AMD Ryzenfall sigurnosni propust uništava posljednju sigurnu luku

AMD Ryzen 5 2400G & Ryzen 3 2200G Pregled matične ploče s prstima
Bill Roberson/Digitalni trendovi

Bill Roberson/Digitalni trendovi

(u) Sigurno je tjedna kolumna koja se bavi temom kibernetičke sigurnosti koja brzo eskalira.

Preporučeni videozapisi

U utorak, 13. ožujka zaštitarska tvrtka CTS Labs objavio je otkriće 13 nedostataka u AMD-ovim Ryzen i Epyc procesorima. Problemi obuhvaćaju četiri klase ranjivosti koje uključuju nekoliko velikih problema, kao što je hardverska stražnja vrata u Ryzenov čipset i nedostaci koji mogu u potpunosti ugroziti AMD-ov Secure Processor, čip koji bi trebao djelovati kao “siguran svijet” gdje se osjetljivi zadaci mogu držati izvan dohvata zlonamjernog softvera.

Nedostatak dogovora znači da ne postoji način da se zna kada će sljedeći nedostatak biti razotkriven, od koga će doći ili kako će biti prijavljen.

Ovo otkriće dolazi samo nekoliko mjeseci nakon otkrivanja the Meltdown i Spectre greške koje su utjecale na čipove AMD-a, Intela, Qualcomma i drugih. AMD, čiji su čipovi bili ugroženi nekim nedostacima Spectrea, izašao je iz fijaska relativno neozlijeđen. Entuzijasti su svoj bijes usmjerili na Intel. Iako je a

pregršt kolektivnih tužbi podnesene protiv AMD-a, nisu ništa u usporedbi s hrpa odvjetnika protiv Intela. U usporedbi s Intelom, AMD se činio pametnim i sigurnim izborom.

To je najavu u utorak o nedostacima u AMD hardveru učinilo još eksplozivnijom. Twitter-oluje su izbile dok su se sigurnosni istraživači i PC entuzijasti svađali oko valjanosti otkrića. Ipak, informacije koje je dostavio CTS Labs neovisno je provjerila druga tvrtka, Staza bitova, osnovana 2012. godine. Može se raspravljati o ozbiljnosti problema, ali oni postoje i ugrožavaju ono što su neki korisnici računala smatrali posljednjom sigurnom lukom.

Divlji zapad razotkrivanja

Sadržaj istraživanja CTS Labsa u svakom bi slučaju dospio u novinske novine, ali upečatljivost otkrića pojačana je njegovim iznenađenjem. AMD je očito dobio manje od 24 sata da odgovori prije nego što je CTS Labs izašao u javnost, a CTS Labs nije izašao u javnost s sve tehničke detalje, umjesto da ih odlučite podijeliti samo s AMD-om, Microsoftom, HP-om, Dell-om i nekoliko drugih velikih tvrtke.

Mnogi su istraživači sigurnosti pogriješili. Većina se nedostataka otkrije tvrtkama ranije, uz vremenski okvir za odgovor. Meltdown i Spectre, na primjer, otkriveni su Intelu, AMD-u i ARM-u 1. lipnja 2017. Googleov Project Zero tim. Početni period od 90 dana za rješavanje problema kasnije je produžen na 180 dana, ali je završio prije roka kada Registar je objavio svoju početnu priču na grešku Intelovog procesora. Odluka CTS Labsa da ne ponudi prethodno otkrivanje uzrokovala je nagađanja da je imao još jedan, zlonamjerniji motiv.

Pregled nedostataka AMD-a

CTS Labs se branio u pismu Ilije Luk-Zilbermana, CTO tvrtke, objavljeno na web stranici AMDflaws.com. Luk-Zilberman se protivi konceptu prethodnog otkrivanja, rekavši da "na dobavljaču je hoće li upozoriti kupaca da postoji problem." Zbog toga rijetko čujete za sigurnosni propust sve do nekoliko mjeseci nakon što se dogodio nepokrivena.

Što je još gore, kaže Luk-Zilberman, to nameće igru ​​s ruba sukoba između istraživača i tvrtke. Tvrtka možda neće odgovoriti. Ako se to dogodi, istraživač se suočava s teškim izborom; šutite i nadajte se da nitko drugi neće pronaći grešku ili izađite u javnost s pojedinostima o grešci za koju nema dostupne zakrpe. Suradnja je cilj, ali ulozi i za istraživača i za tvrtku potiču defenzivnost. Pitanje što je ispravno, profesionalno i etično često se urušava u sitni tribalizam.

Gdje je dno?

Industrijski standard za otkrivanje greške ne postoji i, u njegovom nedostatku, vlada kaos. Čak se i oni koji vjeruju u otkrivanje podataka ne slažu oko detalja, kao što je koliko dugo tvrtki treba dati da odgovori. Nedostatak dogovora znači da ne postoji način da se zna kada će sljedeći veliki nedostatak biti razotkriven, od koga će doći ili kako će biti prijavljen.

To je poput vezivanja prsluka za spašavanje dok brod tone u ledene vode. Naravno, prsluk je dobra ideja, ali više nije dovoljan da vas spasi.

Cyber ​​sigurnost je haos, i to haos koji je uzeo svoj danak na svakom od nas. Iako alarmantne, nove mane u AMD procesorima — poput Meltdowna, Spectrea, Heartbleeda i mnogih drugih prije — uskoro će biti zaboravljene. Oni mora biti zaboravljen.

Uostalom, koji drugi izbor imamo? Računala i pametni telefoni postali su obvezni za sudjelovanje u modernom društvu. Čak i oni koji ih ne posjeduju moraju koristiti usluge koje se na njih oslanjaju.

Svaki dio softvera i hardvera koji koristimo očito je prožet kritičnim nedostacima. Unatoč tome, osim ako ne odlučite napustiti društvo i izgraditi kolibu u šumi, morate ih koristiti.

Inače, volio bih da ovu kolumnu završim praktičnim savjetima. Koristite jake lozinke. Ne klikajte na poveznice koje obećavaju besplatne iPad uređaje. Takve stvari. Takav savjet ostaje istinit, ali čini se kao da navlačite prsluk za spašavanje dok brod tone u hladnim arktičkim vodama. Naravno. Prsluk za spašavanje je dobra ideja. Sigurniji ste s njim nego bez njega - ali to više nije dovoljno da vas spasi.

Preporuke urednika

  • AMD Ryzen Master ima grešku koja nekome može omogućiti da preuzme potpunu kontrolu nad vašim računalom
  • AMD je upravo objavio četiri svoja nadolazeća procesora Ryzen 7000
  • AMD je upravo dobio ratove jezgri, a još uvijek ima aduta u rukavu