Cacat Keamanan AMD Ryzenfall Menghancurkan Safe Harbor Terakhir

(merasa tidak aman adalah kolom mingguan yang membahas topik keamanan siber yang meningkat pesat.

Pada hari Selasa, 13 Maret, perusahaan keamanan CTS Labs mengumumkan penemuan 13 kelemahan pada prosesor AMD Ryzen dan Epyc. Masalah ini mencakup empat kelas kerentanan yang mencakup beberapa masalah utama, seperti pintu belakang perangkat keras Chipset Ryzen, dan kelemahan yang dapat sepenuhnya membahayakan Prosesor Aman AMD, sebuah chip yang seharusnya bertindak sebagai “dunia yang aman” di mana tugas-tugas sensitif dapat dijauhkan dari jangkauan malware.

Wahyu ini datang hanya beberapa bulan setelah terungkapnya Meltdown dan Spectre kelemahan yang memengaruhi chip dari AMD, Intel, Qualcomm, dan lainnya. AMD, yang chipnya dikompromikan oleh beberapa kelemahan Spectre, keluar dari kegagalan tersebut dengan relatif tanpa cedera. Para penggemar memfokuskan kemarahan mereka pada Intel. Meskipun a

segelintir tuntutan hukum class action diajukan terhadap AMD, mereka tidak ada apa-apanya dibandingkan dengan timbunan pengacara yang menentang Intel. Dibandingkan dengan Intel, AMD tampaknya merupakan pilihan yang cerdas dan aman.

Hal ini membuat pengumuman hari Selasa tentang kelemahan pada perangkat keras AMD menjadi lebih eksplosif. Badai Twitter meletus ketika para peneliti keamanan dan penggemar PC berdebat mengenai validitas temuan tersebut. Namun, informasi yang diberikan oleh CTS Labs telah diverifikasi secara independen oleh perusahaan lain, Jejak Bit, didirikan pada tahun 2012. Tingkat keparahan permasalahannya masih bisa diperdebatkan, namun permasalahan tersebut memang ada dan membahayakan apa yang selama ini dianggap oleh sebagian pengguna PC sebagai tempat berlindung terakhir.

Pengungkapan yang liar di barat

Isi penelitian CTS Labs akan menjadi berita utama dalam peristiwa apa pun, namun dampak dari pengungkapan tersebut diperkuat oleh kejutannya. AMD rupanya diberi waktu kurang dari 24 jam untuk merespons sebelum CTS Labs go public, dan CTS Labs belum go public. semua detail teknis, malah memilih untuk membaginya hanya dengan AMD, Microsoft, HP, Dell, dan beberapa perusahaan besar lainnya perusahaan.

Banyak peneliti keamanan menyatakan kesalahannya. Sebagian besar kelemahan diungkapkan kepada perusahaan lebih awal, bersamaan dengan jangka waktu untuk merespons. Meltdown dan Spectre, misalnya, diungkapkan kepada Intel, AMD, dan ARM pada tanggal 1 Juni 2017 oleh Proyek Nol Google tim. Jangka waktu awal 90 hari untuk memperbaiki masalah kemudian diperpanjang menjadi 180 hari, namun berakhir lebih cepat dari jadwal ketika The Register menerbitkan cerita awalnya tentang kelemahan prosesor Intel. Keputusan CTS Labs untuk tidak memberikan pengungkapan sebelumnya telah menimbulkan spekulasi bahwa mereka telah melakukan pengungkapan lain, motif yang lebih jahat.

CTS Labs membela diri dalam surat dari Ilia Luk-Zilberman, CTO perusahaan, dipublikasikan di situs AMDflaws.com. Luk-Zilberman mempermasalahkan konsep pengungkapan sebelumnya, dengan mengatakan “terserah vendor jika ingin memperingatkan pelanggan bahwa ada masalah.” Itu sebabnya Anda jarang mendengar tentang kelemahan keamanan hingga berbulan-bulan setelahnya terbongkar.

Yang lebih buruk lagi, kata Luk-Zilberman, hal ini memaksa terjadinya permainan ambang batas antara peneliti dan perusahaan. Perusahaan mungkin tidak merespons. Jika hal ini terjadi, peneliti menghadapi pilihan yang sulit; tetap diam dan berharap tidak ada orang lain yang menemukan kekurangannya, atau umumkan rincian kekurangan yang tidak memiliki patch yang tersedia. Kerja sama adalah tujuannya, namun pertaruhan bagi peneliti dan perusahaan mendorong sikap defensif. Pertanyaan tentang apa yang pantas, profesional, dan etis sering kali terjerumus ke dalam tribalisme kecil-kecilan.

Dimana bagian bawahnya?

Standar industri untuk mengungkapkan suatu kelemahan tidak ada dan, jika tidak ada, maka kekacauan akan terjadi. Bahkan mereka yang percaya pada keterbukaan pun tidak menyetujui rinciannya, seperti berapa lama waktu yang diberikan kepada perusahaan untuk merespons. Kurangnya kesepakatan berarti tidak ada cara untuk mengetahui kapan kelemahan besar berikutnya akan terungkap, dari siapa kelemahan tersebut berasal, atau bagaimana kelemahan tersebut akan dilaporkan.

Keamanan dunia maya adalah sebuah kekacauan, dan kekacauan ini membawa dampak buruk bagi kita semua. Meskipun mengkhawatirkan, kelemahan baru pada prosesor AMD – seperti Meltdown, Spectre, Heartbleed, dan banyak lainnya sebelumnya – akan segera dilupakan. Mereka harus dilupakan.

Lagipula, pilihan apa lagi yang kita punya? Komputer dan ponsel pintar sudah menjadi hal wajib untuk berpartisipasi dalam masyarakat modern. Bahkan mereka yang tidak memilikinya pun harus menggunakan layanan yang mengandalkannya.

Setiap perangkat lunak dan perangkat keras yang kami gunakan, tampaknya, penuh dengan kelemahan kritis. Meski begitu, kecuali Anda memutuskan untuk meninggalkan masyarakat dan membangun kabin di dalam hutan, Anda harus menggunakannya.

Biasanya, saya ingin kolom ini diakhiri dengan nasihat praktis. Gunakan kata sandi yang kuat. Jangan klik tautan yang menjanjikan iPad gratis. Hal semacam itu. Nasihat tersebut tetap benar, namun rasanya seperti mengenakan rompi pelampung saat kapal tenggelam di perairan Arktik yang sangat dingin. Tentu. Rompi pelampung adalah ide yang bagus. Anda lebih aman dengan hal tersebut dibandingkan tanpanya — namun hal tersebut tidak cukup untuk menyelamatkan Anda lagi.

Rekomendasi Editor

• AMD Ryzen Master memiliki bug yang memungkinkan seseorang mengambil kendali penuh atas PC Anda
• AMD baru saja membocorkan empat CPU Ryzen 7000 miliknya yang akan datang
• AMD baru saja memenangkan perang inti, dan masih memiliki kartu truf