Holenderscy badacze: Intel zaproponował nam łapówkę, abyśmy nie ujawnili luki Ridl
Naukowcy z Wolnego Uniwersytetu w Amsterdamie zarzucają firmie Intel próbę wręczenia łapówki. Zespół, który wykrył jedną z czterech ostatnich luk, twierdzi, że zaoferowano im wysoką gratyfikację pieniężną za dochowanie tajemnicy. Specjaliści ofertę odrzucili.
Chodzi konkretnie o lukę Ridl, polegającą na próbkowaniu buforów wykonywania spekulatywnego, o której Intel poinformował 14 maja w oficjalnym dokumencie. Zadeklarował przy tym, że będzie sukcesywnie łatać procesory aktualizacjami mikrokodu, co jednak może wydawać się dość dziwne, gdyż przeważnie o tego rodzaju sprawach mówi się już po wydaniu patchów.
Według dziennika "Nieuwe Rotterdamsche Courant", który powołuje się na wypowiedzi samych naukowców, takie zachowanie jest nieprzypadkowe. Niebiescy ponoć zaoferowali badaczom 40 tys. dol., aby ci podpisali embargo na informacje i utajnili wyniki badań. Później jeszcze zwiększyli pulę o 80 tys., jednak zespół pozostał niewzruszony. I tym samym zmusił przedsiębiorstwo do błyskawicznej reakcji, nie dając szansy na dokonanie poprawek z wyprzedzeniem.
Moralna niejednoznaczność
Oczywiście sprawa nie jest jednoznaczna. Powszechnie wiadomo, że duże korporacje prowadzą tzw. programy "łowców nagród", w ramach których zespoły raportujące luki są wynagradzane. Lepiej dla użytkownika, gdy producent wyeliminuje problem, zanim zainteresują się nim crackerzy.
Tak więc akurat w tym przypadku, jeśli naukowcy rzeczywiście otrzymali ofertę wynagrodzenia i ją odrzucili, to rodzi się dyskusja o motywach ich działań. Chcąc zwiększyć bezpieczeństwo, zespół nie powinien rozdmuchiwać tematu. Przynajmniej nie do czasu, kiedy problem zostanie wyeliminowany. W tej chwili, co by nie mówić, jest to stwarzanie możliwości cyberprzestępcom.