Bill Roberson/Tendencias digitales
(inseguro es una columna semanal que profundiza en el tema de la seguridad cibernética, en rápida escalada.
Vídeos recomendados
El martes 13 de marzo, la empresa de seguridad CTS Labs anunció el descubrimiento de 13 fallas en los procesadores Ryzen y Epyc de AMD. Los problemas abarcan cuatro clases de vulnerabilidades que incluyen varios problemas importantes, como una puerta trasera de hardware en El chipset de Ryzen y fallas que pueden comprometer por completo el procesador seguro de AMD, un chip que se supone que actúa como un “mundo seguro” donde las tareas sensibles pueden mantenerse fuera del alcance del malware.
La falta de acuerdo significa que no hay forma de saber cuándo quedará expuesto el próximo defecto, de quién vendrá o cómo se informará.
Esta revelación llega pocos meses después de la revelación de el colapso y el espectro fallas que afectaron a los chips de AMD, Intel, Qualcomm y otros. AMD, cuyos chips se vieron comprometidos por algunas fallas de Spectre, salió relativamente ileso del fiasco. Los entusiastas centraron su ira en Intel. aunque un
un puñado de demandas colectivas fueron presentados contra AMD, no son nada comparados con los Un grupo de abogados se opone a Intel. En comparación con Intel, AMD parecía la opción inteligente y segura.Eso hizo que el anuncio del martes sobre fallas en el hardware de AMD fuera aún más explosivo. Estallaron tormentas en Twitter cuando investigadores de seguridad y entusiastas de las PC discutieron sobre la validez de los hallazgos. Aun así, la información proporcionada por CTS Labs fue verificada de forma independiente por otra empresa, Rastro de bits, fundada en 2012. Se puede discutir la gravedad de los problemas, pero existen y comprometen lo que algunos usuarios de PC habían llegado a considerar como el último puerto seguro.
El salvaje oeste de la divulgación
El contenido de la investigación de CTS Labs habría generado titulares en cualquier caso, pero el impacto de la revelación se vio amplificado por su sorpresa. Aparentemente, a AMD se le dio menos de 24 horas para responder antes de que CTS Labs se hiciera público, y CTS Labs no lo ha hecho público. todos los detalles técnicos, en lugar de optar por compartirlos sólo con AMD, Microsoft, HP, Dell y varios otros grandes compañías.
Muchos investigadores de seguridad se quejaron. La mayoría de las fallas se informan a las empresas antes, junto con un plazo para responder. Meltdown y Spectre, por ejemplo, fueron revelados a Intel, AMD y ARM el 1 de junio de 2017 por El Proyecto Cero de Google equipo. Un período inicial de 90 días para solucionar los problemas se amplió posteriormente a 180 días, pero finalizó antes de lo previsto cuando The Register publicó su historia inicial. sobre la falla del procesador Intel. La decisión de CTS Labs de no ofrecer divulgación previa ha provocado especulaciones de que tenía otra, motivo más malicioso.
Descripción general de las fallas de AMD
CTS Labs se defendió en una carta de Ilia Luk-Zilberman, el CTO de la compañía, publicado en el sitio web AMDflaws.com. Luk-Zilberman discrepa con el concepto de divulgación previa y dice que "depende del proveedor si quiere alertar al clientes que hay un problema”. Es por eso que rara vez se oye hablar de una falla de seguridad hasta meses después de que se haya producido. descubierto.
Peor aún, dice Luk-Zilberman, obliga a un juego arriesgado entre el investigador y la empresa. Es posible que la empresa no responda. Si eso sucede, el investigador se enfrenta a una difícil elección; quédese callado y espere que nadie más encuentre el fallo, o haga públicos los detalles de un fallo que no tiene parche disponible. El objetivo es la cooperación, pero lo que está en juego tanto para el investigador como para la empresa fomenta la actitud defensiva. La cuestión de qué es correcto, profesional y ético a menudo colapsa en un mezquino tribalismo.
¿Dónde está el fondo?
El estándar de la industria para revelar una falla no existe y, en su ausencia, reina el caos. Incluso aquellos que creen en la divulgación no se ponen de acuerdo sobre los detalles, como el tiempo que se le debe dar a una empresa para responder. La falta de acuerdo significa que no hay forma de saber cuándo quedará expuesto el próximo gran defecto, de quién vendrá o cómo se informará.
Es como ponerse un chaleco salvavidas cuando un barco se hunde en aguas gélidas. Claro, el chaleco es una buena idea, pero ya no es suficiente para salvarte.
La seguridad cibernética es un desastre, y es un desastre que nos ha pasado factura a cada uno de nosotros. Si bien son alarmantes, las nuevas fallas en los procesadores AMD, como Meltdown, Spectre, Heartbleed y muchos otros antes, pronto serán olvidadas. Ellos debe ser olvidado.
Después de todo, ¿qué otra opción tenemos? Las computadoras y los teléfonos inteligentes se han vuelto obligatorios para la participación en la sociedad moderna. Incluso aquellos que no los poseen deben utilizar servicios que dependan de ellos.
Cada pieza de software y hardware que utilizamos está, aparentemente, plagada de fallas críticas. Aun así, a menos que decidas abandonar la sociedad y construir una cabaña en el bosque, deberás utilizarlos.
Normalmente, me gustaría que esta columna terminara con consejos prácticos. Utilice contraseñas seguras. No haga clic en enlaces que prometen iPads gratuitos. Esa clase de cosas. Ese consejo sigue siendo cierto, pero se siente como ponerse un chaleco salvavidas cuando un barco se hunde en las gélidas aguas árticas. Seguro. El chaleco salvavidas es una buena idea. Estás más seguro con él que sin él, pero ya no es suficiente para salvarte.
Recomendaciones de los editores
- AMD Ryzen Master tiene un error que puede permitir que alguien tome el control total de tu PC
- AMD acaba de filtrar cuatro de sus próximas CPU Ryzen 7000
- AMD acaba de ganar la guerra de los núcleos y todavía tiene una carta de triunfo bajo la manga
