|
來源:澎湃新聞 “漏洞門”被曝光之前,英特爾先通知了包括聯想、阿里巴巴在內的大客戶,而沒有通知美國政府。 華爾街日報1月28日的報道中對此評論稱,盡管漏洞已經曝光數周,但在安全領域和科技行業,對于英特爾提前警告了誰的選擇爭議尚未平息。 一般來說,美國國土安全部(Department of Homeland Security)會在消息公開之前得知漏洞信息,并作為權威部門向公眾披露消息。 但美國國土安全部一位官員表示,1月3日消息被媒體曝光之后他們才得知英特爾的芯片漏洞。 美國國家安全局(NSA)同樣被蒙在鼓里。白宮高級網絡安全官員Rob Joyce 1月13日發表推特稱,美國國家安全局先前“不知道這些漏洞”。 英特爾芯片的漏洞首先由谷歌Project Zero安全團隊的一名員工發現。對這種情況,為了保護人們的系統免受黑客攻擊,相關人員會選擇對漏洞進行保密,直到漏洞能被修復之后再公開消息。原本英特爾的計劃是1月9日向公眾宣布此事,但漏洞被英國科技媒體The Register曝光之后,英特爾只得提前在1月3日就做出了公開聲明。 此前的1月2日,英國科技媒體The Register曝光英特爾芯片存在“熔斷”、“幽靈”兩個嚴重安全漏洞,漏洞衍生的安全問題波及了全球所有的桌面系統、電腦、智能手機及云計算服務器,讓所有能訪問虛擬內存的CPU都可能被惡意訪問,密碼、應用程序密匙等重要信息面臨了嚴重風險。 隨后,大型科技公司包括谷歌、AMD、微軟、蘋果等,都推出了相應補丁,各地網絡安全部門也發出了安全提醒。1月4日,中國國家信息安全漏洞共享平臺收錄了這兩個漏洞,并對該漏洞的綜合評級為“高危”。 華爾街日報1月28日的報道中提到,英特爾的發言人拒絕告知他們原計劃在1月9日公開消息之前通知誰。實際上由于漏洞被提前曝光,英特爾最終也沒能按計劃通知到所有想要通知的機構,包括沒通知美國政府。 此外,美國國土安全部對漏洞的最初指導也出現了失誤。美國國土安全部的計算機應急響應組(Computer Emergency Response Team,CERT)最初的建議稱,唯一解決漏洞的方法就是更換芯片,而現在他們的建議是安裝補丁。 英特爾發給華爾街日報的聲明中稱,在漏洞曝光之前,英特爾已經在和谷歌等幾家重要計算機制造商及云服務公司合作修復漏洞。由于提前得知了漏洞,微軟、谷歌、亞馬遜等公司得以在漏洞剛被曝光之時迅速發布聲明,稱他們的云計算客戶大部分得到了保護。 聯想與微軟、亞馬遜等公司一樣,提前得知了英特爾芯片的漏洞,并在1月3日漏洞剛被曝光之時就發布了聲明。聯想發言人在給華爾街日報的郵件中稱,“我們在那個日期之前就已經與合作伙伴做好了工作。” 據知情人士透露,阿里巴巴也被提前通知,不過阿里巴巴云計算部門的發言人拒絕告知公司是何時被通知漏洞的。 上述報道評論,英特爾的計劃是,先通知漏洞可能造成更大范圍影響的大客戶,同時對漏洞盡量保密,這也讓小公司無法提前得知消息。 Joyent公司是三星電子下屬的一家美國云服務提供商,該公司的首席技術官表示,他們仍然在努力修復漏洞,“其他同行有6個月的時間提前準備,而我們現在只能倉促應對。” |
