Bill Roberson/Trendy cyfrowe
(niepewny to cotygodniowa kolumna poświęcona szybko narastającemu tematowi cyberbezpieczeństwa.
Polecane filmy
We wtorek, 13 marca, firma ochroniarska CTS Labs ogłosił odkrycie 13 usterek w procesorach AMD Ryzen i Epyc. Problemy obejmują cztery klasy luk, które obejmują kilka głównych problemów, takich jak backdoor sprzętowy Chipset Ryzena i wady, które mogą całkowicie zagrozić Bezpiecznemu procesorowi AMD, chipowi, który ma działać jako “bezpieczny świat”, gdzie wrażliwe zadania można przechowywać poza zasięgiem złośliwego oprogramowania.
Brak porozumienia oznacza, że nie wiadomo, kiedy ujawniona zostanie kolejna wada, od kogo będzie pochodzić ani w jaki sposób zostanie zgłoszona.
To odkrycie następuje zaledwie kilka miesięcy po ujawnieniu Meltdown i Spectre wady, które miały wpływ na chipy AMD, Intel, Qualcomm i innych. AMD, którego chipy zostały naruszone przez pewne wady Spectre, wyszło z fiaska stosunkowo bez szwanku. Entuzjaści skupili swoją złość na Intelu. Chociaż A
kilka pozwów zbiorowych zostały wniesione przeciwko AMD, są niczym w porównaniu z mnóstwo prawników postawionych przeciwko Intelowi. W porównaniu z Intelem, AMD wydawało się mądrym i bezpiecznym wyborem.To sprawiło, że wtorkowe ogłoszenie o wadach sprzętu AMD stało się jeszcze bardziej wybuchowe. Na Twitterze wybuchły burze, gdy badacze bezpieczeństwa i entuzjaści komputerów PC spierali się na temat zasadności ustaleń. Mimo to informacje dostarczone przez CTS Labs zostały niezależnie zweryfikowane przez inną firmę, Szlak bitów, założona w 2012 roku. Można dyskutować nad powagą problemów, ale one istnieją i zagrażają temu, co niektórzy użytkownicy komputerów PC zaczęli postrzegać jako ostatnią bezpieczną przystań.
Dziki zachód ujawnienia
Treść badań przeprowadzonych przez CTS Labs i tak trafiłaby na pierwsze strony gazet, ale siła ujawnienia została wzmocniona przez zaskoczenie. Najwyraźniej AMD miało mniej niż 24 godziny na odpowiedź, zanim CTS Labs weszło na giełdę, a CTS Labs nie upubliczniło swojej informacji wszystkie szczegóły techniczne, zamiast udostępniać je tylko firmom AMD, Microsoft, HP, Dell i kilku innym dużym firmom firmy.
Wielu badaczy bezpieczeństwa krzyczało obelżywie. Większość usterek jest ujawniana firmom wcześniej, wraz z określeniem terminu na reakcję. Na przykład Meltdown i Spectre zostały ujawnione firmom Intel, AMD i ARM 1 czerwca 2017 r. Projekt Zero Google’a zespół. Początkowe 90-dniowe okno na rozwiązanie problemów zostało później przedłużone do 180 dni, ale zakończyło się przed terminem, gdy The Register opublikował swoją pierwszą historię na temat wady procesora Intela. Decyzja CTS Labs o nieoferowaniu wcześniejszego ujawnienia wywołała spekulacje, że firma miała inny, bardziej złośliwy motyw.
Przegląd wad AMD
CTS Labs broniło się w liście Ilii Luk-Zilbermana, CTO firmy, opublikowane na stronie AMDflaws.com. Luk-Zilberman nie zgadza się z koncepcją uprzedniego ujawnienia, mówiąc, że „to od sprzedawcy zależy, czy będzie chciał ostrzec klientów, że wystąpił problem.” Dlatego rzadko słyszy się o luce w zabezpieczeniach dopiero po kilku miesiącach nieosłonięty.
Co gorsza, zdaniem Luk-Zilbermana, wymusza to grę na krawędzi pomiędzy badaczem a firmą. Firma może nie odpowiedzieć. Jeśli tak się stanie, badacz staje przed ponurym wyborem; zachowaj ciszę i miej nadzieję, że nikt inny nie znajdzie usterki, lub upublicznij szczegóły usterki, dla której nie ma dostępnej łatki. Celem jest współpraca, ale stawka zarówno dla badacza, jak i firmy zachęca do przyjęcia postawy defensywnej. Pytanie o to, co właściwe, profesjonalne i etyczne, często sprowadza się do drobnego trybalizmu.
Gdzie jest dno?
Branżowy standard ujawniania wad nie istnieje, a w przypadku jego braku panuje chaos. Nawet ci, którzy wierzą w ujawnianie informacji, nie są zgodni co do szczegółów, takich jak czas, jaki firma powinna mieć na udzielenie odpowiedzi. Brak porozumienia oznacza, że nie wiadomo, kiedy ujawniona zostanie kolejna poważna wada, od kogo będzie pochodzić ani w jaki sposób zostanie zgłoszona.
To jak przypinanie kamizelki ratunkowej, gdy statek tonie w lodowatej wodzie. Jasne, kamizelka to dobry pomysł, ale już nie wystarczy, żeby Cię uratować.
Cyberbezpieczeństwo to bałagan, który zebrał swoje żniwo na każdym z nas. Choć niepokojące, nowe wady procesorów AMD – takie jak Meltdown, Spectre, Heartbleed i wiele innych – wkrótce zostaną zapomniane. Oni musieć być zapomnianym.
W końcu jaki mamy inny wybór? Komputery i smartfony stały się obowiązkowe we współczesnym społeczeństwie. Nawet ci, którzy ich nie posiadają, muszą korzystać z usług, które się na nich opierają.
Najwyraźniej każde oprogramowanie i sprzęt, którego używamy, jest usiane krytycznymi wadami. Mimo to, jeśli nie zdecydujesz się porzucić społeczeństwa i zbudować chatę w lesie, musisz z nich skorzystać.
Zwykle chciałbym, aby ten artykuł zakończył się praktycznymi poradami. Używaj silnych haseł. Nie klikaj linków obiecujących bezpłatne iPady. Coś w tym rodzaju. Taka rada pozostaje prawdziwa, ale przypomina to przypinanie kamizelki ratunkowej, gdy statek tonie w lodowatych wodach Arktyki. Jasne. Kamizelka ratunkowa to dobry pomysł. Z nim jesteś bezpieczniejszy niż bez – ale to już nie wystarczy, aby Cię uratować.
Zalecenia redaktorów
- AMD Ryzen Master ma błąd, który może pozwolić komuś przejąć pełną kontrolę nad Twoim komputerem
- AMD właśnie ujawniło cztery własne nadchodzące procesory Ryzen 7000
- AMD właśnie wygrało główne wojny i wciąż ma atut w rękawie