اينتل آسيب پذيري پردازنده ها را از دولت آمريكا پنهان كرده است

به‌نظر مي‌رسد مقام‌هاي رسمي اينتل از اطلاع‌رساني به‌موقع به دولت پيرامون وجود دو روزنه‌ي امنيتي Meltdown و Spectre خودداري كرده‌اند.


بر اساس نامه‌هايي كه از سوي شركت‌هاي فعال در حوزه‌ي فناوري به قانون‌گذاران ايالات متحده ارسال شده؛ اينتل تا زماني كه اخبار مرتبط با دو آسيب‌پذيري امنيتي موسوم به Meltdown و Spectre به‌طور عمومي منتشر نشده بودند، وجود اين روزنه‌هاي امنيتي را به مراجع دولتي گزارش نداده است. اين در حالي است كه شش ماه پيش از انتشار اخبار مرتبط به روزنه‌هاي امنيتي يادشده، آلفابت، شركت مادر گوگل، اينتل را از وجود اين آسيب‌پذيري‌ها مطلع ساخته بود.

مقامات دولت فعلي و پيشين ايالات متحده در اين باره كه اطلاعات مربوط به وجود اين دو آسيب‌پذيري پيش از نشر عمومي اخبار مربوطه به دولت گزارش نشده‌اند، ابراز نگراني كرده‌اند؛ چرا كه چنين روزنه‌هايي مي‌توانند بر امنيت ملي ايالات متحده تاثيرگذار باشند. از سوي ديگر اينتل مدعي است كه به عقيده‌ي اين شركت نيازي به اشتراك‌گذاري اطلاعات با دولت وجود نداشته است، چرا كه هكرها از اين روزنه‌هاي امنيتي استفاده نكرده‌ بودند.

اينتل تا سيزدهم دي‌ماه (سوم ژانويه) كه اطلاعات مربوط به روزنه‌هاي امنيتي Meltdown و Spectre در وب‌سايت The Register منتشر شدند، از اطلاع‌رساني به گروه آمادگي فوريت‌هاي رايانه‌اي ايالات متحده كه بيشتر با عنوان US-CERT شناخته مي‌شود، خودداري كرده بود. وظيفه‌ي اين گروه اطلاع‌رساني به بخش‌هاي دولتي و خصوصي در رابطه با مشكلات مربوط به فضاي مجازي است؛ گروه مذكور از اظهار نظر در مورد اين مسئله خودداري كرده است.

spectre meltdown

در پاسخ به درخواست گرگ والدن، نماينده‌ي جمهوري‌خواه در مجلس نمايندگان آمريكا كه مديريت كميسيون انرژي و تجارت مجلس را نيز بر عهده دارد، روز پنج‌شنبه اينتل، آلفابت و اپل نامه‌هايي ارسال كردند كه طي اين نامه‌ها جزئيات مربوط به زمان انتشار اخبار مربوط به روزنه‌هاي امنيتي Meltdown و Spectre شرح داده شده‌اند؛ خبرگزاري رويترز نيز موفق شده است تا به اين نامه‌ها دست پيدا كند.

به گفته‌ي آلفابت، پژوهشگران امنيتي در گروه پروژه‌ي «صفر» گوگل طي ماه ژوئن سه شركت اينتل، AMD و ARM را از وجود اين دو روزنه‌ي امنيتي آگاه كرده‌اند. سپس آلفابت به آن‌ها ۹۰ روز فرصت داده است تا راهكاري براي مقابله با اين آسيب‌پذيري‌ها پيدا كنند. كاري كه آلفابت انجام داده رويه‌اي استاندارد است كه به شركت‌ها اجازه مي‌دهد پيش از انتشار عمومي اخبار مرتبط با آسيب‌پذيري‌ها و سوءاستفاده‌ي هكرها از اين آسيب‌پذيري‌ها نسبت به رفع آن‌ها اقدام كنند.

مقامات آلفابت مي‌گويند تصميم‌گيري در مورد اطلاع‌رساني به دولت پيرامون اين دو آسيب‌پذيري را به شركت‌هاي توليد‌كننده‌ي پردازنده واگذار كرده بود؛ اين كار نيز يك رويه‌ي استاندارد در ميان شركت‌هاي فعال در حوزه‌ي فناوري است. از سوي ديگر اينتل نيز در نامه‌ي خود توضيح داده است كه چون نشانه‌اي دال بر سوءاستفاده‌ي هكرها از اين روزنه‌هاي امنيتي وجود نداشته، تصميم گرفته دولت را از وجود اين دو روزنه‌ي امنيتي مطلع نسازد.

اينتل مدعي است كه تحليلي پيرامون خطرات احتمالي اين آسيب‌پذيري‌ها براي زيرساخت‌هاي حياتي انجام نداده، چرا كه به اعتقاد آن‌ها اين روزنه‌هاي امنيتي نمي‌توانند تاثيري بر سيستم‌هاي كنترل صنعتي داشته باشند. با اين وجود، بر اساس نامه‌ي ارسال شده توسط اينتل، اين شركت ديگر شركت‌هاي حوزه‌ي فناوري را كه از پردازنده‌هاي ساخت اينتل استفاده مي‌كرده‌اند، از وجود مشكل يادشده آگاه كرده است.

اينتل، آلفابت و اپل از اظهار نظر پيرامون اين مسئله خودداري كرده‌اند. در كنار آن‌ها، AMD ،ARM، مايكروسافت و آمازون نيز به سوالات قانون‌گذاران آمريكايي پاسخ داده‌اند. مايكروسافت مي‌گويد چند هفته‌ پيش از انتشار عمومي اخبار مرتبط با اين آسيب‌پذيري‌ها، شركت‌هاي سازنده‌ي نرم‌افزارهاي آنتي‌ويروس را از وجود اين دو روزنه‌ي امنيتي آگاه ساخته است تا از مشكلات مرتبط با سازگاري پيشگيري كند. AMD نيز مي‌گويد آلفابت فرصت ۹۰ روزه‌ي داده‌شده به شركت‌هاي توليد‌كننده‌ي پردازنده براي مقابله با اين روزنه‌هاي امنيتي را دو بار تمديد كرد؛ يك بار تا سيزدهم دي‌ماه (۳ ژانويه) و بار دوم نيز تا نوزدهم دي‌ماه (۹ ژانويه).

/ 0 نظر / 5 بازدید