بهنظر ميرسد مقامهاي رسمي اينتل از اطلاعرساني بهموقع به دولت پيرامون وجود دو روزنهي امنيتي Meltdown و Spectre خودداري كردهاند.
بر اساس نامههايي كه از سوي شركتهاي فعال در حوزهي فناوري به قانونگذاران ايالات متحده ارسال شده؛ اينتل تا زماني كه اخبار مرتبط با دو آسيبپذيري امنيتي موسوم به Meltdown و Spectre بهطور عمومي منتشر نشده بودند، وجود اين روزنههاي امنيتي را به مراجع دولتي گزارش نداده است. اين در حالي است كه شش ماه پيش از انتشار اخبار مرتبط به روزنههاي امنيتي يادشده، آلفابت، شركت مادر گوگل، اينتل را از وجود اين آسيبپذيريها مطلع ساخته بود.
مقامات دولت فعلي و پيشين ايالات متحده در اين باره كه اطلاعات مربوط به وجود اين دو آسيبپذيري پيش از نشر عمومي اخبار مربوطه به دولت گزارش نشدهاند، ابراز نگراني كردهاند؛ چرا كه چنين روزنههايي ميتوانند بر امنيت ملي ايالات متحده تاثيرگذار باشند. از سوي ديگر اينتل مدعي است كه به عقيدهي اين شركت نيازي به اشتراكگذاري اطلاعات با دولت وجود نداشته است، چرا كه هكرها از اين روزنههاي امنيتي استفاده نكرده بودند.
اينتل تا سيزدهم ديماه (سوم ژانويه) كه اطلاعات مربوط به روزنههاي امنيتي Meltdown و Spectre در وبسايت The Register منتشر شدند، از اطلاعرساني به گروه آمادگي فوريتهاي رايانهاي ايالات متحده كه بيشتر با عنوان US-CERT شناخته ميشود، خودداري كرده بود. وظيفهي اين گروه اطلاعرساني به بخشهاي دولتي و خصوصي در رابطه با مشكلات مربوط به فضاي مجازي است؛ گروه مذكور از اظهار نظر در مورد اين مسئله خودداري كرده است.
در پاسخ به درخواست گرگ والدن، نمايندهي جمهوريخواه در مجلس نمايندگان آمريكا كه مديريت كميسيون انرژي و تجارت مجلس را نيز بر عهده دارد، روز پنجشنبه اينتل، آلفابت و اپل نامههايي ارسال كردند كه طي اين نامهها جزئيات مربوط به زمان انتشار اخبار مربوط به روزنههاي امنيتي Meltdown و Spectre شرح داده شدهاند؛ خبرگزاري رويترز نيز موفق شده است تا به اين نامهها دست پيدا كند.
به گفتهي آلفابت، پژوهشگران امنيتي در گروه پروژهي «صفر» گوگل طي ماه ژوئن سه شركت اينتل، AMD و ARM را از وجود اين دو روزنهي امنيتي آگاه كردهاند. سپس آلفابت به آنها ۹۰ روز فرصت داده است تا راهكاري براي مقابله با اين آسيبپذيريها پيدا كنند. كاري كه آلفابت انجام داده رويهاي استاندارد است كه به شركتها اجازه ميدهد پيش از انتشار عمومي اخبار مرتبط با آسيبپذيريها و سوءاستفادهي هكرها از اين آسيبپذيريها نسبت به رفع آنها اقدام كنند.
مقامات آلفابت ميگويند تصميمگيري در مورد اطلاعرساني به دولت پيرامون اين دو آسيبپذيري را به شركتهاي توليدكنندهي پردازنده واگذار كرده بود؛ اين كار نيز يك رويهي استاندارد در ميان شركتهاي فعال در حوزهي فناوري است. از سوي ديگر اينتل نيز در نامهي خود توضيح داده است كه چون نشانهاي دال بر سوءاستفادهي هكرها از اين روزنههاي امنيتي وجود نداشته، تصميم گرفته دولت را از وجود اين دو روزنهي امنيتي مطلع نسازد.
اينتل مدعي است كه تحليلي پيرامون خطرات احتمالي اين آسيبپذيريها براي زيرساختهاي حياتي انجام نداده، چرا كه به اعتقاد آنها اين روزنههاي امنيتي نميتوانند تاثيري بر سيستمهاي كنترل صنعتي داشته باشند. با اين وجود، بر اساس نامهي ارسال شده توسط اينتل، اين شركت ديگر شركتهاي حوزهي فناوري را كه از پردازندههاي ساخت اينتل استفاده ميكردهاند، از وجود مشكل يادشده آگاه كرده است.
اينتل، آلفابت و اپل از اظهار نظر پيرامون اين مسئله خودداري كردهاند. در كنار آنها، AMD ،ARM، مايكروسافت و آمازون نيز به سوالات قانونگذاران آمريكايي پاسخ دادهاند. مايكروسافت ميگويد چند هفته پيش از انتشار عمومي اخبار مرتبط با اين آسيبپذيريها، شركتهاي سازندهي نرمافزارهاي آنتيويروس را از وجود اين دو روزنهي امنيتي آگاه ساخته است تا از مشكلات مرتبط با سازگاري پيشگيري كند. AMD نيز ميگويد آلفابت فرصت ۹۰ روزهي دادهشده به شركتهاي توليدكنندهي پردازنده براي مقابله با اين روزنههاي امنيتي را دو بار تمديد كرد؛ يك بار تا سيزدهم ديماه (۳ ژانويه) و بار دوم نيز تا نوزدهم ديماه (۹ ژانويه).
- شنبه ۰۵ اسفند ۹۶ ۱۵:۱۰
- ۱۱۸ بازديد
- ۰ نظر