Bils Robersons/Digital Trends
(in) Drošs ir iknedēļas sleja, kas ienirst strauji pieaugošajā kiberdrošības tēmā.
Ieteiktie videoklipi
Otrdien, 13. martā, apsardzes firma CTS Labs paziņoja par 13 trūkumu atklāšanu AMD Ryzen un Epyc procesoros. Problēmas aptver četras ievainojamību klases, kas ietver vairākas būtiskas problēmas, piemēram, aparatūras aizmugures durvis Ryzen mikroshēmojums un trūkumi, kas var pilnībā apdraudēt AMD Secure Processor, mikroshēmu, kurai vajadzētu darboties kā “droša pasaule”, kur sensitīvus uzdevumus var glabāt ļaunprātīgai programmatūrai nepieejamā vietā.
Vienošanās trūkums nozīmē, ka nav iespējams zināt, kad tiks atklāts nākamais trūkums, kas tas nāks vai kā par to tiks ziņots.
Šī atklāsme nāk tikai dažus mēnešus pēc atklāšanas sabrukums un spoks trūkumi, kas ietekmēja AMD, Intel, Qualcomm un citu mikroshēmas. AMD, kuras mikroshēmas apdraudēja daži Spectre trūkumi, no fiasko izkļuva salīdzinoši neskarti. Entuziasti savas dusmas koncentrēja uz Intel. Lai gan a
nedaudzas kolektīvas tiesas prāvas tika iesniegti pret AMD, tie nav nekas salīdzinājumā ar pret Intel vērstu advokātu bars. Salīdzinot ar Intel, AMD šķita gudra un droša izvēle.Tas padarīja otrdienas paziņojumu par AMD aparatūras trūkumiem vēl sprādzienbīstamāku. Twitter vētras izcēlās, drošības pētniekiem un datoru entuziasti strīdējās par atklājumu pamatotību. Tomēr CTS Labs sniegto informāciju neatkarīgi pārbaudīja cita firma, Bitu taka, dibināta 2012. gadā. Par problēmu nopietnību var strīdēties, taču tās pastāv, un tās apdraud to, ko daži datoru lietotāji bija uzskatījuši par pēdējo drošo ostu.
Mežonīgie rietumi no atklāšanas
CTS Labs pētījumu saturs jebkurā gadījumā būtu radījis virsrakstus, taču atklājuma triecienu pastiprināja tā pārsteigums. AMD, acīmredzot, tika dotas mazāk nekā 24 stundas, lai atbildētu, pirms CTS Labs tika publiskots, un CTS Labs nav publiskojis visas tehniskās detaļas, tā vietā izvēloties tās koplietot tikai ar AMD, Microsoft, HP, Dell un vairākiem citiem lieliem kompānijas.
Daudzi drošības pētnieki apvainojās. Lielākā daļa trūkumu tiek atklāti uzņēmumiem agrāk, kā arī atbildes laiks. Piemēram, uzņēmums Intel, AMD un ARM atklāja informāciju par Meltdown un Spectre 2017. gada 1. jūnijā. Google projekts Zero komanda. Sākotnējais 90 dienu periods problēmu novēršanai vēlāk tika pagarināts līdz 180 dienām, bet beidzās pirms grafika, kad Reģistrs publicēja savu sākotnējo stāstu par Intel procesora defektu. CTS Labs lēmums nepiedāvāt iepriekšēju izpaušanu ir izraisījis spekulācijas, ka tai ir cita, ļaunprātīgāks motīvs.
AMD nepilnību pārskats
CTS Labs sevi aizstāvēja vēstulē no Ilia Luk-Zilberman, uzņēmuma CTO, publicēts AMDflaws.com vietnē. Luks-Zilbermans apšauba iepriekšējas izpaušanas koncepciju, sakot, ka “tas ir pārdevēja ziņā, ja tas vēlas brīdināt klientiem, ka pastāv problēma." Tāpēc jūs reti dzirdat par drošības nepilnībām līdz pat mēnešiem pēc tā rašanās bez pārklājuma.
Sliktāk, saka Luk-Zilbermans, tas liek pētniekam un uzņēmumam saspēlēties. Uzņēmums var neatbildēt. Ja tā notiek, pētnieks saskaras ar drūmu izvēli; klusējiet un ceriet, ka neviens cits neatklās šo trūkumu, vai publiskojiet informāciju par trūkumu, kuram nav pieejams ielāps. Sadarbība ir mērķis, bet gan pētnieka, gan uzņēmuma likmes veicina aizsardzību. Jautājums par to, kas ir pareizi, profesionāli un ētiski, bieži sabrūk sīkā ciltsmā.
Kur ir dibens?
Nozares standarts trūkumu atklāšanai nepastāv, un, ja tā nav, valda haoss. Pat tie, kas tic informācijas izpaušanai, nepiekrīt detaļām, piemēram, par to, cik ilgi uzņēmumam jāsniedz atbilde. Vienošanās trūkums nozīmē, ka nav iespējams zināt, kad tiks atklāts nākamais lielais trūkums, kas tas nāks vai kā par to tiks ziņots.
Tas ir kā piesprādzēties glābšanas vestē, kuģim iegrimstot aukstos ūdeņos. Protams, veste ir laba ideja, taču ar to nepietiek, lai jūs vairs glābtu.
Kiberdrošība ir haoss, un tas ir haoss, kas ir nodarījis savu ietekmi uz katru no mums. Lai gan tas ir satraucoši, jaunie AMD procesoru trūkumi, piemēram, Meltdown, Spectre, Heartbleed un daudzi citi agrāk, drīz tiks aizmirsti. Viņi obligāti aizmirst.
Galu galā, kāda cita izvēle mums ir? Datori un viedtālruņi ir kļuvuši obligāti, lai piedalītos mūsdienu sabiedrībā. Pat tiem, kam tie nepieder, ir jāizmanto pakalpojumi, kas paļaujas uz tiem.
Acīmredzot katra programmatūra un aparatūra, ko mēs izmantojam, ir bagāta ar kritiskiem trūkumiem. Tomēr, ja vien jūs nenolemjat pamest sabiedrību un uzcelt namiņu mežā, jums tie ir jāizmanto.
Parasti es vēlētos, lai šī sleja beigtos ar praktiskiem padomiem. Izmantojiet spēcīgas paroles. Neklikšķiniet uz saitēm, kas sola bezmaksas iPad. Tādas lietas. Šāds padoms paliek patiess, taču sajūta ir tāda, it kā būtu uzsprādzēta glābšanas vesti, kuģim grimstot aukstajos arktiskos ūdeņos. Protams. Glābšanas veste ir laba ideja. Ar to jūs esat drošāk nekā bez tā, taču ar to vairs nepietiek, lai jūs glābtu.
Redaktoru ieteikumi
- AMD Ryzen Master ir kļūda, kas var ļaut kādam pilnībā kontrolēt jūsu datoru
- AMD tikko nopludināja četrus savus gaidāmos Ryzen 7000 CPU
- AMD tikko uzvarēja galvenajos karos, un tai joprojām ir trumpis
