Bill Roberson/Tendenze digitali
(in) Sicuro è una rubrica settimanale che approfondisce il tema in rapida espansione della sicurezza informatica.
Video consigliati
Martedì 13 marzo, la società di sicurezza CTS Labs ha annunciato la scoperta di 13 difetti nei processori Ryzen ed Epyc di AMD. I problemi abbracciano quattro classi di vulnerabilità che includono diversi problemi importanti, come l'accesso a una backdoor hardware Il chipset di Ryzen e i difetti che possono compromettere completamente il Secure Processor di AMD, un chip che dovrebbe fungere da “mondo sicuro" dove le attività sensibili possono essere tenute fuori dalla portata del malware.
La mancanza di accordo significa che non c’è modo di sapere quando verrà svelata la prossima falla, da chi arriverà o come verrà segnalata.
Questa rivelazione arriva pochi mesi dopo la rivelazione di il tracollo e lo spettro difetti che hanno influito sui chip di AMD, Intel, Qualcomm e altri. AMD, i cui chip erano compromessi da alcuni difetti di Spectre, è uscita dal fiasco relativamente indenne. Gli entusiasti hanno concentrato la loro rabbia su Intel. Sebbene a
manciata di azioni legali collettive sono stati presentati contro AMD, non sono niente in confronto a un gruppo di avvocati contro Intel. Rispetto a Intel, AMD sembrava la scelta intelligente e sicura.Ciò ha reso l’annuncio di martedì dei difetti dell’hardware AMD ancora più esplosivo. Su Twitter sono scoppiate tempeste mentre i ricercatori di sicurezza e gli appassionati di PC discutevano sulla validità dei risultati. Tuttavia, le informazioni fornite da CTS Labs sono state verificate in modo indipendente da un'altra azienda, Sentiero dei bit, fondata nel 2012. Si può discutere sulla gravità dei problemi, ma esistono e compromettono quello che alcuni utenti di PC considerano l'ultimo porto sicuro.
Il selvaggio west della divulgazione
Il contenuto della ricerca di CTS Labs avrebbe comunque fatto notizia, ma l’impatto della rivelazione è stato amplificato dalla sorpresa. Apparentemente ad AMD sono state concesse meno di 24 ore per rispondere prima che CTS Labs diventasse pubblica, e CTS Labs non lo ha reso pubblico tutti i dettagli tecnici, scegliendo invece di condividerli solo con AMD, Microsoft, HP, Dell e molti altri grandi aziende.
Molti ricercatori sulla sicurezza hanno gridato allo scandalo. La maggior parte dei difetti vengono comunicati alle aziende in anticipo, insieme a un periodo di tempo per rispondere. Meltdown and Spectre, ad esempio, è stato divulgato a Intel, AMD e ARM il 1° giugno 2017 da Il Progetto Zero di Google squadra. Una finestra iniziale di 90 giorni per risolvere i problemi è stata successivamente estesa a 180 giorni, ma è terminata prima del previsto quando Il Register ha pubblicato la sua storia iniziale sul difetto del processore Intel. La decisione di CTS Labs di non offrire una divulgazione preventiva ha causato la speculazione che ne avesse un altro, motivo più dannoso.
Panoramica sui difetti AMD
CTS Labs si è difeso in una lettera di Ilia Luk-Zilberman, il CTO dell'azienda, pubblicato sul sito AMDflaws.com. Luk-Zilberman contesta il concetto di divulgazione preventiva, affermando che "spetta al venditore se vuole avvisare il clienti che c’è un problema.” Ecco perché raramente si sente parlare di una falla di sicurezza fino a mesi dopo che si è verificata scoperto.
Peggio ancora, dice Luk-Zilberman, ciò costringe a un gioco di politica del rischio calcolato tra il ricercatore e l’azienda. L'azienda potrebbe non rispondere. Se ciò accade, il ricercatore si trova di fronte a una scelta triste; resta in silenzio e spera che nessun altro trovi il difetto, oppure rendi pubblici i dettagli di un difetto per il quale non è disponibile alcuna patch. L’obiettivo è la cooperazione, ma la posta in gioco sia per il ricercatore che per l’azienda incoraggia un atteggiamento difensivo. La questione di cosa sia corretto, professionale ed etico spesso crolla in un meschino tribalismo.
Dov'è il fondo?
Lo standard di settore per rivelare un difetto non esiste e, in sua assenza, regna il caos. Anche coloro che credono nella divulgazione non sono d’accordo sui dettagli, ad esempio quanto tempo dovrebbe essere concesso a un’azienda per rispondere. La mancanza di accordo significa che non c’è modo di sapere quando verrà scoperto il prossimo grande difetto, da chi arriverà o come verrà segnalato.
È come allacciarsi un giubbotto di salvataggio mentre una nave affonda in acque gelide. Certo, il giubbotto è una buona idea, ma non basta più a salvarti.
La sicurezza informatica è un disastro, ed è un disastro che ha messo a dura prova ognuno di noi. Per quanto allarmanti, i nuovi difetti nei processori AMD, come Meltdown, Spectre, Heartbleed e tanti altri prima, saranno presto dimenticati. Essi dovere essere dimenticato.
Dopo tutto, quale altra scelta abbiamo? Computer e smartphone sono diventati obbligatori per la partecipazione nella società moderna. Anche chi non li possiede deve utilizzare i servizi che fanno affidamento su di essi.
Ogni componente software e hardware che utilizziamo è, a quanto pare, pieno di difetti critici. Anche così, a meno che tu non decida di abbandonare la società e costruire una capanna nel bosco, devi usarli.
Normalmente, vorrei che questa rubrica finisse con consigli pratici. Utilizza password complesse. Non fare clic sui collegamenti che promettono iPad gratuiti. Questo genere di cose. Tale consiglio rimane vero, ma è come indossare un giubbotto di salvataggio mentre una nave affonda nelle gelide acque artiche. Sicuro. Il giubbotto di salvataggio è una buona idea. Sei più al sicuro con esso che senza, ma non è più sufficiente per salvarti.
Raccomandazioni degli editori
- AMD Ryzen Master ha un bug che può consentire a qualcuno di assumere il pieno controllo del tuo PC
- AMD ha appena fatto trapelare quattro delle sue prossime CPU Ryzen 7000
- AMD ha appena vinto la guerra dei core e ha ancora un asso nella manica
