ביל רוברסון/טרנדים דיגיטליים
(ב) מאובטח הוא טור שבועי שצולל לנושא ההסלמה במהירות של אבטחת סייבר.
סרטונים מומלצים
ביום שלישי, 13 במרץ, חברת האבטחה CTS Labs הכריז על גילוי 13 פגמים במעבדי Ryzen ו-Epyc של AMD. הבעיות משתרעות על פני ארבעה סוגים של פגיעויות הכוללות מספר בעיות עיקריות, כגון דלת אחורית של חומרה ערכת השבבים של Ryzen, ופגמים שעלולים לסכן לחלוטין את המעבד המאובטח של AMD, שבב שאמור לפעול כ “עולם בטוח" שבו משימות רגישות יכולות להישמר מהישג ידם של תוכנות זדוניות.
חוסר ההסכמה אומר שאין דרך לדעת מתי ייחשף הפגם הבא, ממי הוא יגיע או איך הוא ידווח.
הגילוי הזה מגיע חודשים ספורים לאחר החשיפה של התמוטטות וספקטר פגמים שהשפיעו על שבבים של AMD, Intel, Qualcomm ואחרות. AMD, שהשבבים שלה נפגעו מכמה פגמים בספקטר, יצאו מהכישלון ללא פגע יחסית. חובבים מיקדו את כעסם באינטל. למרות שא קומץ של תביעות ייצוגיות הוגשו נגד AMD, הם כלום לעומת ה מאגר עורכי דין נגד אינטל. בהשוואה לאינטל, AMD נראתה הבחירה החכמה והבטוחה.
זה הפך את ההכרזה של יום שלישי על פגמים בחומרת AMD לנפיצה עוד יותר. סערות טוויטר פרצו כאשר חוקרי אבטחה וחובבי PC התווכחו על תקפות הממצאים. ובכל זאת, המידע שסיפקה CTS Labs אומת באופן עצמאי על ידי חברה אחרת,
שובל של ביטים, נוסדה בשנת 2012. אפשר להתווכח על חומרת הבעיות, אבל הן קיימות, והן מתפשרות על מה שחלק ממשתמשי המחשב ראו כנמל הבטוח האחרון.המערב הפרוע של הגילוי
תוכן המחקר של CTS Labs היה מייצר כותרות בכל מקרה, אבל האגרוף של החשיפה הוגבר על ידי הפתעתו. ככל הנראה ניתנו ל-AMD פחות מ-24 שעות לתגובה לפני ש-CTS Labs יצאה לציבור, ו-CTS Labs לא פרסמה כל הפרטים הטכניים, במקום זאת בוחרים לשתף אותם רק עם AMD, Microsoft, HP, Dell ועוד כמה גדולות אחרות חברות.
חוקרי אבטחה רבים בכו רע. רוב הפגמים נחשפים לחברות מוקדם יותר, לצד מסגרת זמן להגיב. Meltdown ו-Spectre, למשל, נחשפו לאינטל, AMD ו-ARM ב-1 ביוני 2017 על ידי פרויקט אפס של גוגל קְבוּצָה. חלון ראשוני של 90 יום לתיקון הבעיות הוארך מאוחר יותר ל-180 ימים, אך הסתיים לפני המועד כאשר המרשם פרסם את סיפורו הראשוני על פגם המעבד של אינטל. ההחלטה של CTS Labs לא להציע חשיפה מוקדמת גרמה להשערות שיש לה עוד, מניע זדוני יותר.
סקירה כללית של פגמי AMD
CTS Labs הגנה על עצמה במכתב מאיליה לוק-זילברמן, CTO של החברה, שפורסם באתר AMDflaws.com. לוק-זילברמן מסתפק בתפיסה של חשיפה מוקדמת, ואומר "זה תלוי בספק אם הוא רוצה להתריע על לקוחות שיש בעיה". זו הסיבה שאתה שומע רק לעתים רחוקות על ליקוי אבטחה עד חודשים לאחר מכן חָשׂוּף.
גרוע מכך, אומר לוק-זילברמן, זה מאלץ משחק של ברינקמן בין החוקר לחברה. ייתכן שהחברה לא תגיב. אם זה יקרה, החוקר עומד בפני בחירה עגומה; תשתוק ותקווה שאף אחד אחר לא ימצא את הפגם, או פרסם את הפרטים של פגם שאין לו תיקון זמין. שיתוף פעולה הוא המטרה, אבל ההימור הן עבור החוקר והן עבור החברה מעודדים התגוננות. השאלה מה ראוי, מקצועי ואתי קורסת לעתים קרובות לשבטיות קטנונית.
איפה התחתית?
הסטנדרט בתעשייה לחשיפת פגם אינו קיים ובהיעדרו, כאוס שולט. אפילו אלה שמאמינים בחשיפה אינם מסכימים על פרטים, כמו כמה זמן יש לתת לחברה להגיב. חוסר ההסכמה אומר שאין דרך לדעת מתי ייחשף הפגם הגדול הבא, ממי הוא יגיע או איך הוא ידווח.
זה כמו לחגור אפוד הצלה כשספינה שוקעת במים קפואים. בטח, האפוד הוא רעיון טוב, אבל זה לא מספיק כדי להציל אותך יותר.
אבטחת סייבר היא בלגן, וזה בלגן שגבה את שלו מכל אחד מאיתנו. למרות שזה מדאיג, הפגמים החדשים במעבדי AMD - כמו Meltdown, Spectre, Heartbleed ועוד רבים אחרים בעבר - יישכחו בקרוב. הֵם צריך להיות נשכח.
אחרי הכל, איזו ברירה אחרת יש לנו? מחשבים וסמארטפונים הפכו לחובה להשתתפות בחברה המודרנית. גם מי שאין בבעלותם חייב להשתמש בשירותים המסתמכים עליהם.
כל פיסת תוכנה וחומרה שאנו משתמשים בה, ככל הנראה, מלאה בפגמים קריטיים. למרות זאת, אלא אם כן תחליטו לנטוש את החברה ולבנות בקתה ביער, עליכם להשתמש בהם.
בדרך כלל, הייתי רוצה שהטור הזה יסתיים בעצות מעשיות. השתמש בסיסמאות חזקות. אל תלחץ על קישורים שמבטיחים אייפד בחינם. דברים כאלו. עצות כאלה נשארות נכונות, אבל זה מרגיש כמו לחגור אפוד הצלה כשספינה שוקעת במים ארקטיים קפואים. בטוח. אפוד ההצלה הוא רעיון טוב. אתה בטוח יותר עם זה מאשר בלי - אבל זה לא מספיק כדי להציל אותך יותר.
המלצות עורכים
- ל-AMD Ryzen Master יש באג שיכול לאפשר למישהו לקחת שליטה מלאה על המחשב האישי שלך
- AMD הדליפה זה עתה ארבעה ממעבדי Ryzen 7000 הקרובים שלה
- AMD בדיוק ניצחה במלחמות הליבה, ועדיין יש לה כרטיס מנצח בשרוול
