Intel advarede ikke US-CERT af Meltdown and Specter, før hack var offentligt

Brev til lovgivere siger, at Intel tog seks måneder at fortælle den amerikanske regering om udnyttelserne

Nogle af verdens største techfirmaer har skrevet til lovgivere for at klage over, at Intel ikke advarede amerikanske cybersikkerhedsembedsmænd om sikkerhedsfejlne Meltdown og Specter-chip, før de blev offentlig.

I brevene sagde virksomhederne, der inkluderer tech-giganter Alphabet, Apple og ARM, at Intel ikke gjorde spørgsmålet kendt for USAs Computer Emergency Readiness Team (US-CERT), før de lækkede til masserne ved starten af året.

Brevene, der blev sendt torsdag som svar på spørgsmål fra den republikanske senator Greg Walden, som er formand for House Energy and Commerce Committee, hævdede, at Intel tog et helt seks måneder på at underrette regeringens digitale sikkerhedsorgan, efter at Googles sikkerhedsforskere underrettede det i juni.

Denne anmeldelse startede 90-dages varsel for chipgiganten til at løse problemerne, før han fortæller verden. Men Intel informerede ikke US-CERT indtil 3 januar, ganske lang tid efter, at Meltdown og Specter-bugs var begyndt at sprede sig. Dette har ført til, at nuværende og tidligere amerikanske regeringsembedsmænd rejser bekymring, fordi manglerne potentielt har nationale sikkerhedsmæssige konsekvenser.

Intel har dog sagt, at det ikke troede, at de mangler, der var nødvendigt at blive delt med amerikanske myndigheder, da hackere ikke havde udnyttet sårbarhederne.

"Intel og andre industrideltagere fulgte retningslinjerne, der blev understøttet af US-CERTs koordinerede sårbarhedsdisposition (CVD)," sagde en Intel-talskvinde i en e-mail-erklæring.

I Intels brev erklærede firmaet: "Samarbejdet mellem Intel og andre i teknologibranchen vedrørende afsløring og afbødning af disse sårbarheder blev udført i overensstemmelse med bredt accepterede principper, der ofte benævnes 'ansvarlig afsløring'."

Intel sagde, at denne "ansvarlige afsløring" er baseret på to grundlæggende koncepter: For det første sagde det, at det handler om, når virksomheder bliver opmærksomme på sikkerhedssårbarheder, de arbejder så hurtigt, samarbejde og effektivt som muligt for at afbøde disse sårbarheder.

For det andet sagde det, at det handler om virksomheder, der tager skridt til at minimere risikoen for, at udnyttelige oplysninger bliver tilgængelige, før afbødninger frigives - gennem lækager eller på anden måde - til dem, der vil bruge dem til ondsindede formål.

”Mens man kan diskutere detaljerne om, hvordan man bedst kan udføre ansvarlig videregivelse i specifikke hændelser, er Intel enig i den herskende brancheopfattelse, at generelt ansvarlig videregivelse er den bedste praksis, fordi den maksimerer informationssikkerhed og minimerer risikoen for slutbrugeren,” siger chipmaker forklaret.

"Sikkerhedsmæssige sårbarheder varierer i deres kompleksitet og alvor, og under ansvarlig afsløring har Intel og andre teknologiselskaber identificeret og rettet mange sikkerhedssårbarheder gennem årene."

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.