Hlavní navigace

Proč o Meltdown a Spectre věděly předem jen vyvolené firmy a projekty?

David Ježek

Čtyřem členům amerického kongresu vrtá hlavou, proč byly chyby Spectre a Meltdown řadu měsíců pod informačním embargem, kdy o jejich existenci a závažnosti vědělo jen několik málo vyvolených firem.

Doba čtení: 3 minuty

Ač se najdou mnozí, kteří v chybách Spectre a Meltdown nespatřují zásadní problém (minimálně pro běžného desktopového uživatele), skutečnost, že jde o problém s potenciálem k obrovským bezpečnostním průšvihům, dokazuje už horečné tempo látání záplat u Intelu (a jejich následné nedoporučování k použití kvůli chybám), ale zejména samotné původní mnohaměsíční tajení popisu chyb před jejich odhalením na přelomu roku.

A právě tohle utajování, kdy o věci věděly od loňského léta jen vybrané firmy, je terčem velké kritiky nejen ze strany odborné veřejnosti, ale i ze strany amerických zákonodárců. Ne nadarmo totiž vyvolává dojem, že sice „všechna zvířata jsou si rovna, ale některá rovnější.“

Proč?

Američtí zákonodárci (Marsha Blackburn, Bob Latta, Gregg Harper a Greg Walden, všichni členové Sněmovny reprezentantů) by rádi věděli, proč o Meltdown a Spectre byla informována jen hrstka vyvolených společností. Ano, společností, pro které představují oba typy chyb největší problém, ale věc dopadá prakticky na všechny v IT průmyslu, včetně mnoha open-source projektů. Kongresmani si tak vyžádali odpovědi od lidí z firem Intel, AMD, ARM, Apple, Microsoft, Amazon a Google.

Minimálně část těchto společností věděla o problémech od června 2017, kdy Google (jehož tým se zjištěními přišel) poprvé informoval firmu Intel. Vše ale zahalovalo od počátku informační embargo.

Naštvaných je víc

Ve věci si již stěžovali mnozí linuxoví vývojáři, nejčastěji se v této souvislosti zmiňují Linusovy tradičně „hubaté“ reakce na LKML. Rozladěné vývojáře nalezneme i „na druhé straně barikády“, kupříkladu Jessie Frazelle, která v Microsoftu pracuje na Linuxu, nazvala toto embargo jako „absolute sh*tshow“, kterému bychom se měli v podobných případech v budoucnu vyhnout.

Bezpečnostní tým FreeBSD byl pouze informován, a to až těsně před koncem loňského roku, tedy pouhých pár dní před uvolněním informací o Spectre/Meltdown a zhruba pět měsíců po prvním informování Intelu Googlem. Přitom jim bylo sděleno datum embarga do 9. ledna, takže odhalení informací Googlem už 3. ledna vedlo k tomu, že projekt FreeBSD nemohl uživatelům nabídnout ani hrubý odhad, kdy by mohly být první opravy do FreeBSD zaneseny.

Ani v oboru zavedený bezpečnostní tým CERT/CC prestižní americké univerzity Carnegie Mellon se o Spectre/Meltdown nedozvěděl dříve než 3. ledna. A jak dle komentářů naznačují i rané opravy ve Windows, o věci nevěděli ani tvůrci antivirových řešení dříve než 3. ledna.

Američtí zákonodárci by tedy rádi od firem, které o věci věděly dlouho před 3. lednem 2018, slyšeli, proč bylo embargo zřízeno a kdo jej navrhl. Chtějí také slyšet, kdy přesně byly informovány týmy US-CERT a CERT/CC a v neposlední řadě, jestli někdo z uvedených firem vyhodnotil potenciální dopad embarga na poskytovatele kritické infrastruktury a další poskytovatele IT služeb.

Vyjádření Intelu

Intel k věci vydal krátké prohlášení: „Bezpečnost našich zákazníků a jejich dat je pro nás nanejvýš důležitá. Oceňujeme otázky Komise a vítáme příležitost pokračovat v dialogu s Kongresem o těchto důležitých otázkách. Nad rámec našich aktuálních schůzek se zákonodárci jsme s Komisí diskutovali o osobním jednání a na toto setkání se těšíme.“

TL;DR: „nevíme jak na to obhajitelně reagovat, tak tady máte obvyklý PR slint…“

MIF18 tip v článku témata

Je toto konkrétní embargo ospravedlnitelné?

Říká se, že po bitvě je každý generálem. Válka se Spectre a Meltdown sice stále probíhá, ale dílčí úspěchy v několika jejích bitvách již byly zaznamenány. Zkusme se ale zamyslet nad věcí optikou doby kolem poloviny loňského roku, kdy lidem v Googlu došlo, na jak obrovském „zaminovaném průšvihu“ sedí. Logicky se nejprve obrátili na Intel – otázkou je, zdali v tu chvíli měli potvrzeno, kterých dalších výrobců CPU / architektur se problémy budou týkat, nebo to jen předpokládali. Přesnou časovou souslednost událostí patrně rozklíčuje až případné šetření výše uvedené komise či dalších orgánů.

Jakkoli to může znít paranoidně, tak USA poslední (desítky) let svádí informační válku se státy kalibru Ruska, Číny, Severní Koreje, Íránu ad. Případné okamžité zveřejnění Spectre / Meltdown světu před jakoukoli prvotní analýzou toho, o jak velký problém se jedná a jak by se proti němu daly systémy záplatovat, by pozice USA (i jiných zemí) mohlo značně zhoršit. Nemůžeme stejně tak naopak zapomenout ani na oblíbenou konspirační teorii, že tyto Googlem odhalené chyby znamenají, že NSA přichází o své silné nástroje pro „šmírování“ celého světa. Ale toto vše jsou samozřejmě jen spekulace.

Našli jste v článku chybu?