编者按:据报道,“熔断”和“幽灵”安全漏洞已引起互联网公司的高度重视。本文作者Mark Sullivan在“Google’s Tough Choice On How To Warn The World About Super Bugs”一文中分析了谷歌在面对这次安全漏洞的艰难抉择,并给予合理性解释。

 谷歌Project Zero项目的安全研究人员的工作就是破坏东西。当他们发现在现行处理器中存在重大漏洞时,他们就要做出更大的取舍。近期,其发现的“熔断”(Meltdown)和“幽灵”(Spectre)漏洞可能会对过去20年间产出的几乎所有计算机设备产生影响。

这些漏洞造成的安全威胁程度几乎从来没有出现过。它们会入侵应用程序和其他软件并存在于用户界面和处理器中,盗取包括点击、密码和各种私人和金融数据在内的敏感数据。威力巨大。

当谷歌Project Zero项目的研究人员发现这些漏洞,并确认其存在潜在威胁时,面临着艰难抉择:他们应该如何将这些信息传递给包括处理器、操作系统和云平台提供者在内大受影响的服务和企业手中,同时又能防止其落入会恶意使用的犯罪分子手中呢?

谷歌最终决定将其概念验证数据提供给小部分关键人群。研究人员首先通知了英特尔,让其能抢先保护其处理器。英特尔紧急研发出新安全补丁,并将其分发给使用英特尔芯片的电脑制造商。

在周四的一份声明中,英特尔宣布“已经开发并迅速发布所有基于英特尔计算机系统的更新,包括个人电脑和服务器在内,使其免受“熔断”和“幽灵”的威胁”。

亚马逊、微软和包括谷歌自己在内都在Project Zero研究的基础上为自己的云服务器创建和发布补丁,这些服务器供大型和小型企业使用。两家公司在周三的声明中表示,他们已经修复近乎所有漏洞。

在给这些公司提醒之前,谷歌要求他们签署保密协议,防止其在漏洞公开声明之前将信息告知其他第三方。但是,在他们完全修复漏洞之前,这一概念验证仍可能被泄露给公众和黑客,这非常危险。

通知小部分人

那些同样面临安全威胁但是却没有收到谷歌概念验证的中小型软件和服务提供商该怎么办?来自Cooper Levenson侓师事务所的律师彼得·傅指出,谷歌受“熔断”和“幽灵”漏洞影响的网络流量只占一半甚至更少。其余的都由较小型供应商提供。

由于硬件制造商提供的信息不完整,我们将与其他受影响的云服务提供商@linode、@packethost 和@ovh联合起来共享信息和工作。

—scaleway

 事实是,谷歌的保密协议将于1月9日到期,而且这件事已经广为人知。黑客们毫无疑问会做好准备等待数据发布。傅表示,给小型软件提供商留下的时间不多,他们需要在黑客发动攻击之前匆忙发布安全补丁。

但是,这也许是必然结果。“谷歌处于一个两难境地。”傅说道。“我开始尊重他们的选择。”

“如果他们把数据公布给太多的人,那么别有用心的人就会趁机得到消息,那么谷歌就会面临被黑客攻击的危险,”傅说道。“如果只通知一部分人,他们又看起来就像是自持优势并垄断权力。”

谷歌没有对这种做法给予回应。

曾在司法部工作的傅说,联邦政府应该在这种情况下发挥重要作用,但是他们没有。“联邦政府应该介入并提供支持”。另外,傅认为U.S.-CERT(美国计算机应急准备小组,是国安局的一部分)应该为这类潜在的灾难性安全漏洞负责。

在Project Zero团队发现之后,是大型私有科技公司,而不是政府,第一个站出来回应,这表明U.S.-CERT并没有回复和进行大规模的援助的打算。傅认为,如果联邦政府介入,英特尔、亚马逊以及其他公司仍有可能得到信息验证,但是却不是由谷歌而是被联邦要求保密。

原文链接:https://www.fastcompany.com/40513823/googles-tough-choice-on-how-to-warn-the-world-about-super-bugs

编译组出品。编辑:郝鹏程

发现了“熔断”“幽灵”两大漏洞,谷歌决定先不要告诉全世界

发表评论

电子邮件地址不会被公开。 必填项已用*标注