Az idei év az IT biztonság területén egyértelműen a Spectre és a Meltdown sebezhetőségekről szól, amelyeknél aligha lesz idén nagyobb jelentőségű probléma. A technikai kérdéseken túl viszont olyan dolgok is kiderülnek, amelyek Egyesült Államok kormánya számára rendkívül kellemetlenek, ugyanis az Intel nem tájékoztatta a hivatalos szerveket a probléma létezéséről, így az Egyesült Államok kiberbiztonsággal foglalkozó részlege a publikus hírekből ismerte a fentebb említett sebezhetőségek létezését – állítja a Reuters. Korábban ez csak feltételezés volt, mára azonban bizonyossá vált.

A jelenlegi és az egykori amerikai kormányzati tisztviselők aggodalmukat fejezik ki a amiatt, hogy a publikus bejelentés előtt nem szereztek tudomást egy potenciálisan nemzetbiztonsági következményekkel járó probléma létezéséről. Az Intel azzal védekezik, hogy nem érezték szükségesnek a probléma feltárását az amerikai hatóságok, illetve az US-CERT felé, ugyanis állításuk szerint nem utalt semmi sem arra, hogy a hackerek kihasználták volna a sérülékenységeket.

Az Intel, illetve a többi érintett gyártó az előző év júniusa óta tud a Google, Project Zero csoportja által feltárt Spectre és Meltdown sebezhetőségekről. Eredetileg 90 napjuk volt a gyártóknak javítást biztosítani, mielőtt a probléma létezését publikálják. Ez sztenderd eljárásnak minősül az IT biztonság területén, illetve azt is az érintettekre szokták bízni, hogy kinek árulják el a sérülékenység meglétét. Később a türelmi időt idén január 3-ig, majd január 9-ig napolták el, amikor is a hibákat megismerhette a világ.

Kiderült az is, hogy az Intel nem végzett elemzést arra vonatkozóan sem, hogy a hibák veszélyeztetik-e a létfontosságú infrastruktúrát, ugyanis nem hitték, hogy a felfedezett problémák befolyásolhatják az ipari irányítási rendszerek működését. Mindemellett fontos információ az is, hogy a vállalat a sebezhetőségek létezéséről még a publikus bejelentés előtt értesítette a technológiai partnereit. Utóbbi nagyon mellbevágó információ az Egyesült Államok kormánya számára, mivel az Intel kínai partnerei tudomást szerezhettek a Spectre és a Meltdown létezéséről, ami így jó eséllyel eljuthatott a kínai kormányhoz is, miközben az Egyesült Államok Intel CPU-s gépeken tárol titkos információkat.

Valószínű, hogy az Intel aktívan monitorozta világhálót Spectre vagy Meltdown sebezhetőséget kihasználó, tömegek felé szánt malware-ek után, ezért is állítják annyira biztosan, hogy a hackerek nem használták ki az említett réseket. Ugyanakkor létezik célzott adatlopásra vonatkozó támadás is, amelyet az egyes kormányok hírszerző ügynökségei képesek megvalósítani egy sebezhetőség ismeretében, és szinte kizárt, hogy ezt bárki észrevegye és megakadályozza. Emiatt is áll gyenge lábakon az Intel védekezése, főleg úgy, hogy a partnereikkel viszont megosztották az információkat.

A fenti eset rámutat arra, hogy valamilyen módon változtatni kell a felfedezett sebezhetőségek türelmi időn belüli megosztásán, mivel az nem túl kedvező módszer, ha az egyes kormányok elől elzárásra kerül egy rendkívül fontos információ, míg más kormányok, akár a közeli gyártókon keresztül megszerezhetik azokat.