Bill Roberson/Digitális trendek
(be) Biztonságos egy heti rovat, amely a kiberbiztonság rohamosan eszkalálódó témájába merül.
Ajánlott videók
Március 13-án, kedden a CTS Labs biztonsági cég 13 hiba felfedezését jelentette be az AMD Ryzen és Epyc processzoraiban. A problémák négy sebezhetőségi osztályt ölelnek fel, amelyek több fő problémát is tartalmaznak, például egy hardveres hátsó ajtót. A Ryzen lapkakészlete és azok a hibák, amelyek teljesen veszélyeztethetik az AMD Secure Processorát, egy olyan chipet, amely állítólag “biztonságos világ", ahol az érzékeny feladatokat távol tarthatják a rosszindulatú programoktól.
Az egyetértés hiánya azt jelenti, hogy nem lehet tudni, mikor derül ki a következő hiba, kitől származik, vagy hogyan jelentik.
Ez a kinyilatkoztatás néhány hónappal a felfedése után érkezik a Meltdown és a Spectre hibák, amelyek az AMD, Intel, Qualcomm és mások chipjeit érintették. Az AMD, amelynek chipjeit a Spectre néhány hibája veszélyeztette, viszonylag sértetlenül jött ki a fiaskóból. A rajongók haragjukat az Intelre összpontosították. Bár a
maroknyi csoportos kereset Az AMD ellen nyújtottak be, semmiség ahhoz képest ügyvédek halmaza az Intel ellen. Az Intelhez képest az AMD okos és biztonságos választásnak tűnt.Ez még robbanásszerűbbé tette az AMD hardverhibáiról szóló keddi bejelentést. Twitter-viharok törtek ki, miközben a biztonsági kutatók és a PC-rajongók vitatkoztak az eredmények érvényességéről. Ennek ellenére a CTS Labs által szolgáltatott információkat egy másik cég függetlenül ellenőrizte, Bitok nyoma, 2012-ben alakult. A problémák súlyosságán lehet vitatkozni, de léteznek, és veszélyeztetik azt, amit egyes PC-felhasználók az utolsó biztonságos kikötőnek tekintettek.
A nyilvánosságra hozatal vadnyugata
A CTS Labs kutatásának tartalma minden esetben címlapokat generált volna, de a leleplezés hatását felerősítette a meglepetés. Az AMD nyilvánvalóan kevesebb mint 24 órát kapott a válaszadásra, mielőtt a CTS Labs nyilvánossá vált, és a CTS Labs nem lépett nyilvánosságra minden műszaki részletet, ehelyett úgy dönt, hogy csak az AMD-vel, a Microsofttal, a HP-vel, a Dell-lel és számos más nagy céggel osztja meg azokat cégek.
Sok biztonsági kutató csúnyán kiáltott. A legtöbb hibáról korábban tájékoztatják a vállalatokat, a válaszadási határidővel együtt. A Meltdown and Spectre-t például 2017. június 1-jén közölte az Intel, az AMD és az ARM A Google Project Zero csapat. A problémák megoldására szánt kezdeti 90 napos időszakot később 180 napra kiterjesztették, de a határidő előtt véget ért, amikor A The Register közzétette kezdeti történetét az Intel processzorhibája miatt. A CTS Labs azon döntése, hogy nem tesz közzé előzetes tájékoztatást, azt a találgatást váltotta ki, hogy van egy másik, rosszindulatúbb indíték.
Az AMD hibák áttekintése
A CTS Labs védekezett Ilia Luk-Zilberman levelében, a cég műszaki igazgatója, az AMDflaws.com webhelyen tette közzé. Luk-Zilberman vitatja az előzetes nyilvánosságra hozatal koncepcióját, mondván: „Az eladón múlik, hogy figyelmeztetni akarja-e a az ügyfeleknek, hogy probléma van." Éppen ezért ritkán hallani biztonsági hibáról hónapokkal azután, hogy megtörtént fedetlen.
Ami még ennél is rosszabb, mondja Luk-Zilberman, hogy a kutató és a vállalat között a határjátékot kényszeríti ki. Lehet, hogy a cég nem válaszol. Ha ez megtörténik, a kutató komor választás előtt áll; maradj csendben, és reméld, hogy senki más nem találja meg a hibát, vagy hozd nyilvánosságra egy olyan hiba részleteit, amelynek nincs elérhető javítása. Az együttműködés a cél, de a tét mind a kutató, mind a vállalat számára a védekezésre ösztönöz. Az a kérdés, hogy mi a helyes, professzionális és etikus, gyakran apró tribalizmussá omlik össze.
hol van az alja?
A hibák feltárására vonatkozó iparági szabvány nem létezik, és ennek hiányában káosz uralkodik. Még azok sem értenek egyet a részletekben, akik hisznek a nyilvánosságra hozatalban, például azt, hogy mennyi ideig kell válaszolni egy vállalatnak. Az egyetértés hiánya azt jelenti, hogy nem lehet tudni, mikor derül ki a következő nagyobb hiba, kitől származik, vagy hogyan jelentik.
Mintha felcsatolnánk egy mentőmellényt, amikor egy hajó elsüllyed a fagyos vízbe. Persze a mellény jó ötlet, de már nem elég, hogy megmentsen.
A kiberbiztonság egy káosz, és ez egy olyan rendetlenség, amely mindannyiunkra hatással van. Bár riasztó, az AMD processzorok új hibái – mint például a Meltdown, Spectre, Heartbleed és még sok más korábban – hamarosan feledésbe merülnek. Ők kell el kell felejteni.
Végül is mi más választásunk van? A számítógépek és az okostelefonok kötelezővé váltak a modern társadalomban való részvételhez. Még azoknak is igénybe kell venniük a rájuk támaszkodó szolgáltatásokat, akik nem rendelkeznek velük.
Úgy tűnik, minden általunk használt szoftver és hardver kritikus hibákkal van tele. Ennek ellenére, hacsak nem úgy döntesz, hogy elhagyod a társadalmat, és egy kunyhót építesz az erdőben, használnod kell őket.
Általában azt szeretném, ha ez a rovat gyakorlati tanácsokkal zárulna. Használjon erős jelszavakat. Ne kattintson azokra a linkekre, amelyek ingyenes iPad-eket ígérnek. Az ilyesmi. Az ilyen tanácsok igazak maradnak, de olyan érzés, mintha felcsatolnánk egy mentőmellényt, amikor egy hajó elsüllyed a fagyos sarkvidéki vizekben. Biztos. A mentőmellény jó ötlet. Biztonságban van vele, mint nélküle – de ez már nem elég ahhoz, hogy megmentsen.
Szerkesztői ajánlások
- Az AMD Ryzen Masterben van egy hiba, amely lehetővé teszi, hogy valaki teljes mértékben átvegye az irányítást a számítógépe felett
- Az AMD kiszivárogtatott négy saját Ryzen 7000 CPU-ja közül
- Az AMD most nyerte meg az alapvető háborúkat, és még mindig van egy adu a tarsolyában
