SIKKERHET

Kinesiske selskaper skal ha fått svært tidlig kjennskap til Meltdown og Spectre

Trolig lenge før amerikanske myndigheter fikk vite om sårbarhetene.

Intel-sjef Brian Krzanich hadde nok ønsket at Intel skulle få mer oppmerksomhet om andre ting under CES-konferansen enn sårbarhetene Meltdown og Spectre. Her er han på scenen under sin hovedtale den 8. januar 2018.
Intel-sjef Brian Krzanich hadde nok ønsket at Intel skulle få mer oppmerksomhet om andre ting under CES-konferansen enn sårbarhetene Meltdown og Spectre. Her er han på scenen under sin hovedtale den 8. januar 2018. Foto: REUTERS/Rick Wilking
Harald BrombachHarald BrombachNyhetsleder
29. jan. 2018 - 17:16

Intel skal ha varslet flere kunder om sårbarhetene Meltdown og Spectre før de varslet amerikanske myndigheter. Noen av disse kundene skal være kinesiske. Dette skal ha vekket bekymring i IT-sikkerhetskretser, fordi det da er fare for at kinesiske myndigheter kan ha fått vite om sårbarhetene lenge før de ble offentlig kjent.

Sa ifra til bare noen få

Det er Wall Street Journal som skriver dette, basert informasjon fra både noen av de involverte selskapene og andre med kjennskap til dette forholdet. 

Sårbarhetene ble oppdaget allerede i juni fjor av sikkerhetsforskere i blant annet Project Zero-teamet til Google. Intel og flere andre prosessorprodusenter ble tidlig informert om sårbarhetene, men ellers er det uklart hvem som fikk vite noe før The Register skrev om saken den 2. januar, sju dager før datoen Project Zero og samarbeidspartnerne hadde valgt for å gå ut med informasjonen. Som kjent ble dette raskt fremskyndet.

I alle fall Intel har siden da blitt kritisert for å holde mange kunder i mørke. I motsetning til de aller største aktørene, som Apple, Amazon, Google og Microsoft, fikk mange mindre teknologi- og tjenesteleverandører ikke vite om sårbarhetene før de ble offentlig kjent.

Google, for eksempel, installerte de første sikkerhetsoppdateringene mot Meltdown og Spectre allerede i fjor høst. 

Hensikten med å fortelle så få aktører som mulig, var selvfølgelig for å begrense faren for lekkasje. 

For mange, blant annet mange mindre nettskyleverandører, har dette betydd en svært hektisk periode som ennå ikke er over. Ingen av dem har hatt noen mulighet til å forberede seg på det som skulle komme. 

Leste du denne? Intel med ny advarsel mot egne sikkerhets­oppdateringer

Også DHS og NSA holdt utenfor

Heller ikke amerikanske sikkerhetsmyndigheter skal ha blitt informert om sårbarhetene før de kunne lese om den hos The Register og andre medier. Ifølge Wall Street Journal gjelder dette i alle fall Department of Homeland Security (DHS) og NSA. 

Intel har ikke opplyst hvilke kunder som ble tidlig informert om sårbarhetene, men ifølge Wall Street Journal var i alle fall kinesiske Lenovo og Alibaba blant disse. Sistnevnte er den ledende leverandøren av nettskytjenester i Kina. 

I alle fall Lenovo skal åpent ha bekreftet dette. 

Avlyttet?

Ingen av de kinesiske selskapene skal ha bekreftet at de har sendt informasjonen om sårbarhetene videre til kinesiske myndigheter. Det er det heller ikke sikkert at de har gjort. Jake Williams, en tidligere NSA-ansatt som i dag er president i selskapet Rendition Infosec, sier likevel til Wall Street Journal at det er svært sannsynlig at kinesiske myndigheter har fått vite om sårbarhetene tidligere enn de fleste andre. 

– Det er nærmeste sikkert at Beijing var klar over samtalene mellom Intel og selskapets kinesiske teknologipartnere, fordi myndighetene rutinemessig overvåker all slik kommunikasjon, hevder Williams.

Nye prosessorer i år

Intel-sjef Brian Krzanich fortalte i forrige uke, under presentasjonen av Intels nyeste kvartalstall, at selskapet senere i år vil komme med prosessorer som har innebygd beskyttelse mot Meltdown- og Spectre-sårbarhetene. Dette skriver blant annet Business Insider

Dermed er det kanskje en god idé å utsette innkjøp av nye pc-er og servere inntil dette er på plass. Etter at sårbarhetene ble kjent, har Intel blitt saksøkt av flere for blant annet å selge produkter med en kjent defekt.

Riktignok kan mulighetene for å utnytte sårbarhetene reduseres eller fjernes helt ved hjelp av programvare-, fastvare- og mikrokode-oppdateringer, men flere av disse innebærer at systemet får noe dårligere ytelse enn det hadde da systemet ble solgt. 

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.