AMD Ryzenfall saugumo klaida sunaikina paskutinį saugų uostą

„AMD Ryzen 5 2400G“ ir „Ryzen 3 2200G“ peržiūros pirštų pagrindinė plokštė
Billas Robersonas / Skaitmeninės tendencijos

Billas Robersonas / Skaitmeninės tendencijos

(in) Saugus yra savaitinė rubrika, kurioje neriama į sparčiai eskaluojamą kibernetinio saugumo temą.

Rekomenduojami vaizdo įrašai

Antradienį, kovo 13 d., apsaugos įmonė CTS Labs paskelbė atradęs 13 trūkumų AMD Ryzen ir Epyc procesoriuose. Problemos apima keturias pažeidžiamumo klases, kurios apima keletą pagrindinių problemų, pvz., aparatinės įrangos užpakalinės durys į „Ryzen“ mikroschemų rinkinys ir trūkumai, galintys visiškai pažeisti AMD saugų procesorių – lustą, kuris turėtų veikti kaip “saugus pasaulis“, kur jautrios užduotys gali būti apsaugotos nuo kenkėjiškų programų.

Nesant susitarimo, nėra galimybės žinoti, kada bus atskleistas kitas trūkumas, kas jis kils arba kaip apie jį bus pranešta.

Šis apreiškimas ateina praėjus vos mėnesiams po atskleidimo Meltdown ir Spectre trūkumai, kurie paveikė AMD, Intel, Qualcomm ir kitų lustus. AMD, kurios lustams buvo pakenkta dėl kai kurių „Spectre“ trūkumų, iš fiasko išėjo palyginti nepažeistas. Entuziastai savo pyktį sutelkė į „Intel“. Nors a

saujelė grupinių ieškinių buvo pateikti prieš AMD, jie yra niekis, palyginti su Advokatų būrys prieš Intel. Palyginti su „Intel“, AMD atrodė protingas ir saugus pasirinkimas.

Dėl to antradienio pranešimas apie AMD aparatinės įrangos trūkumus tapo dar sprogstamesnis. „Twitter“ audros kilo, kai saugumo tyrinėtojai ir kompiuterių entuziastai ginčijosi dėl išvadų pagrįstumo. Vis dėlto CTS Labs pateiktą informaciją nepriklausomai patikrino kita įmonė, Bitų takas, įkurta 2012 m. Dėl problemų rimtumo galima ginčytis, tačiau jos egzistuoja ir kelia pavojų tam, ką kai kurie kompiuterių vartotojai laikė paskutiniu saugiu uostu.

Laukiniai vakarai nuo atskleidimo

„CTS Labs“ tyrimų turinys bet kokiu atveju būtų sukūręs antraštes, tačiau atskleidimo įspūdį sustiprino jo nuostaba. Matyt, prieš CTS Labs paskelbimą viešai AMD buvo duota mažiau nei 24 valandos atsakymui, o CTS Labs nepaskelbė visas technines detales, užuot pasirinkęs jas bendrinti tik su AMD, Microsoft, HP, Dell ir keletu kitų didelių įmonių.

Daugelis saugumo tyrėjų verkė įžeidžiančiai. Dauguma trūkumų įmonėms atskleidžiama anksčiau, kartu nurodant atsakymo terminą. Pavyzdžiui, 2017 m. birželio 1 d. Intel, AMD ir ARM atskleidė Meltdown ir Spectre. „Google“ projektas „Zero“. komanda. Pradinis 90 dienų laikotarpis problemoms išspręsti vėliau buvo pratęstas iki 180 dienų, bet baigėsi anksčiau nei numatyta, kai Registras paskelbė savo pradinę istoriją dėl „Intel“ procesoriaus trūkumo. „CTS Labs“ sprendimas nesiūlyti išankstinio atskleidimo sukėlė spėlionių, kad ji turėjo kitą, piktybiškesnis motyvas.

AMD trūkumų apžvalga

CTS Labs apsigynė Ilia Luk-Zilberman laiške, bendrovės CTO, paskelbta AMDflaws.com svetainėje. Luk-Zilberman nesutinka su išankstinio atskleidimo koncepcija, sakydamas, kad „pardavėjo reikalas, ar jis nori įspėti klientų, kad yra problema“. Štai kodėl retai išgirstate apie saugumo trūkumą, kol jis buvo įvykęs praėjus mėnesiams atidengta.

Dar blogiau, sako Lukas-Zilbermanas, tai verčia tyrėją ir kompaniją sužaisti blaivumą. Įmonė gali neatsakyti. Jei taip atsitiks, tyrėjas susiduria su niūriu pasirinkimu; tylėkite ir tikėkitės, kad niekas kitas neaptiks trūkumo arba viešai papasakokite apie trūkumą, kurio pataisa nėra. Bendradarbiavimas yra tikslas, tačiau tiek mokslininko, tiek įmonės statymai skatina gynybą. Klausimas, kas yra tinkama, profesionalu ir etiška, dažnai žlunga į smulkmenišką gentinį.

Kur dugnas?

Pramonės standartas atskleidžiant trūkumą neegzistuoja, o jei jo nėra, vyrauja chaosas. Net tie, kurie tiki informacijos atskleidimu, nesutaria dėl smulkmenų, pavyzdžiui, per kiek laiko įmonei turėtų būti suteikta atsakymo data. Nesant susitarimo, nėra galimybės žinoti, kada bus atskleistas kitas didelis trūkumas, kas jis kils arba kaip apie jį bus pranešta.

Tai tarsi užsisegti gelbėjimosi liemenę, kai laivas skęsta šaltame vandenyje. Žinoma, liemenė yra gera idėja, bet jos nebeužtenka, kad tave išgelbėtų.

Kibernetinis saugumas yra netvarka, ir tai netvarka, kuri atsiliepė kiekvienam iš mūsų. Nors ir kelia nerimą, nauji AMD procesorių trūkumai – tokie kaip Meltdown, Spectre, Heartbleed ir daugelis kitų anksčiau – greitai bus pamiršti. Jie privalo būti pamirštam.

Galų gale, kokį kitą pasirinkimą turime? Norint dalyvauti šiuolaikinėje visuomenėje, kompiuteriai ir išmanieji telefonai tapo privalomi. Net tie, kurie jų neturi, turi naudotis jomis pasitikinčiomis paslaugomis.

Matyt, kiekviena mūsų naudojama programinė ir aparatinė įranga yra pilna kritinių trūkumų. Net jei nuspręsite palikti visuomenę ir pasistatyti namelį miške, turite juos naudoti.

Paprastai norėčiau, kad šis stulpelis baigtųsi praktiniais patarimais. Naudokite stiprius slaptažodžius. Nespauskite nuorodų, kuriose žadami nemokami iPad. Tokio tipo dalykas. Toks patarimas išlieka teisingas, tačiau jausmas, lyg užsisegtumėte gelbėjimosi liemenę, kai laivas skęsta šaltuose arktiniuose vandenyse. Žinoma. Gelbėjimosi liemenė yra gera idėja. Su juo esate saugesnis nei be jo, bet to nebeužtenka, kad jus išgelbėtumėte.

Redaktorių rekomendacijos

  • AMD Ryzen Master turi klaidą, kuri gali leisti kam nors visiškai valdyti jūsų kompiuterį
  • AMD ką tik nutekino keturis savo būsimus „Ryzen 7000“ procesorius
  • AMD ką tik laimėjo pagrindinius karus ir vis dar turi kozirį savo rankovėje