穀歌有個小秘密,先不告訴大家:發現“熔斷”和“幽靈”兩大漏洞
編者按:據報導,“熔斷”和“幽靈”安全性漏洞已引起互聯網公司的高度重視。本文作者Mark Sullivan在“Google’s Tough Choice On How To Warn The World About Super Bugs”一文中分析了穀歌在面對這次安全性漏洞的艱難抉擇,並給予合理性解釋。
穀歌Project Zero專案的安全研究人員的工作就是破壞東西。當他們發現在現行處理器中存在重大漏洞時,他們就要做出更大的取捨。近期,其發現的“熔斷”(Meltdown)和“幽靈”(Spectre)漏洞可能會對過去20年間產出的幾乎所有電腦設備產生影響。
這些漏洞造成的安全威脅程度幾乎從來沒有出現過。
當穀歌Project Zero項目的研究人員發現這些漏洞,並確認其存在潛在威脅時,面臨著艱難抉擇:他們應該如何將這些資訊傳遞給包括處理器、作業系統和雲平臺提供者在內大受影響的服務和企業手中,同時又能防止其落入會惡意使用的犯罪分子手中呢?
穀歌最終決定將其概念驗證資料提供給小部分關鍵人群。研究人員首先通知了英特爾,讓其能搶先保護其處理器。英特爾緊急研發出新安全補丁,並將其分發給使用英特爾晶片的電腦製造商。
在週四的一份聲明中,英特爾宣佈“已經開發並迅速發佈所有基於英特爾電腦系統的更新,
亞馬遜、微軟和包括穀歌自己在內都在Project Zero研究的基礎上為自己的雲伺服器創建和發佈補丁,這些伺服器供大型和小型企業使用。兩家公司在週三的聲明中表示,他們已經修復近乎所有漏洞。
在給這些公司提醒之前,穀歌要求他們簽署保密協議,
通知小部分人
那些同樣面臨安全威脅但是卻沒有收到穀歌概念驗證的中小型軟體和服務提供者該怎麼辦?來自Cooper Levenson侓師事務所的律師彼得·傅指出,
由於硬體製造商提供的資訊不完整,我們將與其他受影響的雲服務提供者@linode、@packethost 和@ovh聯合起來共用資訊和工作。
—scaleway
事實是,穀歌的保密協議將於1月9日到期,而且這件事已經廣為人知。駭客們毫無疑問會做好準備等待數據發佈。傅表示,給小型軟體提供商留下的時間不多,他們需要在駭客發動攻擊之前匆忙發佈安全補丁。
但是,這也許是必然結果。“穀歌處於一個兩難境地。”傅說道。“我開始尊重他們的選擇。”
“如果他們把資料公佈給太多的人,那麼別有用心的人就會趁機得到消息,那麼穀歌就會面臨被駭客攻擊的危險,”傅說道。“如果只通知一部分人,他們又看起來就像是自持優勢並壟斷權力。”
穀歌沒有對這種做法給予回應。
曾在司法部工作的傅說,聯邦政府應該在這種情況下發揮重要作用,但是他們沒有。“聯邦政府應該介入並提供支持”。另外,傅認為U.S.-CERT(美國電腦應急準備小組,是國安局的一部分)應該為這類潛在的災難性安全性漏洞負責。
在Project Zero團隊發現之後,是大型私有科技公司,而不是政府,第一個站出來回應,這表明U.S.-CERT並沒有回復和進行大規模的援助的打算。傅認為,如果聯邦政府介入,英特爾、亞馬遜以及其他公司仍有可能得到資訊驗證,但是卻不是由穀歌而是被聯邦要求保密。
(36氪編譯組出品,未經許可禁止轉載)
他們需要在駭客發動攻擊之前匆忙發佈安全補丁。但是,這也許是必然結果。“穀歌處於一個兩難境地。”傅說道。“我開始尊重他們的選擇。”
“如果他們把資料公佈給太多的人,那麼別有用心的人就會趁機得到消息,那麼穀歌就會面臨被駭客攻擊的危險,”傅說道。“如果只通知一部分人,他們又看起來就像是自持優勢並壟斷權力。”
穀歌沒有對這種做法給予回應。
曾在司法部工作的傅說,聯邦政府應該在這種情況下發揮重要作用,但是他們沒有。“聯邦政府應該介入並提供支持”。另外,傅認為U.S.-CERT(美國電腦應急準備小組,是國安局的一部分)應該為這類潛在的災難性安全性漏洞負責。
在Project Zero團隊發現之後,是大型私有科技公司,而不是政府,第一個站出來回應,這表明U.S.-CERT並沒有回復和進行大規模的援助的打算。傅認為,如果聯邦政府介入,英特爾、亞馬遜以及其他公司仍有可能得到資訊驗證,但是卻不是由穀歌而是被聯邦要求保密。
(36氪編譯組出品,未經許可禁止轉載)