Bill Roberson / Digitaalsed suundumused
(in) Turvaline on iganädalane rubriik, mis sukeldub kiiresti eskaleeruvasse küberturvalisuse teemasse.
Soovitatavad videod
Teisipäeval, 13. märtsil turvafirma CTS Labs teatas 13 vea avastamisest AMD Ryzeni ja Epyci protsessorites. Probleemid hõlmavad nelja turvaaukude klassi, mis hõlmavad mitmeid olulisi probleeme, nagu riistvaraline tagauks Ryzeni kiibistik ja vead, mis võivad täielikult kahjustada AMD Secure Processorit, kiipi, mis peaks toimima “turvaline maailm", kus tundlikke ülesandeid saab hoida pahavara kättesaamatus kohas.
Kokkuleppe puudumine tähendab, et ei ole võimalik teada, millal järgmine viga ilmneb, kellelt see tuleb või kuidas sellest teatatakse.
See ilmutus tuleb vaid paar kuud pärast avalikustamist Meltdown ja Spectre vead, mis mõjutasid AMD, Inteli, Qualcommi ja teiste kiipe. AMD, mille kiipe kahjustasid mõned Spectre vead, väljus fiaskost suhteliselt vigastusteta. Entusiastid keskendusid oma viha Intelile. Kuigi a
käputäis ühishagisid esitati AMD vastu, pole need midagi võrreldes AMD-ga Inteli vastu seatud advokaatide hulk. Inteliga võrreldes tundus AMD nutikas ja turvaline valik.See muutis teisipäevase teate AMD riistvara vigade kohta veelgi plahvatusohtlikumaks. Twitteri tormid puhkesid, kui turvauurijad ja arvutihuvilised vaidlesid leidude paikapidavuse üle. Siiski kontrollis CTS Labsi esitatud teavet sõltumatult teine ettevõte, Bittide rada, mis asutati 2012. aastal. Probleemide tõsiduse üle võib vaielda, kuid need on olemas ja seavad ohtu selle, mida mõned arvutikasutajad pidasid viimaseks ohutuks sadamaks.
Avalikustamise metsik lääs
CTS Labsi uurimistöö sisu oleks igal juhul tekitanud pealkirju, kuid paljastamise mõju võimendas selle üllatus. Ilmselt anti AMD-le vastuseks vähem kui 24 tundi enne CTS Labsi avalikuks tulekut ja CTS Labs ei ole seda avalikustanud. kõik tehnilised üksikasjad, selle asemel, et jagada neid ainult AMD, Microsofti, HP, Delli ja paljude teiste suurtega ettevõtted.
Paljud julgeolekuteadlased nutsid pahaks. Enamikest vigadest avalikustatakse ettevõtetele varem koos reageerimise tähtajaga. Näiteks Meltdown ja Spectre avalikustasid Intelile, AMD-le ja ARM-ile 1. juunil 2017. Google'i projekt null meeskond. Esialgset 90-päevast probleemide lahendamise aega pikendati hiljem 180 päevani, kuid see lõppes enne tähtaega, kui Register avaldas oma esialgse loo Inteli protsessori vea kohta. CTS Labsi otsus mitte pakkuda eelnevat avalikustamist on tekitanud spekulatsioone, et tal on veel üks, rohkem pahatahtlik motiiv.
AMD vigade ülevaade
CTS Labs kaitses end Ilia Luk-Zilbermani kirjas, ettevõtte CTO, avaldatud veebisaidil AMDflaws.com. Luk-Zilberman seab kahtluse alla eelneva avalikustamise kontseptsiooni, öeldes: "See on müüja otsustada, kas ta soovib hoiatada klientidele, et probleem on olemas." Sellepärast kuulete turvaveast harva kuni mitu kuud pärast seda katmata.
Veelgi hullem, ütleb Luk-Zilberman, et see sunnib teadlase ja ettevõtte vahel vahele jääma. Ettevõte ei pruugi vastata. Kui see juhtub, seisab uurija ees sünge valik; ole vait ja looda, et keegi teine seda viga ei leia või avalikusta vea üksikasjad, millel pole plaastrit. Koostöö on eesmärk, kuid nii teadlase kui ka ettevõtte panused soodustavad kaitsevõimet. Küsimus, mis on õige, professionaalne ja eetiline, kukub sageli kokku väikeseks tribalismiks.
Kus on põhi?
Tööstusstandardit vea avalikustamiseks ei eksisteeri ja selle puudumisel valitseb kaos. Isegi need, kes usuvad avalikustamisesse, ei nõustu üksikasjades, näiteks kui kaua peaks ettevõttel vastamiseks aega andma. Kokkuleppe puudumine tähendab, et ei ole võimalik teada, millal järgmine suur viga ilmneb, kellelt see tuleb või kuidas sellest teatatakse.
See on nagu päästevesti kinnitamine, kui laev vajub külma vette. Muidugi, vest on hea mõte, kuid sellest ei piisa, et teid enam päästa.
Küberjulgeolek on segadus ja see on segadus, mis on meile igaühele oma osa võtnud. Ehkki murettekitav, unustatakse peagi AMD protsessorite uued vead, nagu Meltdown, Spectre, Heartbleed ja paljud teised varem. Nad peab unustada.
Lõppude lõpuks, mis muud valikut meil on? Arvutid ja nutitelefonid on muutunud kaasaegses ühiskonnas osalemiseks kohustuslikuks. Isegi need, kes neid ei oma, peavad kasutama teenuseid, mis neile tuginevad.
Iga meie kasutatav tarkvara ja riistvara on ilmselt täis kriitilisi vigu. Isegi kui te ei otsusta ühiskonda hüljata ja metsa majakest ehitada, peate neid kasutama.
Tavaliselt tahaksin, et see veerg lõppeks praktiliste nõuannetega. Kasutage tugevaid paroole. Ärge klõpsake linkidel, mis lubavad tasuta iPade. Selline asi. Selline nõuanne jääb paika, kuid tunne on nagu päästevesti selga kinnitamine, kui laev arktilistes külmades vetes upub. Muidugi. Päästevest on hea mõte. Sellega olete turvalisem kui ilma – kuid sellest ei piisa enam, et teid päästa.
Toimetajate soovitused
- AMD Ryzen Masteril on viga, mis võimaldab kellelgi teie arvuti üle täieliku kontrolli haarata
- AMD lekitas just neli enda tulevast Ryzen 7000 protsessorit
- AMD võitis just põhisõjad ja tal on endiselt trump varrukas
