Bill Roberson/Digital Trends
(in) Turvallinen on viikoittainen kolumni, joka sukeltaa nopeasti kasvavaan kyberturvallisuuden aiheeseen.
Suositellut videot
Tiistaina 13. maaliskuuta turvallisuusyritys CTS Labs ilmoitti löytäneensä 13 puutetta AMD: n Ryzen- ja Epyc-prosessoreissa. Ongelmat kattavat neljä haavoittuvuusluokkaa, jotka sisältävät useita suuria ongelmia, kuten laitteiston takaoven Ryzenin piirisarja ja puutteet, jotka voivat täysin vaarantaa AMD: n Secure Processorin, sirun, jonka oletetaan toimivan “turvallinen maailma", jossa arkaluonteiset tehtävät voidaan pitää poissa haittaohjelmien ulottuvilta.
Yhteisymmärryksen puute tarkoittaa, että ei ole mahdollista tietää, milloin seuraava virhe paljastetaan, keneltä se tulee tai miten siitä ilmoitetaan.
Tämä paljastus tulee vain kuukausia paljastamisen jälkeen Meltdown ja Spectre puutteet, jotka vaikuttivat AMD: n, Intelin, Qualcommin ja muiden siruihin. AMD, jonka sirut vaarantuivat joidenkin Spectre-puutteiden takia, selvisi fiaskosta suhteellisen vahingoittumattomana. Harrastajat keskittivät vihansa Inteliin. Vaikka a
kourallinen ryhmäkanteita nostettiin AMD: tä vastaan, ne eivät ole mitään verrattuna siihen joukko asianajajia Inteliä vastaan. Inteliin verrattuna AMD vaikutti älykkäältä ja turvalliselta vaihtoehdolta.Tämä teki tiistain ilmoituksesta AMD-laitteiston puutteista vieläkin räjähdysmäisemmän. Twitter-myrskyt puhkesivat, kun tietoturvatutkijat ja PC-harrastajat väittelivät löydösten oikeellisuudesta. CTS Labsin toimittamat tiedot vahvisti kuitenkin riippumattomasti toinen yritys, Bittien polku, perustettu vuonna 2012. Ongelmien vakavuudesta voidaan väittää, mutta niitä on olemassa, ja ne vaarantavat sen, mitä jotkut PC-käyttäjät olivat pitäneet viimeisenä turvasatamana.
Paljastuksen villi länsi
CTS Labsin tutkimuksen sisältö olisi joka tapauksessa herättänyt otsikoita, mutta paljastuksen lyöntiä vahvisti sen yllätys. AMD: lle annettiin ilmeisesti alle 24 tuntia vastausaikaa ennen kuin CTS Labs julkistettiin, eikä CTS Labs ole julkistanut kaikki tekniset tiedot, vaan päätät jakaa ne vain AMD: n, Microsoftin, HP: n, Dellin ja useiden muiden suurten kanssa yritykset.
Monet turvallisuustutkijat huusivat pahaa. Suurin osa puutteista ilmoitetaan yrityksille aikaisemmin, ja niihin vastataan aikarajalla. Esimerkiksi Meltdown and Spectre paljastettiin Intelille, AMD: lle ja ARM: lle 1. kesäkuuta 2017. Googlen Project Zero tiimi. Alkuperäinen 90 päivän määräaika ongelmien korjaamiseksi pidennettiin myöhemmin 180 päivään, mutta se päättyi etuajassa, kun Rekisteri julkaisi ensimmäisen tarinansa Intelin prosessorivirheestä. CTS Labsin päätös olla antamatta ennakkoilmoitusta on aiheuttanut spekulaatioita, että sillä oli toinen, ilkeämpi motiivi.
AMD: n vikojen yleiskatsaus
CTS Labs puolusti itseään Ilia Luk-Zilbermanin kirjeessä, yhtiön CTO, julkaistu AMDflaws.com-verkkosivustolla. Luk-Zilberman kyseenalaistaa ennakkolupauksen käsitteen ja sanoo, että "on myyjän asia, jos se haluaa varoittaa asiakkaille, että siellä on ongelma." Siksi kuulet harvoin tietoturvavirheestä vasta kuukausia sen jälkeen paljastettu.
Mikä pahempaa, Luk-Zilberman sanoo, se pakottaa tutkijan ja yrityksen välille syrjäytymispeliä. Yritys ei välttämättä vastaa. Jos näin tapahtuu, tutkijalla on edessään synkkä valinta; ole hiljaa ja toivo, ettei kukaan muu löydä vikaa tai kerro vian yksityiskohdista, joille ei ole saatavilla korjaustiedostoa. Yhteistyö on tavoitteena, mutta sekä tutkijan että yrityksen panokset kannustavat puolustautumiseen. Kysymys siitä, mikä on asianmukaista, ammattimaista ja eettistä, romahtaa usein pieneksi heimoksi.
missä on pohja?
Alan standardia virheen paljastamiselle ei ole olemassa, ja sen puuttuessa vallitsee kaaos. Jopa paljastamiseen uskovat eivät ole samaa mieltä yksityiskohdista, kuten siitä, kuinka kauan yritykselle tulisi antaa vastausaikaa. Yhteisymmärryksen puute tarkoittaa, että ei ole mahdollista tietää, milloin seuraava suuri virhe paljastetaan, keneltä se tulee tai miten siitä ilmoitetaan.
Se on kuin pelastusliivien kiinnittäminen laivan uppoaessa kylmiin vesiin. Toki liivi on hyvä idea, mutta se ei enää riitä pelastamaan sinua.
Kyberturvallisuus on sotku, ja se on sotku, joka on vaatinut veronsa meistä jokaisesta. Vaikka se on hälyttävää, AMD-prosessorien uudet puutteet - kuten Meltdown, Spectre, Heartbleed ja monet muut aiemmin - unohdetaan pian. Ne on pakko unohtaa.
Loppujen lopuksi, mitä muuta vaihtoehtoa meillä on? Tietokoneet ja älypuhelimet ovat pakollisia osallistumiselle nyky-yhteiskunnassa. Jopa niiden, jotka eivät omista niitä, on käytettävä palveluja, jotka luottavat niihin.
Jokainen käyttämämme ohjelmisto ja laitteisto on ilmeisesti täynnä kriittisiä puutteita. Siitä huolimatta, ellet päätä hylätä yhteiskuntaa ja rakentaa mökkiä metsään, sinun on käytettävä niitä.
Normaalisti haluaisin, että tämä kolumni päättyy käytännön neuvoihin. Käytä vahvoja salasanoja. Älä napsauta linkkejä, jotka lupaavat ilmaisia iPadeja. Sen tapainen asia. Tällaiset neuvot pitävät paikkansa, mutta se tuntuu pelastusliivien kiinnittämisestä, kun laiva uppoaa kylmissä arktisissa vesissä. Varma. Pelastusliivi on hyvä idea. Olet turvallisempi sen kanssa kuin ilman – mutta se ei enää riitä pelastamaan sinua.
Toimittajien suositukset
- AMD Ryzen Masterissa on bugi, joka voi antaa jonkun ottaa täyden hallinnan tietokoneestasi
- AMD on juuri vuotanut neljä omaa tulevaa Ryzen 7000 -suoritinta
- AMD voitti juuri ydinsodat, ja sillä on edelleen valttikortti hihassaan
