Bill Roberson/Digital Trends
(σε) Ασφαλής είναι μια εβδομαδιαία στήλη που ασχολείται με το ταχέως κλιμακούμενο θέμα της ασφάλειας στον κυβερνοχώρο.
Προτεινόμενα βίντεο
Την Τρίτη 13 Μαρτίου, η εταιρεία ασφαλείας CTS Labs ανακοίνωσε την ανακάλυψη 13 ελαττωμάτων στους επεξεργαστές Ryzen και Epyc της AMD. Τα ζητήματα καλύπτουν τέσσερις κατηγορίες τρωτών σημείων που περιλαμβάνουν πολλά σημαντικά ζητήματα, όπως ένα backdoor υλικού σε chipset του Ryzen και ελαττώματα που μπορούν να θέσουν σε κίνδυνο τον Ασφαλή Επεξεργαστή της AMD, ένα τσιπ που υποτίθεται ότι λειτουργεί ως “ασφαλή κόσμο" όπου οι ευαίσθητες εργασίες μπορούν να κρατηθούν μακριά από το κακόβουλο λογισμικό.
Η έλλειψη συμφωνίας σημαίνει ότι δεν υπάρχει τρόπος να γνωρίζουμε πότε θα αποκαλυφθεί το επόμενο ελάττωμα, από ποιον θα προέρχεται ή πώς θα αναφερθεί.
Αυτή η αποκάλυψη έρχεται λίγους μήνες μετά την αποκάλυψη του το Meltdown και το Spectre ελαττώματα που επηρέασαν τσιπ από την AMD, την Intel, την Qualcomm και άλλες. Η AMD, της οποίας τα τσιπ ήταν σε κίνδυνο από κάποια ελαττώματα του Spectre, βγήκε από το φιάσκο σχετικά αλώβητη. Οι λάτρεις εστίασαν το θυμό τους στην Intel. Αν και α
μια χούφτα ομαδικές αγωγές κατατέθηκαν κατά της AMD, δεν είναι τίποτα σε σύγκριση με το θησαυρός δικηγόρων εναντίον της Intel. Σε σύγκριση με την Intel, η AMD φαινόταν η έξυπνη, ασφαλής επιλογή.Αυτό έκανε την ανακοίνωση της Τρίτης για ελαττώματα στο υλικό της AMD ακόμη πιο εκρηκτική. Καταιγίδες στο Twitter ξέσπασαν καθώς ερευνητές ασφαλείας και λάτρεις των υπολογιστών διαφωνούσαν για την εγκυρότητα των ευρημάτων. Ωστόσο, οι πληροφορίες που παρέχονται από την CTS Labs επαληθεύτηκαν ανεξάρτητα από άλλη εταιρεία, Trail of Bits, που ιδρύθηκε το 2012. Η σοβαρότητα των ζητημάτων μπορεί να υποστηριχθεί, αλλά υπάρχουν και υπονομεύουν αυτό που ορισμένοι χρήστες υπολογιστών θεωρούσαν ως το τελευταίο ασφαλές λιμάνι.
Η άγρια δύση της αποκάλυψης
Το περιεχόμενο της έρευνας της CTS Labs θα είχε δημιουργήσει τίτλους σε κάθε περίπτωση, αλλά η γροθιά της αποκάλυψης ενισχύθηκε από την έκπληξή της. Η AMD προφανώς έλαβε λιγότερο από 24 ώρες για να απαντήσει πριν το CTS Labs δημοσιοποιηθεί και το CTS Labs δεν έχει δημοσιοποιηθεί με όλες τις τεχνικές λεπτομέρειες, αντί να επιλέγετε να τις μοιράζεστε μόνο με τις AMD, Microsoft, HP, Dell και πολλές άλλες μεγάλες εταιρείες.
Πολλοί ερευνητές ασφαλείας φώναξαν άσχημα. Τα περισσότερα ελαττώματα αποκαλύπτονται στις εταιρείες νωρίτερα, παράλληλα με ένα χρονοδιάγραμμα για την απόκριση. Το Meltdown and Spectre, για παράδειγμα, αποκαλύφθηκε στην Intel, την AMD και την ARM την 1η Ιουνίου 2017 από Το Project Zero της Google ομάδα. Ένα αρχικό παράθυρο 90 ημερών για την επίλυση των προβλημάτων παρατάθηκε αργότερα σε 180 ημέρες, αλλά έληξε νωρίτερα όταν Το Register δημοσίευσε την αρχική του ιστορία σχετικά με το ελάττωμα του επεξεργαστή της Intel. Η απόφαση της CTS Labs να μην προσφέρει προηγούμενη αποκάλυψη έχει προκαλέσει εικασίες ότι είχε άλλη, πιο κακόβουλο κίνητρο.
Επισκόπηση σφαλμάτων AMD
Η CTS Labs υπερασπίστηκε τον εαυτό της σε επιστολή του Ilia Luk-Zilberman, ο CTO της εταιρείας, που δημοσιεύτηκε στον ιστότοπο AMDflaws.com. Ο Luk-Zilberman αμφισβητεί την έννοια της προηγούμενης αποκάλυψης, λέγοντας ότι «εναπόκειται στον πωλητή εάν θέλει να ειδοποιήσει τον πελάτες ότι υπάρχει πρόβλημα». Γι' αυτό σπάνια ακούτε για ένα ελάττωμα ασφαλείας μέχρι και μήνες μετά ακάλυπτος.
Το χειρότερο, λέει ο Luk-Zilberman, αναγκάζει ένα παιχνίδι αιχμής μεταξύ του ερευνητή και της εταιρείας. Η εταιρεία ενδέχεται να μην απαντήσει. Εάν συμβεί αυτό, ο ερευνητής αντιμετωπίζει μια ζοφερή επιλογή. μείνετε σιωπηλοί και ελπίζετε να μην βρει κανένας άλλος το ελάττωμα ή δημοσιοποιήστε τις λεπτομέρειες ενός ελαττώματος που δεν έχει διαθέσιμη ενημέρωση κώδικα. Η συνεργασία είναι ο στόχος, αλλά το διακύβευμα τόσο για τον ερευνητή όσο και για την εταιρεία ενθαρρύνει την άμυνα. Το ερώτημα του τι είναι σωστό, επαγγελματικό και ηθικό συχνά καταρρέει σε μικροφυλετικό.
Πού είναι ο πάτος;
Το βιομηχανικό πρότυπο για την αποκάλυψη ενός ελαττώματος δεν υπάρχει και, ελλείψει αυτού, επικρατεί χάος. Ακόμη και εκείνοι που πιστεύουν στην αποκάλυψη δεν συμφωνούν σε λεπτομέρειες, όπως το χρονικό διάστημα που πρέπει να δοθεί σε μια εταιρεία για να απαντήσει. Η έλλειψη συμφωνίας σημαίνει ότι δεν υπάρχει τρόπος να γνωρίζουμε πότε θα αποκαλυφθεί το επόμενο σημαντικό ελάττωμα, από ποιον θα προέρχεται ή πώς θα αναφερθεί.
Είναι σαν να δένεσαι σε ένα σωσίβιο καθώς ένα πλοίο βυθίζεται σε παγωμένα νερά. Σίγουρα, το γιλέκο είναι καλή ιδέα, αλλά δεν αρκεί πια για να σε σώσει.
Η ασφάλεια στον κυβερνοχώρο είναι ένα χάος, και είναι ένα χάος που έχει επηρεάσει τον καθένα μας. Αν και είναι ανησυχητικές, τα νέα ελαττώματα στους επεξεργαστές AMD - όπως οι Meltdown, Spectre, Heartbleed και τόσα άλλα πριν - θα ξεχαστούν σύντομα. Αυτοί πρέπει να ξεχαστεί.
Τελικά τι άλλη επιλογή έχουμε; Οι υπολογιστές και τα smartphone έχουν γίνει υποχρεωτικά για τη συμμετοχή στη σύγχρονη κοινωνία. Ακόμη και εκείνοι που δεν τους κατέχουν πρέπει να χρησιμοποιούν υπηρεσίες που βασίζονται σε αυτές.
Κάθε κομμάτι λογισμικού και υλικού που χρησιμοποιούμε είναι, προφανώς, γεμάτο με κρίσιμα ελαττώματα. Ακόμα κι έτσι, εκτός κι αν αποφασίσετε να εγκαταλείψετε την κοινωνία και να φτιάξετε μια καμπίνα στο δάσος, πρέπει να τα χρησιμοποιήσετε.
Κανονικά, θα ήθελα αυτή η στήλη να τελειώσει με πρακτικές συμβουλές. Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης. Μην κάνετε κλικ σε συνδέσμους που υπόσχονται δωρεάν iPad. Κάτι τέτοιο. Αυτή η συμβουλή παραμένει αληθινή, αλλά είναι σαν να φοράτε ένα σωσίβιο καθώς ένα πλοίο βυθίζεται σε παγωμένα νερά της Αρκτικής. Σίγουρος. Το σωσίβιο είναι μια καλή ιδέα. Είστε πιο ασφαλείς με αυτό παρά χωρίς - αλλά δεν αρκεί πια για να σας σώσει.
Συστάσεις των συντακτών
- Το AMD Ryzen Master έχει ένα σφάλμα που μπορεί να επιτρέψει σε κάποιον να πάρει τον πλήρη έλεγχο του υπολογιστή σας
- Η AMD μόλις διέρρευσε τέσσερις από τις δικές της επερχόμενες επεξεργαστές Ryzen 7000
- Η AMD μόλις κέρδισε τους βασικούς πολέμους και εξακολουθεί να έχει ένα ατού στο μανίκι της
