بيل روبرسون / الاتجاهات الرقمية
(غير آمن هو عمود أسبوعي يتعمق في موضوع الأمن السيبراني المتصاعد بسرعة.
مقاطع الفيديو الموصى بها
في يوم الثلاثاء الموافق 13 مارس، قامت شركة الأمن CTS Labs أعلن اكتشاف 13 العيوب في معالجات Ryzen وEpyc من AMD. تشمل المشكلات أربع فئات من نقاط الضعف التي تتضمن العديد من المشكلات الرئيسية، مثل الباب الخلفي للأجهزة مجموعة شرائح Ryzen، والعيوب التي يمكن أن تعرض للخطر معالج AMD الآمن تمامًا، وهي شريحة من المفترض أن تعمل بمثابة معالج “عالم آمن"حيث يمكن الاحتفاظ بالمهام الحساسة بعيدًا عن متناول البرامج الضارة.
ويعني عدم وجود اتفاق أنه لا توجد طريقة لمعرفة متى سيتم الكشف عن الخلل التالي، أو من سيأتي، أو كيف سيتم الإبلاغ عنه.
ويأتي هذا الوحي بعد أشهر قليلة من الكشف عن الانهيار والشبح العيوب التي أثرت على شرائح AMD وIntel وQualcomm وغيرها. AMD، التي تعرضت رقائقها للاختراق بسبب بعض عيوب Spectre، خرجت من الفشل سالمة نسبيًا. ركز المتحمسون غضبهم على إنتل. على الرغم من أ حفنة من الدعاوى القضائية الجماعية تم رفعها ضد AMD، فهي لا شيء مقارنة بـ مجموعة من المحامين ضد إنتل. بالمقارنة مع إنتل، بدت AMD الخيار الذكي والآمن.
وهذا ما جعل إعلان يوم الثلاثاء عن العيوب في أجهزة AMD أكثر إثارة للجدل. اندلعت عواصف تويتر عندما تجادل الباحثون الأمنيون وعشاق أجهزة الكمبيوتر حول صحة النتائج. ومع ذلك، تم التحقق من المعلومات التي قدمتها CTS Labs بشكل مستقل من قبل شركة أخرى. درب البتات، تأسست عام 2012. يمكن الجدال حول مدى خطورة هذه المشكلات، لكنها موجودة بالفعل، وتؤدي إلى تعريض ما أصبح بعض مستخدمي الكمبيوتر الشخصي يعتبرونه الملاذ الآمن الأخير للخطر.
الغرب المتوحش للإفصاح
كان من الممكن أن يتصدر محتوى أبحاث CTS Labs عناوين الأخبار على أي حال، ولكن تم تضخيم تأثير الكشف بسبب مفاجأته. يبدو أن AMD مُنحت أقل من 24 ساعة للرد قبل أن يتم طرح CTS Labs للعامة، ولم تعلن CTS Labs عن الأمر جميع التفاصيل الفنية، بدلاً من اختيار مشاركتها فقط مع AMD وMicrosoft وHP وDell والعديد من الشركات الكبيرة الأخرى شركات.
بكى العديد من الباحثين الأمنيين. يتم الكشف عن معظم العيوب للشركات في وقت مبكر، إلى جانب إطار زمني للرد. على سبيل المثال، تم الكشف عن Meltdown وSpectre لشركة Intel وAMD وARM في 1 يونيو 2017 بواسطة مشروع جوجل صفر فريق. تم تمديد فترة أولية مدتها 90 يومًا لإصلاح المشكلات لاحقًا إلى 180 يومًا، ولكنها انتهت قبل الموعد المحدد عندما نشر السجل قصته الأولية على عيب معالج إنتل. أدى قرار CTS Labs بعدم تقديم كشف مسبق إلى تكهنات بأن لديها كشفًا آخر، المزيد من الدافع الخبيث.
نظرة عامة على عيوب AMD
دافعت CTS Labs عن نفسها في رسالة من إيليا لوك زيلبرمان، CTO بالشركة، المنشور على موقع AMDflaws.com. اعترض لوك-زيلبرمان على مفهوم الإفصاح المسبق، قائلاً: "الأمر متروك للبائع إذا كان يريد تنبيه العملاء أن هناك مشكلة." ولهذا السبب نادرًا ما تسمع عن وجود خلل أمني إلا بعد أشهر من حدوثه مكشوف.
والأسوأ من ذلك، كما يقول لوك زيلبرمان، هو أن هذا يفرض لعبة حافة الهاوية بين الباحث والشركة. قد لا تستجيب الشركة. إذا حدث ذلك، فإن الباحث يواجه خيارًا قاتمًا؛ التزم الصمت وأتمنى ألا يجد أي شخص آخر الخلل، أو أعلن عن تفاصيل الخلل الذي لا يتوفر له تصحيح. التعاون هو الهدف، لكن المخاطر بالنسبة لكل من الباحث والشركة تشجع على اتخاذ موقف دفاعي. غالبًا ما ينهار السؤال حول ما هو مناسب ومهني وأخلاقي إلى قبلية تافهة.
أين القاع؟
إن معيار الصناعة للكشف عن الخلل غير موجود، وفي غيابه تسود الفوضى. وحتى أولئك الذين يؤمنون بالإفصاح لا يتفقون على التفاصيل، مثل المدة التي ينبغي منحها للشركة للرد. ويعني عدم وجود اتفاق أنه لا توجد طريقة لمعرفة متى سيتم الكشف عن الخلل الرئيسي التالي، أو من سيأتي، أو كيف سيتم الإبلاغ عنه.
إنه مثل ربط سترة النجاة عندما تغرق السفينة في المياه الباردة. من المؤكد أن السترة فكرة جيدة، لكنها لم تعد كافية لإنقاذك.
الأمن السيبراني عبارة عن فوضى، وهي فوضى أثرت سلباً على كل واحد منا. على الرغم من أنها مثيرة للقلق، إلا أن العيوب الجديدة في معالجات AMD - مثل Meltdown وSpectre وHeartbleed وغيرها الكثير من قبل - سيتم نسيانها قريبًا. هم يجب ينسى.
وفي نهاية المطاف، ما هو الخيار الآخر الذي لدينا؟ أصبحت أجهزة الكمبيوتر والهواتف الذكية إلزامية للمشاركة في المجتمع الحديث. وحتى أولئك الذين لا يملكونها يجب عليهم استخدام الخدمات التي تعتمد عليها.
يبدو أن كل قطعة من البرامج والأجهزة التي نستخدمها مليئة بالعيوب الخطيرة. ومع ذلك، ما لم تقرر التخلي عن المجتمع وبناء كوخ في الغابة، يجب عليك استخدامها.
عادةً، أود أن ينتهي هذا العمود بالنصائح العملية. استخدم كلمات مرور قوية. لا تنقر على الروابط التي تعدك بأجهزة iPad مجانية. من هذا القبيل. تظل هذه النصيحة صحيحة، ولكنها تبدو وكأنها ترتدي سترة نجاة عندما تغرق سفينة في مياه القطب الشمالي المتجمدة. بالتأكيد. سترة النجاة فكرة جيدة. أنت أكثر أمانًا معه من دونه، لكن هذا لا يكفي لإنقاذك بعد الآن.
توصيات المحررين
- يحتوي AMD Ryzen Master على خطأ يمكن أن يسمح لشخص ما بالتحكم الكامل في جهاز الكمبيوتر الخاص بك
- قامت شركة AMD للتو بتسريب أربعة من وحدات المعالجة المركزية Ryzen 7000 القادمة الخاصة بها
- لقد فازت AMD للتو بالحروب الأساسية، ولا تزال لديها ورقة رابحة في جعبتها
