Intel staje w obliczu pozwu dotyczącego błędu „upadku”, domagając się 10 tys. dolarów od każdego powoda

W tym tygodniu złożono pozew zbiorowy przeciwko firmie Intel w związku z postępowaniem z błędami powodującymi wyciek danych w procesorach.

In 112-stronicowy dokument z wydziałem San Jose Północnego Okręgu Sądu Okręgowego Stanów Zjednoczonych w Kalifornii pięciu reprezentatywnych powodów utrzymuje, że gigant chipów wiedział o błędnych instrukcjach, które umożliwiły takie problemy, jak niedawny błąd „Upadek”, pół dekady, zanim faktycznie wypuszczono jakąkolwiek poprawkę.

Ustalenie, czy zaniedbanie firmy Intel stanowi przestępstwo prawne, może być jednak skomplikowane i może mieć daleko idące konsekwencje dla branży technologicznej.

„Nie posiadanie wady jest żądaniem nierealistycznym” – mówi John Gallagher, wiceprezes Viakoo Labs w firmie Viakoo, ale „jeśli moje dane zostaną skradzione, ponieważ sprzedawca nie zainstalował łatki w odpowiednim czasie, powinienem mieć możliwość pozwania go z powodu zaniedbania.”

Jak Intel poradził sobie z problemami związanymi z układami scalonymi

Upadek – tak nadano nazwę CVE-2022-40982, luka w zabezpieczeniach umożliwiająca ujawnienie informacji o średniej ocenie CVSS 6.5 w procesorach Intel od szóstej do jedenastej generacji. Jak ujawnił badacz Google podczas sierpniowego Black Hat, osoba atakująca może wykorzystać lukę w instrukcji procesory wykorzystują do wykonywania spekulatywnego w celu uzyskania dostępu do poufnych informacji od innych użytkowników we współdzielonym środowisku komputerowym.

Chociaż istnieje w niezliczonych milionach, a nawet miliardach komputerów na całym świecie (Intel lubi większość światowego rynku procesorów x86), „na poziomie indywidualnym nie będzie to miało wpływu na większość ludzi; jest to stosunkowo złożony exploit i opiera się na tym, że użytkownik współdzieli komputer lub środowisko w chmurze” – zauważa Gallagher.

Chociaż badacz Google po raz pierwszy zwrócił na siebie uwagę Downfall w sierpniu, nowy pozew wskazuje znacznie dalej.

W 2018, entuzjasta sprzętu opublikował ustalenia demonstrując lukę w zabezpieczeniach wykonania przejściowego typu Downfall w procesorach Intel. Było to podobne do innych, bardziej niesławnych błędów związanych z chipami — Spectre and Meltdown - i jeszcze inny, podobny przypadek — NetSpectre – powstał mniej więcej w tym samym czasie.

„Jednak pomimo wielu (publicznie znanych) ujawnień dotyczących luk w zabezpieczeniach przekazanych firmie Intel w tej sprawie, Intel nie przeanalizował dokładnie [sic] możliwych skutków ubocznych w AVX ISA i inżynierskich rozwiązań sprzętowych, aby je naprawić w 2018 r. Lub w 2019 r. lub 2020, 2021 lub 2022. Zamiast tego Intel na pierwszym miejscu stawiał zyski, sprzedając wadliwe procesory przez lata, po tym jak wyraźnie wiedział, że są wadliwe” – czytamy w skardze.

W związku z tegorocznym odkryciem Black Hat, Intel wydał łatkę dla Downfall. Jednak poprawka ta, jak wskazuje skarga, zmniejsza prędkość przetwarzania do tego stopnia, że ​​„powodowie pozostają z wadliwymi procesorami, które są albo wyjątkowo podatne na ataki, albo muszą zostać spowolnione nie do poznania, aby je „naprawić”.

W tym celu prokuratura domaga się „zadośćuczynienia pieniężnego przeciwko firmie Intel mierzonego jako większa z następujących wartości: (a) rzeczywiste szkody w kwocie, która zostanie ustalona na rozprawie lub (b) ustawowe odszkodowanie w wysokości 10,000 XNUMX dolarów dla każdego powoda”.

Czy firma Intel powinna zostać pociągnięta do odpowiedzialności prawnej?

Prawo nie określa jeszcze jasno progu, przy którym nieprawidłowe usunięcie podatności na zagrożenia staje się jawnym zaniedbaniem.

„W przyszłym roku minie 30 lat, odkąd „błąd zmiennoprzecinkowy” Intela trafił na pierwsze strony gazet i spowodował, że Intel wycofał swoje chipy (potencjalnie w celu uniknięcia odpowiedzialności prawnej). Od tego czasu odpowiedzialność prawna nie jest już dużo bardziej jasna, ponieważ zawsze będą występować przypadki narożne i drobne wady, które nie osiągną poziomu odpowiedzialności prawnej” – zastanawia się Gallagher.

Niezależnie od tego, czy Intel się mylił, czy nie, złożony błąd kanału bocznego mający ograniczone konsekwencje dla większości właścicieli komputerów nie stanowi najwyraźniejszego przypadku, który mógłby odwrócić tę tendencję. „Gdyby była to powszechnie wykorzystywana wada, której można było w rozsądny sposób zapobiec, mogłaby skutkować odpowiedzialnością prawną, ale bez tego jest to kolejny przykład tego, jak nawet przy najbardziej rygorystycznych testach i projektowaniu produktu mogą wystąpić wady” – mówi. .

„Gdyby każdy atak typu side-channel wykorzystujący wadę architektoniczną na poziomie chipa był rozpatrywany jako sprawa sądowa” – podsumowuje – „akta byłyby przepełnione”.

Reprezentująca prokuraturę Bathaee Dunne LLP odmówiła komentarza w tej sprawie. Firma Dark Reading skontaktowała się także z firmą Intel, która do chwili publikacji tej publikacji nie udzieliła jeszcze odpowiedzi.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/vulnerabilities-threats/intel-downfall-lawsuit-10k-plaintiff-ignoring-chip-bug