बिल रॉबर्सन/डिजिटल ट्रेंड्स
(असुरक्षित एक साप्ताहिक कॉलम है जो साइबर सुरक्षा के तेजी से बढ़ते विषय पर प्रकाश डालता है।
अनुशंसित वीडियो
मंगलवार, 13 मार्च को, सुरक्षा फर्म सीटीएस लैब्स 13 खामियों की खोज की घोषणा की AMD के Ryzen और Epyc प्रोसेसर में। ये मुद्दे कमजोरियों के चार वर्गों में फैले हुए हैं जिनमें कई प्रमुख मुद्दे शामिल हैं, जैसे कि हार्डवेयर बैकडोर Ryzen का चिपसेट, और खामियाँ जो AMD के सिक्योर प्रोसेसर से पूरी तरह समझौता कर सकती हैं, एक चिप जिसे एक के रूप में कार्य करना चाहिए “सुरक्षित दुनियाजहां संवेदनशील कार्यों को मैलवेयर की पहुंच से दूर रखा जा सकता है।
सहमति की कमी का मतलब है कि यह जानने का कोई तरीका नहीं है कि अगली खामी कब उजागर होगी, यह किससे आएगी, या इसकी रिपोर्ट कैसे की जाएगी।
के खुलासे के कुछ ही महीने बाद यह खुलासा हुआ है मेल्टडाउन और स्पेक्टर वे खामियाँ जिन्होंने AMD, Intel, क्वालकॉम और अन्य के चिप्स को प्रभावित किया। एएमडी, जिसके चिप्स में कुछ स्पेक्टर खामियों के कारण समझौता हुआ था, इस असफलता से अपेक्षाकृत सुरक्षित रूप से बाहर आ गया। उत्साही लोगों ने अपना गुस्सा इंटेल पर केंद्रित किया। यद्यपि ए
मुट्ठी भर वर्ग-कार्रवाई मुकदमे एएमडी के खिलाफ दायर किया गया था, वे इसकी तुलना में कुछ भी नहीं हैं इंटेल के ख़िलाफ़ वकीलों का हुजूम खड़ा हो गया. इंटेल की तुलना में, एएमडी स्मार्ट, सुरक्षित विकल्प लगा।इसने मंगलवार को एएमडी हार्डवेयर में खामियों की घोषणा को और भी अधिक विस्फोटक बना दिया। जैसे ही सुरक्षा शोधकर्ताओं और पीसी उत्साही लोगों ने निष्कर्षों की वैधता पर बहस की, ट्विटर पर तूफ़ान आ गया। फिर भी, सीटीएस लैब्स द्वारा प्रदान की गई जानकारी को किसी अन्य फर्म द्वारा स्वतंत्र रूप से सत्यापित किया गया था, बिट्स का निशान, 2012 में स्थापित। मुद्दों की गंभीरता पर बहस की जा सकती है, लेकिन वे मौजूद हैं, और वे उस चीज़ से समझौता करते हैं जिसे कुछ पीसी उपयोगकर्ता अंतिम सुरक्षित बंदरगाह के रूप में देखते थे।
प्रकटीकरण का जंगली पश्चिम
सीटीएस लैब्स के शोध की सामग्री ने किसी भी घटना में सुर्खियां बटोरीं, लेकिन खुलासे का प्रभाव इसके आश्चर्य से बढ़ गया। सीटीएस लैब्स के सार्वजनिक होने से पहले एएमडी को प्रतिक्रिया देने के लिए स्पष्ट रूप से 24 घंटे से भी कम समय दिया गया था, और सीटीएस लैब्स सार्वजनिक नहीं हुई है सभी तकनीकी विवरण, बजाय उन्हें केवल एएमडी, माइक्रोसॉफ्ट, एचपी, डेल और कई अन्य बड़ी कंपनियों के साथ साझा करने का विकल्प चुनें कंपनियां.
कई सुरक्षा शोधकर्ताओं ने इसकी निंदा की। अधिकांश खामियों का जवाब देने की समय सीमा के साथ कंपनियों को पहले ही बता दिया जाता है। उदाहरण के लिए, मेल्टडाउन और स्पेक्टर का खुलासा 1 जून 2017 को इंटेल, एएमडी और एआरएम द्वारा किया गया था। गूगल का प्रोजेक्ट जीरो टीम। समस्याओं को ठीक करने के लिए प्रारंभिक 90-दिनों की अवधि बाद में 180 दिनों तक बढ़ा दी गई, लेकिन समय से पहले ही समाप्त हो गई जब रजिस्टर ने इसकी प्रारंभिक कहानी प्रकाशित की इंटेल के प्रोसेसर दोष पर. सीटीएस लैब्स के पूर्व प्रकटीकरण की पेशकश न करने के फैसले से अटकलें लगाई जा रही हैं कि उसके पास कोई और भी है, अधिक दुर्भावनापूर्ण उद्देश्य.
एएमडी खामियां अवलोकन
सीटीएस लैब्स ने अपना बचाव किया इलिया लुक-ज़िल्बरमैन के एक पत्र में, कंपनी का CTO, AMDflaws.com वेबसाइट पर प्रकाशित हुआ। लुक-ज़िल्बरमैन पूर्व प्रकटीकरण की अवधारणा पर आपत्ति जताते हुए कहते हैं, "यह विक्रेता पर निर्भर है कि वह सतर्क करना चाहता है या नहीं।" ग्राहकों को पता है कि कोई समस्या है।'' इसीलिए महीनों बाद तक आपने किसी सुरक्षा खामी के बारे में शायद ही कभी सुना हो खुला हुआ.
लुक-ज़िल्बरमैन का कहना है कि इससे भी बुरी बात यह है कि यह शोधकर्ता और कंपनी के बीच अस्थिरता के खेल को मजबूर करता है। हो सकता है कंपनी जवाब न दे. यदि ऐसा होता है, तो शोधकर्ता को गंभीर विकल्प का सामना करना पड़ता है; चुप रहें और आशा करें कि किसी और को दोष न मिले, या उस दोष के विवरण के साथ सार्वजनिक हो जाएँ जिसका कोई पैच उपलब्ध नहीं है। सहयोग लक्ष्य है, लेकिन शोधकर्ता और कंपनी दोनों का जोखिम रक्षात्मकता को प्रोत्साहित करता है। उचित, पेशेवर और नैतिक क्या है का प्रश्न अक्सर क्षुद्र जनजातीयवाद में बदल जाता है।
नीचे कहाँ है?
किसी दोष का खुलासा करने के लिए उद्योग मानक मौजूद नहीं है और, इसकी अनुपस्थिति में, अराजकता राज करती है। यहां तक कि जो लोग प्रकटीकरण में विश्वास करते हैं वे भी विवरणों पर सहमत नहीं हैं, जैसे कि किसी कंपनी को जवाब देने के लिए कितना समय दिया जाना चाहिए। सहमति की कमी का मतलब है कि यह जानने का कोई तरीका नहीं है कि अगली बड़ी खामी कब उजागर होगी, यह किससे आएगी, या इसकी रिपोर्ट कैसे की जाएगी।
यह जीवन रक्षक जैकेट बांधने जैसा है जैसे कोई जहाज ठंडे पानी में डूब रहा हो। निश्चित रूप से, बनियान एक अच्छा विचार है, लेकिन अब यह आपको बचाने के लिए पर्याप्त नहीं है।
साइबर सुरक्षा एक गड़बड़ है, और यह एक ऐसी गड़बड़ी है जिसका असर हममें से प्रत्येक पर पड़ता है। चिंताजनक बात यह है कि एएमडी प्रोसेसर में नई खामियां - जैसे मेल्टडाउन, स्पेक्टर, हार्टब्लीड और पहले भी कई अन्य - जल्द ही भुला दी जाएंगी। वे अवश्य भूल जाना।
आख़िर हमारे पास और चारा ही क्या है? आधुनिक समाज में भागीदारी के लिए कंप्यूटर और स्मार्टफोन अनिवार्य हो गए हैं। यहां तक कि जिनके पास ये नहीं हैं उन्हें भी उन सेवाओं का उपयोग करना चाहिए जो उन पर निर्भर हैं।
हमारे द्वारा उपयोग किए जाने वाले सॉफ़्टवेयर और हार्डवेयर का प्रत्येक टुकड़ा, जाहिरा तौर पर, गंभीर खामियों से भरा हुआ है। फिर भी, जब तक आप समाज को त्यागने और जंगल में एक केबिन बनाने का निर्णय नहीं लेते, आपको उनका उपयोग अवश्य करना चाहिए।
आम तौर पर, मैं चाहूंगा कि यह कॉलम व्यावहारिक सलाह पर समाप्त हो। मजबूत पासवर्ड का प्रयोग करें. मुफ़्त आईपैड का वादा करने वाले लिंक पर क्लिक न करें। उसी तरह की चीज़। ऐसी सलाह सच है, लेकिन ऐसा महसूस होता है कि जैसे आर्कटिक के ठंडे पानी में कोई जहाज डूब रहा हो तो वह जीवन रक्षक जैकेट बांध रहा हो। ज़रूर। लाइफ़ वेस्ट एक अच्छा विचार है. आप इसके बिना की तुलना में इसके साथ अधिक सुरक्षित हैं - लेकिन अब यह आपको बचाने के लिए पर्याप्त नहीं है।
संपादकों की सिफ़ारिशें
- AMD Ryzen मास्टर में एक बग है जो किसी को आपके पीसी का पूरा नियंत्रण लेने दे सकता है
- AMD ने हाल ही में अपने आगामी Ryzen 7000 CPU में से चार को लीक किया है
- एएमडी ने अभी-अभी मुख्य युद्ध जीते हैं, और उसके पास अभी भी एक तुरुप का पत्ता है
