کمیته رکن چهارم – بهنظر میرسد مقامهای رسمی اینتل از اطلاعرسانی بهموقع به دولت پیرامون وجود دو روزنهی امنیتی Meltdown و Spectre خودداری کردهاند.
بر اساس نامههایی که از سوی شرکتهای فعال در حوزهی فناوری به قانونگذاران ایالات متحده ارسال شده؛ اینتل تا زمانی که اخبار مرتبط با دو آسیبپذیری امنیتی موسوم به Meltdown و Spectre بهطور عمومی منتشر نشده بودند، وجود این روزنههای امنیتی را به مراجع دولتی گزارش نداده است. این در حالی است که شش ماه پیش از انتشار اخبار مرتبط به روزنههای امنیتی یادشده، آلفابت، شرکت مادر گوگل، اینتل را از وجود این آسیبپذیریها مطلع ساخته بود.
مقامات دولت فعلی و پیشین ایالات متحده در این باره که اطلاعات مربوط به وجود این دو آسیبپذیری پیش از نشر عمومی اخبار مربوطه به دولت گزارش نشدهاند، ابراز نگرانی کردهاند؛ چرا که چنین روزنههایی میتوانند بر امنیت ملی ایالات متحده تاثیرگذار باشند. از سوی دیگر اینتل مدعی است که به عقیدهی این شرکت نیازی به اشتراکگذاری اطلاعات با دولت وجود نداشته است، چرا که هکرها از این روزنههای امنیتی استفاده نکرده بودند.
اینتل تا سیزدهم دیماه (سوم ژانویه) که اطلاعات مربوط به روزنههای امنیتی Meltdown و Spectre در وبسایت The Register منتشر شدند، از اطلاعرسانی به گروه آمادگی فوریتهای رایانهای ایالات متحده که بیشتر با عنوان US-CERTشناخته میشود، خودداری کرده بود. وظیفهی این گروه اطلاعرسانی به بخشهای دولتی و خصوصی در رابطه با مشکلات مربوط به فضای مجازی است؛ گروه مذکور از اظهار نظر در مورد این مسئله خودداری کرده است.
در پاسخ به درخواست گرگ والدن، نمایندهی جمهوریخواه در مجلس نمایندگان آمریکا که مدیریت کمیسیون انرژی و تجارت مجلس را نیز بر عهده دارد، روز پنجشنبه اینتل، آلفابت و اپل نامههایی ارسال کردند که طی این نامهها جزئیات مربوط به زمان انتشار اخبار مربوط به روزنههای امنیتی Meltdown و Spectre شرح داده شدهاند؛ خبرگزاری رویترز نیز موفق شده است تا به این نامهها دست پیدا کند.
به گفتهی آلفابت، پژوهشگران امنیتی در گروه پروژهی «صفر» گوگل طی ماه ژوئن سه شرکت اینتل، AMD و ARM را از وجود این دو روزنهی امنیتی آگاه کردهاند. سپس آلفابت به آنها ۹۰ روز فرصت داده است تا راهکاری برای مقابله با این آسیبپذیریها پیدا کنند. کاری که آلفابت انجام داده رویهای استاندارد است که به شرکتها اجازه میدهد پیش از انتشار عمومی اخبار مرتبط با آسیبپذیریها و سوءاستفادهی هکرها از این آسیبپذیریها نسبت به رفع آنها اقدام کنند.
مقامات آلفابت میگویند تصمیمگیری در مورد اطلاعرسانی به دولت پیرامون این دو آسیبپذیری را به شرکتهای تولیدکنندهی پردازنده واگذار کرده بود؛ این کار نیز یک رویهی استاندارد در میان شرکتهای فعال در حوزهی فناوری است. از سوی دیگر اینتل نیز در نامهی خود توضیح داده است که چون نشانهای دال بر سوءاستفادهی هکرها از این روزنههای امنیتی وجود نداشته، تصمیم گرفته دولت را از وجود این دو روزنهی امنیتی مطلع نسازد.
اینتل مدعی است که تحلیلی پیرامون خطرات احتمالی این آسیبپذیریها برای زیرساختهای حیاتی انجام نداده، چرا که به اعتقاد آنها این روزنههای امنیتی نمیتوانند تاثیری بر سیستمهای کنترل صنعتی داشته باشند. با این وجود، بر اساس نامهی ارسال شده توسط اینتل، این شرکت دیگر شرکتهای حوزهی فناوری را که از پردازندههای ساخت اینتل استفاده میکردهاند، از وجود مشکل یادشده آگاه کرده است.
اینتل، آلفابت و اپل از اظهار نظر پیرامون این مسئله خودداری کردهاند. در کنار آنها، AMD ،ARM، مایکروسافت وآمازون نیز به سوالات قانونگذاران آمریکایی پاسخ دادهاند. مایکروسافت میگوید چند هفته پیش از انتشار عمومی اخبار مرتبط با این آسیبپذیریها، شرکتهای سازندهی نرمافزارهای آنتیویروس را از وجود این دو روزنهی امنیتی آگاه ساخته است تا از مشکلات مرتبط با سازگاری پیشگیری کند. AMD نیز میگوید آلفابت فرصت ۹۰ روزهی دادهشده به شرکتهای تولیدکنندهی پردازنده برای مقابله با این روزنههای امنیتی را دو بار تمدید کرد؛ یک بار تا سیزدهم دیماه (۳ ژانویه) و بار دوم نیز تا نوزدهم دیماه (۹ ژانویه).
منبع : زومیت