¿Por qué y dónde se hizo pública Meltdown antes de lo programado por primera vez?

4

Originalmente, Meltdown y Specter tenían una fecha de divulgación coordinada del 9 de enero de 2018. Algunos vendedores se estaban preparando para lanzar correcciones en ese momento, y fueron sorprendidos cuando las vulnerabilidades se publicaron antes (como se describe aquí , por ejemplo). Pero ¿por qué se hicieron públicos antes de tiempo y dónde?

La primera referencia a estas vulnerabilidades que pude encontrar está en este artículo del Registro , publicado el 2 de enero. Pero no menciona ninguna otra fuente que no sea:

  

Sin embargo, algunos detalles de la falla han surgido, y esto es lo que   lo sabemos.

¿Sabemos dónde han surgido estos "detalles" por primera vez y por qué se hicieron públicos antes de la fecha de divulgación coordinada?

    
pregunta Zoltan 09.01.2018 - 10:12
fuente

2 respuestas

6

Seguí la noticia de estos ataques con mucho interés a partir del 3 de enero, y he investigado un poco para ver qué más había dicho la gente antes de la divulgación.

El embargo se rompió oficialmente el 3 de enero por esta publicación de Google, seguida en breve por un conjunto de detalles técnicos en su Project Zero post .

En ese primer enlace, justifican romper el embargo diciendo: "Publicamos antes de una fecha de divulgación coordinada originalmente el 9 de enero de 2018 debido a los informes públicos existentes y la creciente especulación en la prensa y la comunidad de investigación de seguridad sobre el problema, lo que aumenta el riesgo de explotación ".

Hubo varios informes que un observador consciente podría haber recogido antes de esa fecha. La "pistola humeante" más grande para un exploit de ejecución especulativa (que yo sepa) se hizo cuando un desarrollador de AMD envió un parche de Linux el 26 de diciembre , que está vinculado en el artículo que proporcionó. Que yo sepa, es la primera vez que un informe público conecta directamente las referencias de memoria especulativa a un posible ataque y conjunto de parches. Antes de este un artículo en LWN el 20 de diciembre sugería que el parche de aislamiento de la tabla de páginas realmente estaba abordando una falla de seguridad más profunda , pero Ninguna referencia específica a la ejecución especulativa es la fuente del problema.

La gente realmente comenzó a prestar atención los días 28 y 29 de diciembre después de que los parches de aislamiento de la tabla de páginas se fusionaran en el núcleo por Linus . Un cambio de esta magnitud generalmente toma mucho más tiempo para ser aplicado al núcleo de la línea principal, por lo que esto esencialmente anunció al mundo que efectivamente había una vulnerabilidad embargada.

Internet comenzó a explotar el 30 de diciembre y el 1 de enero. grsecurity en Twitter estaba convencido de que había un embargo al menos tan pronto como el 28, y el 30 que se observó al mundo que faltaban comentarios del código fuente en el conjunto de parches de Linux . dulzura de Python en Tumblr predijo con precisión el 1 de enero que era una vulnerabilidad basada en hardware en x86 que podía realizar lecturas de memoria sin privilegios, y especulaba sobre el posible ataque del hipervisor basado en la presencia de empleados de Amazon y Google que se estaban conectando.

Luego, por supuesto, el Registro publicó su artículo el 2 de enero y el mundo entero se integró. Ese artículo hacía referencia al parche del 26 de diciembre de AMD y conectaba la ejecución especulativa a la vulnerabilidad no revelada.

Ha habido un creciente interés en la comunidad de investigación de seguridad sobre la vulnerabilidad de las microarquitecturas modernas. El Specter paper cita no menos de otros 12 trabajos sobre la filtración de datos desde el interior del procesador o la memoria caché L1, y el trabajo reciente de 2016 sobre la explotación Los predictores de derivación para eludir la aleatorización del espacio de direcciones podrían sentar las bases de Specter. el blog de Anders Fogh describió algunas técnicas básicas para el Ataques a fines de julio pasado pero reportaron un resultado negativo. Si arrojas a Fogh allí, hay tres grupos separados que buscan y reportan estas vulnerabilidades específicas en un solo año.

La vulnerabilidad de Specter, en particular, es realmente un gran problema, lo que significa que van a hablar de ello durante mucho, mucho, mucho tiempo por venir. Mi conjetura es que parte del deseo de divulgar con anticipación fue asegurarse de que reclamen el crédito al vencimiento. Imagínese si estuviera sentado en una vulnerabilidad de cambio de juego. Usted sabe que al menos otro grupo ya ha descubierto su vulnerabilidad de manera independiente, y si está actualizado en sus blogs, sabe que Fogh ha estado investigando lo mismo. ¡Un repentino ataque a la actividad de la prensa te hace pensar que una cuarta persona ha descubierto y estaba a punto de revelar la misma vulnerabilidad en la que estuviste durante un año!

Lo que causó específicamente que el equipo de Google rompiera el embargo no lo sabremos. El artículo del Registro es el candidato obvio, pero el gato estaba realmente fuera de la bolsa una vez que los parches de aislamiento de la tabla de páginas comenzaron a moverse a principios de diciembre.

    
respondido por el David 09.01.2018 - 21:08
fuente
3

El artículo inicial del registro no dio a conocer detalles exactos sobre cómo funcionaron los exploits. La versión que ha vinculado enumera varias fuentes, incluida la lista de correo del kernel de Linux, la fuente de Linux, el blog de Anders Fogh (para un problema extremadamente similar).

En ese momento, los parches de Linux se lanzaron públicamente y los correos electrónicos relacionados con ellos estaban en las listas de correo de Linux .

El registro podría haber recogido cualquiera de estos o haber sido contactado por cualquiera de un gran número de personas en las corporaciones y organizaciones de fuente abierta que fueron contactadas dentro del período de bloqueo.

La razón de ser embargos es un argumento de dos caras. Durante el período de embargo, no puedes estar seguro de que las partes malas no están explotando el ataque en la naturaleza. Mientras tanto, usted sabe con certeza que hay un gran número de partes vulnerables que ha elegido deliberadamente para no informar, de modo que puedan tomar medidas para mitigar / reducir el impacto.

O la visión escéptica: alguien se ofreció a venderlo en el registro y sabían cuánta ganancia de publicidad sería enorme.

    
respondido por el Hector 09.01.2018 - 10:47
fuente

Lea otras preguntas en las etiquetas