ビル・ロバーソン/デジタルトレンド
(in) セキュア は、急速にエスカレートするサイバー セキュリティのトピックを掘り下げる週刊コラムです。
おすすめ動画
3 月 13 日火曜日、セキュリティ企業 CTS Labs が 13件の欠陥を発見したと発表 AMD の Ryzen および Epyc プロセッサーに搭載されています。 この問題は 4 つのクラスの脆弱性にまたがっており、その中にはハードウェアへのバックドアなど、いくつかの重大な問題が含まれています。 Ryzen のチップセットと、AMD のセキュア プロセッサーとして機能するチップを完全に侵害する可能性のある欠陥 “安全な世界」では、機密性の高いタスクをマルウェアの手の届かないところに置くことができます。
合意がないということは、次の欠陥がいつ露見するのか、誰から発生するのか、どのように報告されるのかを知る方法がないことを意味します。
この暴露は、暴露からわずか数カ月後に行われた。 メルトダウンとスペクター AMD、Intel、Qualcomm などのチップに影響を与える欠陥。 AMD のチップは Spectre の欠陥によって侵害されましたが、比較的無傷でこの大失敗を乗り越えました。 愛好家らの怒りはインテルに集中した。 けれども 少数の集団訴訟 AMDに対して提起されたものですが、それらに比べれば何でもありません インテルに対して弁護士の集団が立ち向かう. Intel と比較すると、AMD は賢明で安全な選択であるように思えました。
このため、AMDハードウェアの欠陥に関する火曜日の発表はさらに爆発的なものとなった。 セキュリティ研究者と PC 愛好家が調査結果の妥当性をめぐって議論し、ツイッターで嵐が巻き起こりました。 それでも、CTS Labs によって提供された情報は別の企業によって独立して検証されました。 ビットの跡, 2012年に設立されました。 問題の深刻さについては議論の余地がありますが、問題は実際に存在しており、一部の PC ユーザーが最後の安全策と考えていたものを侵害します。
情報開示の荒野
CTS研究所の研究内容は、いずれにせよ見出しを生むことになるだろうが、その驚きによって、その暴露の衝撃はさらに増幅された。 AMDはCTS Labsが上場するまでに24時間以内に応答を与えられたようだが、CTS Labsは上場していない。 すべての技術的な詳細を、AMD、Microsoft、HP、Dell、およびその他のいくつかの大手企業とのみ共有することを選択しました。 企業。
多くのセキュリティ研究者が非難の声を上げた。 ほとんどの欠陥は、対応期限とともに早期に企業に開示されます。 たとえば、Meltdown と Spectre は、2017 年 6 月 1 日に Intel、AMD、ARM に開示されました。 Googleのプロジェクトゼロ チーム。 問題を修正するための当初の 90 日間の期間は、後に 180 日間に延長されましたが、予定より早く終了しました。 The Register が最初の記事を公開しました インテルのプロセッサの欠陥について。 事前開示を行わないという CTS Labs の決定は、別の開示を行ったのではないかという憶測を引き起こしました。 もっと悪意のある動機.
AMD の欠陥の概要
CTS Labs は自らを擁護した イリア・ルク=ジルバーマンからの手紙の中で、同社の CTO が AMDflaws.com Web サイトで公開しました。 Luk-Zilberman 氏は、事前開示の概念に異議を唱え、「ベンダーに警告したいかどうかはベンダー次第です」と述べています。 顧客に問題があることを伝えます。」 そのため、セキュリティ上の欠陥については、発生から数か月経つまでほとんど聞かれません。 発見された。
さらに悪いことに、研究者と企業の間で瀬戸際の戦いを強いられることになる、とルク・ジルバーマン氏は言う。 会社側は応じないかもしれません。 そうなると、研究者は厳しい選択に直面することになる。 黙って誰もその欠陥を見つけないことを祈るか、利用可能なパッチがない欠陥の詳細を公表するかです。 協力することが目標ですが、研究者と企業の両方にとって利害関係があるため、守りの姿勢が奨励されます。 何が適切で、専門的で、倫理的かという問題は、多くの場合、つまらない部族主義に陥ります。
底はどこですか?
欠陥を開示するための業界標準は存在せず、それが存在しないと混乱が蔓延します。 情報開示を信じている人でも、企業が回答するまでにどれくらいの期間を与えられるべきかなど、詳細については意見が一致していない。 合意がないということは、次の重大な欠陥がいつ露見するのか、誰から発生するのか、どのように報告されるのかを知る方法がないことを意味します。
それは、船が極寒の海に沈むときに救命胴衣を着用するようなものです。 確かにベストは良いアイデアですが、それだけではもうあなたを救うのに十分ではありません。
サイバーセキュリティは混乱しており、私たち一人ひとりに損害を与えています。 憂慮すべきことですが、AMD プロセッサの新たな欠陥 (Meltdown、Spectre、Heartbleed、その他多くの以前の欠陥など) はすぐに忘れ去られるでしょう。 彼らは しなければならない 忘れられる。
結局のところ、他にどんな選択肢があるのでしょうか? 現代社会への参加にはパソコンやスマートフォンが必須となっています。 それらを所有していない人でも、それらに依存するサービスを使用する必要があります。
私たちが使用するソフトウェアやハードウェアには、明らかに重大な欠陥がたくさんあります。 それでも、社会を捨てて森の中に小屋を建てる決心をしない限り、それらを利用しなければなりません。
本来であれば、このコラムは実践的なアドバイスで終わりたいと思っています。 強力なパスワードを使用する. 無料の iPad を約束するリンクをクリックしないでください。 そういうこと。 このようなアドバイスは今でも真実ですが、極寒の北極海に船が沈むときに救命胴衣を着ているような気分になります。 もちろん。 救命胴衣は良いアイデアですね。 ないよりもあったほうが安全ですが、それだけではもうあなたを救うのに十分ではありません。
編集者のおすすめ
- AMD Ryzen Master には、誰かが PC を完全に制御できるバグがあります
- AMDは、自社の今後のRyzen 7000 CPUのうち4つをリークしたばかりだ
- AMD はコア戦争に勝利したばかりですが、まだ切り札を持っています