הקונגרס חוקר: מדוע חברות הסתירו את הפרצות Meltdown ו-Spectre?

חברי ועדות בבית הנבחרים האמריקני, ובמרכזן ועדת האנרגיה והמסחר, מבקשים לדעת מדוע חברות בולטות לא דיווחו לציבור – ובכלל זה ללקוחות שלהן – על פרצות האבטחה החמורות Meltdown ו-Spectre, שנתגלו לפני כשלושה שבועות במעבדים מסוימים של אינטל (Intel).

המחוקקים שלחו אתמול (ד') מכתב למנכ"לים של מספר חברות מובילות שהיו מעורבות במאמצים להתמודד עם פגמי התכנון של Meltdown ו-Specter, ובו הם תוהים כיצד התהליך תואם והאם חברות נוספות לא היו אמורות לקבל מידע על הפרצות החמורות והמסוכנות. הנמענים הם המנכ"לים של אפל (Apple), גוגל (Google), מיקרוסופט (Microsoft) ואמזון (Amazon), כמו גם Advanced Micro Devices, ARM וכמובן אינטל עצמה.

שתי הפרצות במעבדי אינטל, שהתגלו לציבור הרחב רק ב-3 בינואר, מעמידות בסכנה כל מחשב שיוצר במהלך העשור האחרון, ולא משנה אם הוא מריץ Windows ,macOS או לינוקס (Linux). זאת, מפני שהן מאפשרות להאקרים להגיע אל מה שנחשב לקודש הקודשים של המערכת: הליבה שלה (Kernel).

בתיאוריה, ההאקרים יכולים לנצל את התקלה, שיש שמגדירים אותה ככשל מערכתי ויש כאלה שטוענים שהיא פשוט באג, בכדי להשתיל רושעה, שיכולה לרגל אחרי כל התהליכים המתרחשים וכל הנתונים השמורים – ולא משנה אם מדובר במחשב או בסמארטפון. יותר מכך, במקרה של מערכות ענן, שמכילות משתמשים רבים זה לצד זה, ניתן אפילו להציץ על תהליכים של משתמשים אחרים, אם הם שמורים באותו השרת.

השאלות הקשות שהמחוקקים דורשים תשובות עליהן

על המכתב חתומים יו"ר הוועדה, גרג וולדן, יו"ר ועדת המשנה לפיקוח על הבנקים; גרג הארפר, יו"ר ועדת הסחר הדיגיטלית המסחרית, רוברט לאטה; ויו"רית ועדת המשנה לתקשורת וטכנולוגיה, מרשה בלקבורן. המחוקקים שואלים בו כיצד החדשות על הפגיעות של המעבדים נחשפו כשבוע לפני שהאמברגו היה אמור להסתיים – ב-9 בינואר.

עוד הם מבקשים מענה לשאלות הבאות: מדוע הוטל אמברגו? מי החליט על האמברגו וכיצד? מדוע לא נכללו בו חברות ממגזרים אחרים, כמו בריאות, יצרנים ואנרגיה? מתי קיבל המשרד לביטחון המולדת הודעה על הפגיעויות? ומה עשו החברות בכדי להעריך את ההשפעה הפוטנציאלית של האמברגו על תשתיות קריטיות וחברות IT?

ההתנהלות – לא נדירה

יצוין כי סוג כזה של התנהלות, כולל האמברגו, אינו נדיר כשמדובר בהתמודדות עם פגמי אבטחה, ושבאופן כללי הכוונות העומדות מאחורי הנוהל טובות. כך, למשל, אם המקרה היה מפורסם כשהוא התגלה, לפני כמה חודשים, סביר להניח שהאקרים זדוניים היו מוצאים דרך לנצל את חורי האבטחה לפני שהתיקונים היו מיושמים. אלא שבמקרה דנן מודאג הקונגרס מכך שמספר גדול של חברות טכנולוגיה בולטות אחרות הועמדו בגלל ההליך הסודי במצב של נחיתות, ונתפסו לא מוכנות כאשר אינטל וגוגל שחררו את החדשות בעקבות חשיפה של הרג'יסטר (The Register) – שישה ימים לפני מועד הפקיעה המתוכנן של האמברגו.

המכתב מצטט פוסט בבלוג שנכתב על ידי ג'וש פיינבלום, מנהל תחום הביטחון של Digital Ocean, שמביע תסכול מהמצב: "לצערנו, האמברגו הקפדני שהציבה אינטל הגביל באופן משמעותי את יכולתנו להבין בצורה מקיפה את ההשפעה הפוטנציאלית (של Meltdown ו-Spectre – ג"פ)".

המחוקקים ציינו במכתב כי "בזמנים שבהם יותר מוצרים ושירותים מתחברים, אף חברה אחת, או אפילו מגזר אחד, שעובדים בבידוד לא יוכלו לספק הגנה מספקת למוצרים ולמשתמשים שלהם". עוד נכתב ש-"מציאות זו מעלה שאלות רציניות לא רק על האמברגו שהוטל על מידע לגבי הפגיעות של Meltdown ו-Specter, אלא על אמברגו בנוגע לפגיעויות בתחום סיכוני הסייבר בכלל".

החברות שאליהן נשלחו המכתבים קיבלו ארכה עד ה-7 בפברואר להגיב לשאלות הוועדה.