빌 로버슨/디지털 트렌드
(불안정한 빠르게 증가하는 사이버 보안 주제를 심층적으로 다루는 주간 칼럼입니다.
추천 동영상
3월 13일 화요일 보안업체 CTS랩스 13개 결함 발견 발표 AMD의 Ryzen 및 Epyc 프로세서에서. 이 문제는 하드웨어 백도어와 같은 몇 가지 주요 문제를 포함하는 네 가지 클래스의 취약점에 걸쳐 있습니다. Ryzen의 칩셋과 AMD의 보안 프로세서를 완전히 손상시킬 수 있는 결함 “안전한 세상” 민감한 작업을 맬웨어의 손이 닿지 않는 곳에 보관할 수 있습니다.
합의가 부족하다는 것은 다음 결함이 언제 노출될지, 누구에게서 나올지, 어떻게 보고될지 알 수 없다는 것을 의미합니다.
이 폭로는 공개된 지 불과 몇 달 만에 나온 것입니다. 멜트다운과 스펙터 AMD, Intel, Qualcomm 등의 칩에 영향을 미치는 결함. 일부 스펙터(Spectre) 결함으로 인해 칩이 손상된 AMD는 비교적 큰 피해를 입지 않았습니다. 열성팬들은 인텔에 분노를 집중했습니다. 비록 소수의 집단 소송 AMD를 상대로 소송을 제기했는데, AMD에 비하면 아무것도 아닙니다. 인텔을 상대로 소송을 제기하는 수많은 변호사들. Intel과 비교할 때 AMD는 현명하고 안전한 선택으로 보였습니다.
이로 인해 화요일 AMD 하드웨어 결함에 대한 발표가 더욱 폭발적으로 늘어났습니다. 보안 연구원과 PC 애호가들이 이번 발견의 타당성을 놓고 논쟁을 벌이면서 트위터 폭풍이 터졌습니다. 다만, CTS Labs에서 제공한 정보는 타업체에서 독립적으로 검증을 거쳤으며, 비트의 흔적, 2012년에 설립되었습니다. 문제의 심각도는 논쟁의 여지가 있지만 실제로 존재하며 일부 PC 사용자가 최후의 피난처로 간주했던 부분을 손상시킵니다.
공개의 서부
CTS Labs의 연구 내용은 어떤 경우에도 헤드라인을 장식했을 것입니다. 그러나 공개의 효과는 놀라움으로 증폭되었습니다. CTS Labs가 공개되기 전에 AMD는 24시간 이내에 응답을 받은 것으로 보이며 CTS Labs는 공개하지 않았습니다. 모든 기술적 세부 사항은 AMD, Microsoft, HP, Dell 및 기타 여러 대규모 업체와만 공유하도록 선택합니다. 회사.
많은 보안 연구원들이 파울을 외쳤습니다. 대부분의 결함은 대응 기간과 함께 더 일찍 회사에 공개됩니다. 예를 들어 Meltdown 및 Spectre는 2017년 6월 1일에 Intel, AMD 및 ARM에 공개되었습니다. 구글의 프로젝트 제로 팀. 문제를 해결하기 위한 초기 90일 기간은 나중에 180일로 연장되었지만 다음과 같은 이유로 예정보다 일찍 종료되었습니다. The Register가 첫 번째 기사를 발표했습니다. 인텔의 프로세서 결함에 대해. CTS Labs가 사전 공개를 제공하지 않기로 결정한 것은 또 다른 정보가 있을 것이라는 추측을 불러일으켰습니다. 더 악의적인 동기.
AMD 결함 개요
CTS Labs는 스스로를 방어했습니다. Ilia Luk-Zilberman의 편지에서, AMDflaws.com 웹사이트에 게시된 회사의 CTO. Luk-Zilberman은 사전 공개의 개념에 대해 문제를 제기하며 "알림을 원하는지 여부는 공급업체에 달려 있습니다. 고객은 문제가 있다고 말합니다.” 그렇기 때문에 보안 결함이 발생한 지 몇 달이 지나야야 보안 결함에 대해 듣는 경우가 거의 없습니다. 밝혀진.
더 나쁜 것은 연구원과 회사 사이에 벼랑 끝 게임을 강요한다고 Luk-Zilberman은 말합니다. 회사에서 응답하지 않을 수도 있습니다. 그런 일이 발생하면 연구자는 암울한 선택에 직면하게 됩니다. 조용히 하고 다른 사람이 결함을 발견하지 않기를 바라거나 사용 가능한 패치가 없는 결함의 세부 사항을 공개하십시오. 협력이 목표이지만 연구원과 회사 모두의 이해 관계는 방어를 장려합니다. 무엇이 적절하고 전문적이며 윤리적인가에 대한 질문은 종종 사소한 부족주의로 무너집니다.
바닥은 어디입니까?
결함을 공개하기 위한 업계 표준은 존재하지 않으며, 결함이 없으면 혼란이 만연합니다. 공개를 믿는 사람들조차도 회사가 응답할 수 있는 기간과 같은 세부 사항에 대해서는 동의하지 않습니다. 합의가 부족하다는 것은 다음 주요 결함이 언제 노출될지, 누구에게서 나올지, 어떻게 보고될지 알 수 없다는 것을 의미합니다.
이는 마치 배가 찬 바다에 가라앉을 때 구명조끼를 매는 것과 같습니다. 물론, 조끼는 좋은 생각이지만 더 이상 당신을 구하기에는 충분하지 않습니다.
사이버 보안은 혼란스럽고 우리 각자에게 큰 타격을 줍니다. 놀랍게도 Meltdown, Spectre, Heartbleed 및 이전의 많은 다른 프로세서와 같은 AMD 프로세서의 새로운 결함은 곧 잊혀질 것입니다. 그들 ~ 해야 하다 잊혀지다.
결국, 우리에게 또 어떤 선택이 있습니까? 컴퓨터와 스마트폰은 현대 사회에 참여하기 위해 필수가 되었습니다. 이를 소유하지 않은 사람이라도 이에 의존하는 서비스를 사용해야 합니다.
우리가 사용하는 모든 소프트웨어와 하드웨어에는 심각한 결함이 있는 것으로 보입니다. 그럼에도 불구하고 사회를 버리고 숲 속에 오두막을 짓기로 결심하지 않는 한, 반드시 사용해야 합니다.
보통 저는 이 칼럼을 실용적인 조언으로 마무리하고 싶습니다. 강력한 비밀번호를 사용하세요. 무료 아이패드를 약속하는 링크를 클릭하지 마세요. 그런 것. 그러한 조언은 여전히 사실이지만, 그것은 마치 추운 북극 바다에 배가 가라앉을 때 구명조끼를 매는 것과 같은 느낌입니다. 확신하는. 구명조끼를 입는 것이 좋습니다. 없는 것보다 있는 것이 더 안전합니다. 하지만 더 이상 당신을 구하기에는 충분하지 않습니다.
편집자의 추천
- AMD Ryzen Master에는 누군가가 PC를 완전히 제어할 수 있는 버그가 있습니다.
- AMD는 곧 출시될 Ryzen 7000 CPU 중 4개를 유출했습니다.
- AMD는 핵심 전쟁에서 승리했지만 여전히 비장의 무기를 갖고 있습니다.
