發現了「熔斷」「幽靈」兩大漏洞，谷歌決定先不要告訴全世界

編者按：據報道，「熔斷」和「幽靈」安全漏洞已引起互聯網公司的高度重視。本文作者Mark Sullivan在「Google』s Tough Choice On How To Warn The World About Super Bugs」一文中分析了谷歌在面對這次安全漏洞的艱難抉擇，並給予合理性解釋。

谷歌Project Zero項目的安全研究人員的工作就是破壞東西。當他們發現在現行處理器中存在重大漏洞時，他們就要做出更大的取捨。近期，其發現的「熔斷」（Meltdown）和「幽靈」（Spectre）漏洞可能會對過去20年間產出的幾乎所有計算機設備產生影響。

這些漏洞造成的安全威脅程度幾乎從來沒有出現過。它們會入侵應用程序和其他軟體並存在於用戶界面和處理器中，盜取包括點擊、密碼和各種私人和金融數據在內的敏感數據。威力巨大。

當谷歌Project Zero項目的研究人員發現這些漏洞，並確認其存在潛在威脅時，面臨著艱難抉擇：他們應該如何將這些信息傳遞給包括處理器、操作系統和雲平台提供者在內大受影響的服務和企業手中，同時又能防止其落入會惡意使用的犯罪分子手中呢？

谷歌最終決定將其概念驗證數據提供給小部分關鍵人群。研究人員首先通知了英特爾，讓其能搶先保護其處理器。英特爾緊急研發出新安全補丁，並將其分發給使用英特爾晶元的電腦製造商。

在周四的一份聲明中，英特爾宣布「已經開發並迅速發布所有基於英特爾計算機系統的更新，包括個人電腦和伺服器在內，使其免受「熔斷」和「幽靈」的威脅」。

亞馬遜、微軟和包括谷歌自己在內都在Project Zero研究的基礎上為自己的雲伺服器創建和發布補丁，這些伺服器供大型和小型企業使用。兩家公司在周三的聲明中表示，他們已經修復近乎所有漏洞。

在給這些公司提醒之前，谷歌要求他們簽署保密協議，防止其在漏洞公開聲明之前將信息告知其他第三方。但是，在他們完全修復漏洞之前，這一概念驗證仍可能被泄露給公眾和黑客，這非常危險。

通知小部分人

那些同樣面臨安全威脅但是卻沒有收到谷歌概念驗證的中小型軟體和服務提供商該怎麼辦？來自Cooper Levenson侓師事務所的律師彼得·傅指出，谷歌受「熔斷」和「幽靈」漏洞影響的網路流量只佔一半甚至更少。其餘的都由較小型供應商提供。

由於硬體製造商提供的信息不完整，我們將與其他受影響的雲服務提供商@linode、@packethost 和@ovh聯合起來共享信息和工作。

—scaleway

事實是，谷歌的保密協議將於1月9日到期，而且這件事已經廣為人知。黑客們毫無疑問會做好準備等待數據發布。傅表示，給小型軟體提供商留下的時間不多，他們需要在黑客發動攻擊之前匆忙發布安全補丁。

但是，這也許是必然結果。「谷歌處於一個兩難境地。」傅說道。「我開始尊重他們的選擇。」

「如果他們把數據公布給太多的人，那麼別有用心的人就會趁機得到消息，那麼谷歌就會面臨被黑客攻擊的危險，」傅說道。「如果只通知一部分人，他們又看起來就像是自持優勢並壟斷權力。」

谷歌沒有對這種做法給予回應。

曾在司法部工作的傅說，聯邦政府應該在這種情況下發揮重要作用，但是他們沒有。「聯邦政府應該介入並提供支持」。另外，傅認為U.S.-CERT（美國計算機應急準備小組，是國安局的一部分）應該為這類潛在的災難性安全漏洞負責。

在Project Zero團隊發現之後，是大型私有科技公司，而不是政府，第一個站出來回應，這表明U.S.-CERT並沒有回復和進行大規模的援助的打算。傅認為，如果聯邦政府介入，英特爾、亞馬遜以及其他公司仍有可能得到信息驗證，但是卻不是由谷歌而是被聯邦要求保密。

編譯組出品。編輯：郝鵬程

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！