美參議院:中國政府或比美國更早知道英特爾幽靈漏洞
E安全7月13日訊 修復硬體和軟體漏洞需要全球信息共享。但有人在2018年7月11日告訴美國參議院商務委員會稱,共享硬體和軟體漏洞信息是一項全球性計劃,目前還沒有一種好的方法既能協調修復大型漏洞,又能讓中國政府完全不知情。
本文來源E安全
美國:漏洞「保密期」不要通知中國企業!
2017年,在為期六個月修復英特爾幽靈(Spectre)和熔斷(Meltdown)晶元漏洞的過程中(通常情況,廠商在獲得漏洞後會有三個月的時間修復,之後再向公眾披露漏洞,以免漏洞被惡意人士利用),晶元製造商向眾多中國公司發出了這兩個漏洞的警告,而華為公司就位列其中。美國情報機構認為,華為等公司很可能向中國政府及情報機構上報了這一漏洞信息。
美參議院官員對漏洞披露表示不滿
英特爾這次的漏洞幾乎影響了近幾十年來的電腦,美國參議院商務委員主席約翰·圖恩稱,美國政府也是直到這些漏洞2018年1月被公開披露後才得知這些漏洞的存在。該委員會高級成員比爾·尼爾森認為,」遲來的「通知令人不解,且不可原諒。
美國行業和學界官員對立法者稱,電腦硬體和軟體製造商們應該在修復漏洞的早期就通知美國政府,以防漏洞規模升級,國土安全部(DHS)本可以在漏洞披露過程中提供有用的指導,而事實卻沒有。
有網路就有威脅情報共享
卡耐基梅隆大學協調中心負責協調公私電腦緊急響應團隊(CERT)的工作,該大學高級漏洞分析師 Art Manion 稱,因擔心網路敵對政府利用未修復的漏洞實施間諜或破壞活動,而試圖不讓他們知道這些漏洞信息很可能是徒勞的,互聯網無國界,因此很難不讓美國以外的個人和組織獲取信息,且這些個人、組織與其國家政府之間的關係幾乎是美國無法掌控的。
CERT 協調中心也沒有更早獲得漏洞消息
Manion 所在的組織——CERT 協調中心,也沒有提前得到關於「幽靈」和「熔斷」漏洞的通知。如果該中心早些接到了關於這兩個漏洞的通知,那麼該組織的官員們會建議在該漏洞被公開披露前將這些漏洞信息告知更多的硬體提供商。
Manion表示,未來該中心可能會更新其協調漏洞披露政策的指南,以明確政府參與的重要性。由於許多公司和組織在漏洞協同披露中會得到更多實際指導,未來讓政府參與進來可能會成為一種慣例。
註:本文由E安全編譯報道,轉載請註明原文地址
※軍工巨頭BAE Systems構建「全球情報網」
※FireEye:中國黑客干擾柬埔寨大選
TAG:E安全 |