Intel corrige falha de segurança que dizia ter resolvido seis meses atrás

Em maio passado, quando a Intel lançou um patch para corrigir um conjunto de vulnerabilidades de segurança que pesquisadores haviam descoberto nos processadores de computador da empresa, a Intel deu a entender que todos os problemas estavam resolvidos.

Mas não era totalmente verdade, de acordo com os pesquisadores holandeses da Universidade Livre de Amsterdã, os primeiros a descobrir as vulnerabilidades e a relatá-las à gigante da tecnologia, em setembro de 2018. O patch de software que devia corrigir o problema do processador enfrentava apenas algumas das falhas que os pesquisadores tinham encontrado.

Ainda seriam necessários outros seis meses para que um segundo patch, divulgado pela empresa na terça-feira, 12, corrigisse todas as vulnerabilidades indicadas à Intel em maio, disseram os pesquisadores em uma entrevista recente.

A mensagem pública da Intel foi “está tudo certo”, disse Cristiano Giuffrida, professor de ciência da computação na Universidade Livre de Amsterdã e um dos pesquisadores que relataram as vulnerabilidades. “E sabíamos que não era bem isso”.

As alegações dos pesquisadores são indícios das tensões que existem entre as empresas de tecnologia e os especialistas em segurança que vasculham seus produtos em busca de falhas que deixam os sistemas vulneráveis a ataques.

Embora muitos pesquisadores deem algum tempo para que as empresas resolvam os problemas antes de divulgá-los publicamente, as empresas de tecnologia às vezes demoram para corrigir as falhas e, por isso, tentam calar os pesquisadores que querem informar o público sobre os problemas de segurança.

Os pesquisadores geralmente concordam em comunicar as vulnerabilidades apenas para as empresas de tecnologia e ficar calados até que elas possam lançar um patch. Normalmente, os pesquisadores e as empresas combinam um anúncio público da correção. Mas os pesquisadores holandeses dizem que a Intel vem abusando desse processo.

Agora, os pesquisadores holandeses afirmam que a Intel está fazendo a mesma coisa, mais uma vez. Eles disseram que o novo patch lançado na terça-feira, 12, ainda não corrige uma outra falha que eles indicaram à Intel em maio.

As falhas da Intel, assim como outras importantes vulnerabilidades que a comunidade de segurança de computadores descobriu nos últimos tempos em chips de computador, possibilitaram que um invasor extraísse senhas, chaves de criptografia e outros dados sensíveis de processadores em desktops, laptops e servidores de computação em nuvem.

A Intel reconheceu que o patch de maio não corrigiu tudo o que os pesquisadores relataram, tampouco o de terça-feira. Mas “reduzem muito” o risco de ataque, disse Leigh Rosenwald, porta-voz da empresa.

Embora não atenda diretamente a algumas das queixas dos pesquisadores, Rosenwald disse que a Intel lançou o patch de terça-feira por uma questão de transparência.

“Não é uma prática comum para nós, mas percebemos que é uma questão complicada. E, definitivamente, queremos ser transparentes com tudo isso”, disse ela. “Embora não concordemos com algumas das afirmações feitas pelos pesquisadores, valorizamos nosso relacionamento com eles, apesar dessas divergências”.

Os pesquisadores holandeses ficaram calados por oito meses sobre os problemas que haviam descoberto, enquanto a Intel trabalhava na correção lançada em maio. Depois, a empresa percebeu que o patch não corrigia tudo e pediu que eles ficassem quietos por mais seis meses. Além disso, solicitou que os pesquisadores alterassem um artigo que planejavam apresentar em uma conferência de segurança, removendo qualquer menção às vulnerabilidades não corrigidas, disseram os pesquisadores. Eles também disseram que concordaram, ainda que relutantes, porque não queriam que as falhas viessem a público sem uma correção.

“Tivemos que editar o artigo, para que o mundo não visse como as coisas são vulneráveis”, disse Kaveh Razavi, também professor de ciência da computação da Universidade Livre de Amsterdã e parte do grupo que relatou as vulnerabilidades.

Quando eles notificaram a Intel sobre as falhas não corrigidas, antes do lançamento do patch de terça-feira, a empresa pediu aos pesquisadores que continuassem em silêncio até que pudesse produzir outro patch, disseram. Mas, desta vez, eles se recusaram.

“Achamos que é hora de simplesmente dizer ao mundo que a Intel ainda não solucionou o problema”, disse Herbert Bos, colega de Giuffrida e Razavi na Universidade Livre de Amsterdã.

Quando a Intel lançou as correções em maio, qualificou os problemas como “de baixa a média gravidade”. Os pesquisadores disseram que a empresa pagou a eles uma gratificação de US $ 120.000 pela descoberta e indicação das vulnerabilidades – uma recompensa comum nesses casos, mas elevada para erros que seriam considerados de baixa a média gravidade.

Quando os pesquisadores relataram as primeiras vulnerabilidades à Intel, em setembro de 2018, eles forneceram provas de conceito – códigos maliciosos que demonstram como cada vulnerabilidade pode ser atacada com êxito.

A equipe de segurança da Intel trabalhou nos oito meses seguintes para verificar as descobertas e desenvolver um patch, previsto para ser lançado em 14 de maio. No entanto, quatro dias antes do lançamento, quando a empresa forneceu aos pesquisadores detalhes sobre a correção, eles rapidamente perceberam que o patch não resolvia todas as vulnerabilidades.

Os engenheiros da Intel haviam ignorado algumas das provas de conceito fornecidas pelos pesquisadores. Mas estes disseram que, mesmo sem ver as provas, a Intel deveria ter conseguido descobrir outras vulnerabilidades por conta própria.

Os pesquisadores disseram que a Intel escolheu uma maneira ineficaz de lidar com as vulnerabilidades de seus chips. Em vez de corrigir o problema principal, que possivelmente exigiria uma nova arquitetura do processador, ela tentou corrigir as variantes à medida que iam aparecendo.

“Ainda há toneladas de vulnerabilidades, temos certeza”, disse Bos. “E parecem que eles não vão fazer a engenharia de segurança adequada até que sua reputação esteja em risco”. /TRADUÇÃO DE RENATO PRELORENTZOU

  • separator

Fonte: PORTAL TERRA – TECNOLOGIA

Deixe uma resposta

%d blogueiros gostam disto: