Bill Roberson/Digitální trendy
(in) Bezpečné je týdenní rubrika, která se ponoří do rychle eskalujícího tématu kybernetické bezpečnosti.
Doporučená videa
V úterý 13. března bezpečnostní firma CTS Labs oznámil objev 13 nedostatků v procesorech AMD Ryzen a Epyc. Problémy zahrnují čtyři třídy zranitelností, které zahrnují několik hlavních problémů, jako je například hardwarová zadní vrátka Čipová sada Ryzen a chyby, které mohou zcela ohrozit Secure Processor AMD, čip, který by měl fungovat jako “bezpečný svět“, kde lze citlivé úkoly uchovávat mimo dosah malwaru.
Nedostatek shody znamená, že neexistuje způsob, jak zjistit, kdy bude další chyba odhalena, od koho bude pocházet nebo jak bude nahlášena.
Toto odhalení přichází jen několik měsíců po odhalení Meltdown a Spectre chyby, které ovlivnily čipy od AMD, Intel, Qualcomm a dalších. AMD, jehož čipy byly kompromitovány některými chybami Spectre, vyšlo z fiaska relativně bez úhony. Nadšenci zaměřili svůj hněv na Intel. Ačkoli a
hrstka hromadných žalob byly podány proti AMD, nejsou ničím ve srovnání s hromada právníků proti Intelu. Ve srovnání s Intelem se AMD zdálo chytrou a bezpečnou volbou.Díky tomu bylo úterní oznámení o nedostatcích v hardwaru AMD ještě výbušnější. Bouře na Twitteru vypukly, když se bezpečnostní výzkumníci a počítačoví nadšenci dohadovali o platnosti zjištění. Přesto byly informace poskytnuté CTS Labs nezávisle ověřeny jinou firmou, Trail of Bits, založená v roce 2012. O závažnosti problémů lze polemizovat, ale existují a kompromitují to, co někteří uživatelé PC považovali za poslední bezpečný přístav.
Divoký západ odhalení
Obsah výzkumu CTS Labs by v každém případě vygeneroval titulky, ale údernost odhalení byla umocněna jeho překvapením. AMD zjevně dostalo méně než 24 hodin na odpověď, než se CTS Labs dostaly na veřejnost, a CTS Labs nezveřejnily všechny technické podrobnosti, místo toho se rozhodli sdílet je pouze s AMD, Microsoft, HP, Dell a několika dalšími velkými společnosti.
Mnoho bezpečnostních výzkumníků křičelo ošklivě. Většina nedostatků je společnostem sdělena dříve, spolu s časovým rámcem na reakci. Meltdown and Spectre, například, byly odhaleny Intel, AMD a ARM 1. června 2017 Projekt nula společnosti Google tým. Počáteční 90denní lhůta na vyřešení problémů byla později prodloužena na 180 dní, ale skončila před plánem, když Registr zveřejnil svůj první příběh o chybě procesoru Intel. Rozhodnutí CTS Labs nenabídnout předchozí zveřejnění vyvolalo spekulace, že má další, zlomyslnější motiv.
Přehled chyb AMD
CTS Labs se bránila v dopise od Ilia Luk-Zilbermana, CTO společnosti, zveřejněné na webu AMDflaws.com. Luk-Zilberman nesouhlasí s konceptem předchozího zveřejnění a říká: „Je na prodejci, jestli chce upozornit zákazníkům, že nastal problém.“ To je důvod, proč jen zřídka uslyšíte o bezpečnostní chybě až několik měsíců poté odkryté.
A co je horší, říká Luk-Zilberman, nutí to mezi výzkumníkem a společností hru na hranici. Společnost nemusí reagovat. Pokud k tomu dojde, výzkumník stojí před chmurnou volbou; buďte zticha a doufejte, že nikdo jiný chybu nenajde, nebo zveřejněte podrobnosti o chybě, která nemá žádnou dostupnou opravu. Cílem je spolupráce, ale sázky na výzkumníka i společnost podporují obranu. Otázka, co je správné, profesionální a etické, se často zhroutí do malicherného tribalismu.
kde je dno?
Odvětvový standard pro odhalení chyby neexistuje a v jeho nepřítomnosti vládne chaos. Dokonce i ti, kteří věří ve zveřejnění, se neshodnou na podrobnostech, jako je doba, po kterou by společnost měla reagovat. Nedostatek shody znamená, že neexistuje způsob, jak zjistit, kdy bude odhalena další velká chyba, od koho přijde nebo jak bude nahlášena.
Je to jako připnout si záchrannou vestu, když se loď potápí do mrazivých vod. Jasně, vesta je dobrý nápad, ale k záchraně už to nestačí.
Kybernetická bezpečnost je nepořádek a je to nepořádek, který si vybral svou daň na každém z nás. I když je to alarmující, nové chyby v procesorech AMD – jako Meltdown, Spectre, Heartbleed a mnoho dalších dříve – budou brzy zapomenuty. Ony musí být zapomenut.
Koneckonců, jakou jinou možnost máme? Počítače a chytré telefony se staly povinnými pro účast v moderní společnosti. I ti, kteří je nevlastní, musí používat služby, které na nich spoléhají.
Každý kus softwaru a hardwaru, který používáme, je zjevně prošpikovaný kritickými chybami. Přesto, pokud se nerozhodnete opustit společnost a postavit si chatku v lese, musíte je použít.
Normálně bych byl rád, kdyby tento sloupec skončil praktickými radami. Používejte silná hesla. Neklikejte na odkazy, které slibují bezplatné iPady. Takové věci. Taková rada zůstává pravdivá, ale připadá mi to jako připoutat si záchrannou vestu, když se loď potápí v mrazivých arktických vodách. Tak určitě. Záchranná vesta je dobrý nápad. S ním jste ve větším bezpečí než bez něj – ale k záchraně už to nestačí.
Doporučení redakce
- AMD Ryzen Master má chybu, která může někomu umožnit převzít plnou kontrolu nad vaším počítačem
- AMD právě zveřejnilo čtyři své vlastní připravované procesory Ryzen 7000
- AMD právě vyhrálo základní války a stále má v rukávu trumf
