Почему Intel не признает крупнейшей ошибки?
Уязвимости Meltdown и Spectre угрожают практически всем компьютерам и смартфонам.
С начала января мировые СМИ обсуждают беспрецедентные уязвимости, обнаруженные в процессорах Intel. Они позволяют злоумышленникам получить доступ к памяти ядра, где содержится конфиденциальная информация. Под угрозой устройства, работающие на Windows, Linux и macOS. Несмотря на то что производители компьютеров ставят под вопрос сотрудничество с Intel, корпорация не считает найденные уязвимости опасными и из ряда вон выходящими. Bloomberg Businessweek разобрался в этой ситуации, а мы приводим адаптированный перевод статьи.
На недавно прошедшей в Лас-Вегасе выставке потребительской электроники Consumer Electronic Show (CES) выступил 57-летний генеральный директор Intel Брайан Кржанич. По оценке авторов статьи в Bloomberg, это было весьма странное вступительное слово. «Все, чего я хочу сейчас, – отложить телефон в сторону и посвятить вечер прославлению инноваций», – заявил он, расхваливая успехи корпорации в работе с технологиями виртуальной реальности и новые партнерства с компаниями по производству беспилотников. По завершении выступления он пригласил собравшихся на улицу, чтобы насладиться световым шоу с участием сотен дронов либо произведенных Intel, либо управляемых с помощью чипов компании.
В настоящее время Intel производит около 90% микропроцессоров для компьютеров по всему миру и 99% серверных чипов для дата-центров. Компания, будучи крупнейшим в мире производителем чипов и процессоров, изо всех сил пытается расширить свою деятельность, но за 2017 год выручка корпорации составила $60 млрд при валовой марже 63% – невообразимая прибыль для большинства компаний.
Речь главы Intel прозвучала так сюрреалистично потому, что он практически не упомянул то, что занимало мысли собравшихся: потенциально катастрофические новости о том, что независимые исследователи обнаружили в чипах Intel опасные уязвимости, получившие название Meltdown и Spectre. Они позволяют хакерам проникнуть в ту часть компьютера, где пользователи хранят пароли, ключи шифрования и прочую засекреченную информацию. При этом угроза беспрецедентна: в опасности буквально все компьютеры, смартфоны и серверы. Это уже привело к искам и требованиям расследовать инцидент, который подрывает веру в техническую магию Intel.
В последние несколько лет крупные облачные провайдеры пытаются ослабить зависимость от монополии Intel на серверные чипы, разрабатывая свои модели или спонсируя ее конкурентов. И корпорация своими действиями лишь подстегнула их усилия.
Даже эксперты, обнаружившие Meltdown и Spectre, сперва не поверили своим глазам. «Это такой крупный провал со стороны Intel, что он просто не мог оказаться правдой», – вспоминает Майкл Шварц из Google. Spectre затрагивает все современные процессоры, даже те, которые произвели конкуренты, а Meltdown «работает» только с чипами Intel.
Дыры в безопасности можно залатать, но заплатки замедлят чипы на 30%, таким образом отбросив самый современный серверный чип на уровень 2013 года. «Для таких случаев нет готового решения, – говорит Чарльз Кармакал из американской компании Mandiant, занимающейся вопросами кибербезопасности. – Не думаю, что когда-либо сталкивался с уязвимостью, которая работала бы с таким количеством различных операционных систем и устройств».
Если замедление работы окажется настолько серьезным, оно приведет к крупному повышению цен для владельцев дата-центров, которые, в свою очередь, будут требовать возмещения от Intel. Пока что крупные облачные провайдеры уверяют, что проблема не затронет их клиентов, поэтому их планы и расходы остаются неясными. Поскольку Intel настолько зависима от дохода от продажи чипов, корпорации будет нелегко покрыть убытки. После сообщений об уязвимости в прессе акции Intel упали на 5%, а ценные бумаги ее единственного реального конкурента в производстве микропроцессоров и серверных чипов – Advanced Micro Devices (AMD) – выросли на 11%.
В течение 6 месяцев, пока Intel втихую искала способы справиться с уязвимостями, Кржанич продал акции компании на $24 млн. В Intel утверждают, что этот шаг был запланирован задолго до того, как все узнали о существовании Meltdown или Spectre. Однако всего лишь день спустя после речи Кржанича на CES два американских сенатора отправили письма в Государственную комиссию по ценным бумагам и фондовому рынку и Министерство юстиции США с требованием провести расследование. Адвокаты пользователей и акционеров Intel уже подали несколько коллективных исков против корпорации, и пока маловероятно, что давление на Кржанича в ближайшее время ослабнет. Эксперт аналитической фирмы Bernstein назвал продажу акций Intel «не имеющей оправдания».
Кржанич отказался дать комментарии Bloomberg. Intel же, кажется, не считает Meltdown и Spectre чем-то существенным. В своем первоначальном заявлении (от 3 января) компания отказалась признать Spectre и Meltdown своими слабыми местами, назвав их новой сферой «исследования» отраслевого феномена. В нем также говорилось, что этот эпизод никак не скажется на большинстве людей и на бизнесе Intel. В ходе своего выступления на CES Кржанич кратко упомянул об инциденте, поблагодарив коллег за совместную работу над недавними «находками в сфере обеспечения безопасности».
Клиенты Intel, включая крупнейшие компании в технологической индустрии, по большей части молчат. У них нет альтернативного поставщика чипов и микропроцессоров. Однако в частном порядке некоторые из них негодуют. Спустя день после зрелищного шоу Intel на CES в блоге Microsoft появилась запись, автор которой сомневался, что пользователи не заметят проблем со скоростью. Навин Шеной, исполнительный вице-президент Intel, в своем заявлении назвал безопасность потребителей «главным приоритетом» компании. В частных же разговорах с клиентами топ-менеджеры Intel легкомысленно относились к катастрофе, угрожающей безопасности всех пользователей ПК и прибыли целой отрасли бизнеса. При этом потенциальный негативный эффект, по словам одного из топ-менеджеров, «чертовски пугает».
Отчасти Meltdown и Spectre приводят в ужас потому, что опровергают устоявшееся мнение об информационной безопасности. Начиная с середины нулевых Intel усилила безопасность своих чипов и начала поощрять пользователей хранить самую секретную информацию в этой «огороженной» зоне, а не в программной памяти. Всего лишь около двух лет назад исследователи впервые заметили и попытались взломать так называемое «спекулятивное выполнение» – функцию, с помощью которой Intel ускоряла свои процессоры. По сути, она позволяет чипу получить доступ к любым данным, даже в засекреченной зоне, до проверки, имеет ли пользователь право на этот доступ. В основном благодаря этой функции компьютеры и смартфоны с каждым годом становились все быстрее и быстрее. В то же время это стало причиной увеличивающейся дыры в безопасности систем.
Уязвимости этой функции обсуждались на конференциях и в научных исследованиях, но считались чисто теоретическими, пока весной прошлого года 22-летний Дженн Хорн из элитного дивизиона Google по обеспечению кибербезопасности не смог получить частные данные, казалось бы, из защищенной зоны. Об этом Хорн еще в июне сообщил Intel, обогнав три другие команды исследователей, также обнаружившие проблему в 2017 году, но чуть позже. Вместе они стали работать с Intel для ее устранения и планировали обнародовать свои выводы 9 января, но их опередили СМИ, рассказавшие о «чипокалипсисе». Как было написано в блоге Google, проблемы с безопасностью позволяли пользователю облачного сервиса скрытно подглядывать за компьютером другого пользователя, а также украсть его пароль и получить доступ к его файлам.
В интервью топ-менеджеры Intel не соглашаются с гипотезой о том, что из-за своей концентрации на скорости компания упустила очевидные уязвимости. В Intel заявляют, что уже исправили ошибки в программном обеспечении в 90% своих чипов и что в этом нет ничего из ряда вон выходящего. «Мы постоянно улучшаем нашу продукцию, – говорит Стивен Смит, генеральный управляющий группы дата-центров Intel. – Просто сейчас мы в центре внимания». На CES Кржанич сообщил, что пока Intel не получила информации о том, что вредоносные коды использовались для получения данных потребителей.
Звучит более обнадеживающе, чем должно. Эксперты по безопасности считают, что, если четыре группы исследователей независимо друг от друга обнаружили эти коды, значит, это же сделали власти стран (Китай, Россия) с самым продвинутым на сегодня кибероружием. По словам Кармакала из Mandiant, разведывательное агентство, «вооруженное» Spectre или Meltdown, нацелится на крупную цель – например, Министерство обороны США.
Для обычного пользователя Meltdown и Spectre пока представляют меньше угрозы, чем типичные фишинговые атаки. Эти уязвимости не приведут к панике, которая охватила многих после взлома пользовательской базы данных крупнейшего бюро кредитных историй США Equifax в прошлом году. Но это может измениться. Хакеры, не пытавшиеся взломать «железо» Intel, раньше просто не верили, что компания может оставить черный вход открытым, и теперь они пытаются проникнуть внутрь. «Это новый вид кибератаки. Это будет продолжаться», – считает Джефф Поллард, аналитик компании Forrester.
И залатать эти дыры в продукции Intel будет нелегко. На дизайн, тестирование и производство микропроцессоров и серверных чипов ушли годы и десятки миллионов долларов. Сейчас же владельцам компьютеров и операторам дата-центров придется сделать неприятный выбор: использовать заплатки в программном обеспечении Intel, что снизит скорость работы, или отказаться от них и подвергнуть себя риску. (Intel уже сообщила, что корректирующие файлы вынуждают некоторые машины перезагружаться чаще обычного.) В будущем микропроцессоры и чипы получат заплатки на аппаратном уровне, что позволит не снижать скорость, но первые версии появятся лишь через несколько месяцев, утверждает компания.
Все это ставит Intel в затруднительное положение. В производстве чипов для смартфонов корпорация уступает позиции Samsung, Qualcomm и ARM, а ее конкурент Nvidia занял ведущее положение на быстро растущем рынке графических процессоров для приложений с использованием искусственного интеллекта. Теперь же Meltdown и Spectre угрожают самому главному бизнесу Intel. У корпорации пока нет конкурентов в производстве серверных чипов, но ситуация может измениться. Microsoft и Google недавно положительно отозвались о первом серверном чипе, разработанном Qualcomm, который поступил в продажу в ноябре, а у Apple, Google, Microsoft, Amazon и Facebook имеются свои отделы, работающие над созданием микропроцессоров.
Более насущная угроза для Intel – политическая. Корпорации почти наверняка придется выдержать волну критики от законодателей, ведь правительства стран всего мира все более скептически относятся к компаниям-монополистам в сфере технологий. «Чрезмерная зависимость от одного производителя, от одной технологии была заявлена как путь к понижению цен. Однако она также делает общество более уязвимым не только перед хакерами, но и перед “шоковыми событиями”, которые подрывают работу всех систем», – сообщил 11 января в своей еженедельной рассылке вашингтонский аналитический центр Open Markets Institute. Пока самой большой проблемой для Intel остается продажа Кржаничем акций компании, но если станет понятно, что был нанесен вред потребителям (из-за повышения цен или хакерских атак), то вероятно, что контролирующие органы будут настаивать на защите потребителей с помощью исков и антимонопольных расследований.
Intel уже сталкивалась с подобным давлением общественности. В 1994 году компанию жестко критиковали за то, что ее процессоры Pentium приводили к ошибкам при некоторых вычислениях, а сама компания игнорировала доказательства этого. Кризис привел к тому, что IBM отказалась поставлять машины с дефективными процессорами. Тщательно сконструированный Intel бренд – Intel Inside – ранее служивший своего рода гарантией качества, начал казаться сомнительным. Тогдашний глава корпорации Энди Гроув, признав вину, предложил заменить все проблемные процессоры, что обошлось Intel в $475 млн – по тем временам примерно половина ежегодного бюджета компании на исследования и разработки.
Урок Гроува, как он сам об этом написал в книге «Выживают только параноики. Как использовать кризисные периоды, с которыми сталкивается любая компания», в том, что Intel застигли врасплох. Крупная компания, существовавшая более четверти века, все еще считала себя задиристым стартапом. Однако с размером и влиянием пришла и ответственность, признает он. «Проблема была не только в том, что мы не поняли, что правила изменились. Хуже – мы не знали, каким правилам теперь нужно следовать», – пишет Гроув.
Последние 25 лет Intel была крупнейшим производителем чипов, но Meltdown и Spectre могут привести к худшим последствиям, чем проблема с Pentium. Если компания хочет сохранить свои позиции, ей нужно показать смирение, а не дешевые театральные эффекты.
Перевод: Денис Шлянцев
Источник: “Republic”
