聯想阿裡巴巴先于美國政府知曉英特爾晶片漏洞

據知情人士及幾家相關公司透露,英特爾公司開始披露其處理器重大安全性漏洞時,最先通知的是少數一些客戶,例如幾家中國科技公司,但美國政府並不在列。 這一決定在安全及科技行業掀起波瀾。

 

據知情人士及幾家相關公司透露,英特爾公司(Intel Co., INTC)開始披露其處理器重大安全性漏洞時,最先通知的是少數一些客戶,例如幾家中國科技公司,而美國政府並不在列。

 

安全研究人士稱,這一決定可能已導致漏洞相關資訊在對外公佈之前落入中國政府之手,從而引發了安全擔憂。 英特爾這些晶片漏洞被稱為“幽靈”(Spectre)和“熔斷”(Meltdown)。 不過,這些研究人士同時表示,尚沒有證據表明此類資訊被不當使用。

 

在晶片安全性漏洞問題曝光數周之後,英特爾選擇提前通知哪些客戶或機構的決定在安全和科技行業掀起的波瀾仍未平息。

 

谷歌(Google)網路安全團隊Project Zero於去年6月份首先發現了這些漏洞。 通常情況下,負責保護系統免受駭客攻擊的技術人員會選擇暫不對外公佈這類資訊,同時加緊開發補丁。 英特爾原計劃於1月9日對外公佈相關資訊,但1月2日英國網站the Register曝光了這些漏洞並在第二天引發廣泛關注,英特爾不得已加快了時間表。

 

安全公司Rendition Infosec LLC總裁、美國國家安全局(National Security Agency, 簡稱NSA)前雇員Jake Williams稱,由於這些漏洞可能會被利用來獲取雲平臺上的敏感資訊, 任何一家情報收集機構都會抱有極大的興趣。 過去,被認為與中國政府有關聯的駭客就曾利用軟體漏洞來攻擊其目標或擴大監控。

 

Williams稱,英特爾與其中方科技夥伴的溝通“幾乎可以確定”為中國政府所瞭解,因為中國政府通常會對所有這類溝通進行監控。

 

中國資訊科技相關部門的代表未回復記者的置評請求。 中國外交部此前曾表示,“堅決反對”任何形式的網路攻擊。

 

英特爾一名發言人對1月9日按期發佈漏洞資訊前通知了哪些公司不予置評。 這名發言人稱,由於相關消息被公諸於眾的時間早於預期,該公司無法按計劃通知所有相關方,美國政府也不例外。

 

英特爾一方面提前通知足夠大的客戶以避免重大損失,另一方面儘量把漏洞資訊控制在內部以防消息洩漏,這種做法導致並未提前得到通知的小公司現在仍疲於應對。

 

Joyent Inc.是三星電子(Samsung Electronics Co., 005930.SE)旗下位於美國的雲服務供應商,該公司首席技術長Bryan Cantrill稱,公司仍在拼命追趕。

 

他稱,其他公司提前六個月就獲得通知,Joyent只能倉促應對。

 

英特爾在回復《華爾街日報》(The Wall Street Journal)的電郵聲明中稱,在漏洞被披露前的幾個月裡,英特爾和Alphabet Inc. (GOOG)旗下穀歌(Google)還有其他幾家“關鍵” 電腦生產商和雲計算公司就補救措施展開了合作。

 

美國國土安全部(Department of Homeland Security)一位官員表示﹐該部門工作人員是從1月3日的新聞報導中獲悉英特爾晶片存在缺陷的。 國土安全部往往會先於公眾獲知所發現的漏洞﹐並且是發佈此類問題解決方法的權威資訊源。

 

這位官員表示﹐他們當然希望有人能通知他們這件事情。

 

白宮最高網路安全官員Rob Joyce表示﹐NSA同樣蒙在鼓裡。 在1月13日一條Twitter消息中﹐Joyce表示NSA對這些缺陷毫不知情。 白宮一位發言人未予進一步置評﹐讓記者參看該條推文。

 

中國計算器生產商聯想集團有限公司(Lenovo Group Ltd., LNVGY)和美國微軟(Microsoft Co., MSFT)、亞馬遜公司(Amazon.com Inc., AMZN)以及英國ARM Holdings (ARMH )等大型科技公司一樣﹐均被提前告知了這些缺陷的存在。

 

聯想一位元發言人在電子郵件中表示﹐由於聯想已在1月3日前與處理器和作業系統合作夥伴開展了相關工作﹐因此得以在當日發佈一則聲明﹐就這些缺陷向客戶提供建議。

 

據一位知情人士表示﹐中國最大雲計算服務商阿裡巴巴集團(Alibaba Group Holding Ltd., BABA)也提前瞭解了情況。

 

阿裡巴巴雲計算部門一位發言人未就該公司何時獲知漏洞資訊置評。 她表示,任何認為該公司或許與中國政府部門分享了資訊的想法都是猜測和無根據的。

 

聯想集團發言人表示,英特爾的資訊受到保密協定保護。

 

安全服務銷售商Immunity Inc.的首席執行長Dave Aitel表示,儘管存在安全問題,但對部分大型全球公司的提早預警發揮了作用。 他表示,為遏制可能的消息外泄,英特爾只會讓盡可能少的人知道此事。

 

正是因為有這些早期預警,微軟、穀歌和亞馬遜才能夠在該漏洞消息傳出後不久即發表聲明稱,它們的雲計算用戶在很大程度上受到了保護。

 

但較小型競爭者仍然面臨困境。 雲服務商DigitalOcean Inc. 1月19日表示,正在為客戶測試一個修復程式。 Rackspace Inc.則在上週三表示,幾個團隊正在努力修復這一問題。 該雲服務商1月稍早對其客戶表示,該公司明白這種情況可能令人沮喪。

 

美國國土安全部最初的指導也出現失誤。 其計算器應急回應組(Computer Emergency Response Team)最初的建議稱,徹底消除漏洞的唯一方法是更換晶片。 但目前該小組建議使用者安裝系統補丁。

 

Joyent的Cantrill表示,美國國土安全部應該儘早介入,以協調披露這一缺陷。 他不明白為什麼不首先通知計算器應急回應組。