, ARM ja Intel eivät ehkä ole ottaneet yhteyttä valtion virastoihin, mutta tiedätkö, kenelle Intel kuitenkin ilmoitti hyökkäyksistä? Kourallinen yksityisiä yrityksiä, mukaan lukien Lenovo ja Alibaba, jotka sijaitsevat Kiinassa. Geopoliittiset huolenaiheet huomiotta jättämättä valtion virastoja – ei vain Yhdysvaltain valtion virastoja – mahdollisesta katastrofaalinen tietoturvan hyväksikäyttö on parhaimmillaankin ongelmallista, varsinkin kun yrityksesi edustaa lähes 80 prosenttia suorittimesta markkinoida.

https://twitter.com/RobJoyce45/status/952106883434852353

Toinen Intelin Meltdown and Spectre -reaktion kulmaa kohottava puoli, Intelin toimitusjohtaja Brian Krzanich aloitti epätavallisen suuren osakemyynnin kuultuaan kesäkuussa tehdyistä hyökkäyksistä. Hän väittää, että myynti oli ennalta suunniteltua eivätkä liity toisiinsa, mutta Bloombergin raportit asiasta viittaavat näin ei ehkä olee. Krzanich muutti automatisoituja osakemyyntitottumuksiaan vuonna 2017 ja myi paljon suuremman osan Intel-osakkeistaan ​​kuin aiempina vuosina.

Mitä voimme tehdä?

Paljastus siitä, että uudet prosessorit ovat tulossa, suojassa hyökkäyksiltä, ​​pitäisi olla hyvä uutinen, mutta se tuntuu väärältä. AMD ja ARM eivät ole vielä ilmoittaneet, onko heidän tulevissa prosessoreissaan laitteistotasoisia korjauksia Meltdown- ja Spectre-hyökkäyksiin, mutta ne todennäköisesti tekevät seuraavan vuoden aikana, ellei tämän vuosi.

On pettymys, että nämä yritykset ovat valmiita lopettamaan ongelman, jonka he auttoivat jatkamaan. Haluaisitko melkein äänestää lompakollasi? No, on vaikea viedä rahojasi muualle, kun nämä yritykset ovat ainoa peli kaupungissa.

Toimittajien suositukset

• Intel tekee oman ARM-kilpailijansa taistellakseen Nvidiaa ja Applea vastaan
• Intelin sirut ovat edelleen haavoittuvia, eikä uusi Ice Lake korjaa kaikkea
• Onko tietokoneesi turvallinen? Ennakkokuva on tietoturvavirhe, jonka Intelin olisi pitänyt ennustaa