Bill Roberson/Digitalni trendi
(v) Varno je tedenska rubrika, ki se poglobi v hitro naraščajočo temo kibernetske varnosti.
Priporočeni videoposnetki
V torek, 13. marca, je varnostno podjetje CTS Labs napovedal odkritje 13 napak v AMD-jevih procesorjih Ryzen in Epyc. Težave obsegajo štiri razrede ranljivosti, ki vključujejo več večjih težav, kot je stranska vrata strojne opreme v Nabor čipov Ryzen in napake, ki lahko popolnoma ogrozijo AMD-jev varni procesor, čip, ki naj bi deloval kot “varen svet«, kjer lahko občutljiva opravila ostanejo izven dosega zlonamerne programske opreme.
Pomanjkanje dogovora pomeni, da ni mogoče vedeti, kdaj bo razkrita naslednja napaka, od koga bo prišla ali kako bo o njej sporočeno.
To razkritje prihaja le nekaj mesecev po razkritju the Meltdown in Spectre napake, ki so vplivale na čipe AMD, Intel, Qualcomm in drugih. AMD, katerega čipi so bili ogroženi zaradi nekaterih pomanjkljivosti Spectra, so iz fiaska izšli razmeroma nepoškodovani. Navdušenci so svojo jezo usmerili v Intel. Čeprav a
Zaradi tega je bila torkova objava napak v strojni opremi AMD še bolj eksplozivna. Izbruhnile so nevihte na Twitterju, ko so se varnostni raziskovalci in računalniški navdušenci prepirali o veljavnosti ugotovitev. Kljub temu je informacije, ki jih je posredoval CTS Labs, neodvisno preverilo drugo podjetje, Trail of Bits, ustanovljeno leta 2012. O resnosti težav je mogoče razpravljati, vendar obstajajo in ogrožajo tisto, kar so nekateri uporabniki osebnih računalnikov razumeli kot zadnji varni pristan.
Divji zahod razkritja
Vsebina raziskave CTS Labs bi v vsakem primeru prinesla naslovnice, vendar je bil udarec razkritja okrepljen z njegovim presenečenjem. AMD je očitno imel manj kot 24 ur časa za odgovor, preden je CTS Labs javno objavil, CTS Labs pa ni javno objavil vse tehnične podrobnosti, namesto da bi jih delili samo z AMD, Microsoft, HP, Dell in nekaterimi drugimi velikimi podjetja.
Številni varnostni raziskovalci so se obregnili. Večina pomanjkljivosti se podjetjem razkrije prej, skupaj s časovnim okvirom za odziv. Meltdown in Spectre sta bila na primer 1. junija 2017 razkrita Intelu, AMD in ARM. Googlov projekt Zero ekipa. Začetno 90-dnevno obdobje za odpravo težav je bilo kasneje podaljšano na 180 dni, vendar se je končalo pred rokom, ko Register je objavil prvo zgodbo o Intelovi procesorski napaki. Odločitev CTS Labs, da ne ponudi predhodnega razkritja, je povzročila špekulacije, da ima še eno, bolj zlonameren motiv.
Pregled napak AMD
CTS Labs se je branil v pismu Ilije Luk-Zilbermana, CTO podjetja, objavljeno na spletni strani AMDflaws.com. Luk-Zilberman nasprotuje konceptu predhodnega razkritja in pravi, da je "od prodajalca odvisno, ali želi opozoriti stranke, da obstaja težava." Zato le redko slišite za varnostno napako šele mesece po tem, ko je bila nepokrito.
Še huje, pravi Luk-Zilberman, vsiljuje igro obvladovanja robov med raziskovalcem in podjetjem. Podjetje se morda ne bo odzvalo. Če se to zgodi, je raziskovalec pred mračno izbiro; molčite in upajte, da nihče drug ne bo našel napake, ali objavite podrobnosti o napaki, za katero ni na voljo popravka. Sodelovanje je cilj, vendar vložki tako za raziskovalca kot za podjetje spodbujajo obrambnost. Vprašanje, kaj je pravilno, strokovno in etično, se pogosto sesuje v plemenski tribalizem.
Kje je dno?
Industrijski standard za razkritje napake ne obstaja in če ga ni, vlada kaos. Celo tisti, ki verjamejo v razkritje, se ne strinjajo o podrobnostih, na primer o tem, koliko časa naj ima podjetje za odgovor. Pomanjkanje soglasja pomeni, da ni mogoče vedeti, kdaj bo razkrita naslednja večja napaka, od koga bo prišla ali kako se bo o njej poročalo.
To je kot pripenjanje rešilnega jopiča, ko ladja tone v mrzle vode. Seveda je telovnik dobra ideja, vendar ni več dovolj, da bi vas rešil.
Kibernetska varnost je zmešnjava in ta zmešnjava je prizadela vsakega od nas. Čeprav je zaskrbljujoče, bodo nove napake v procesorjih AMD – kot so Meltdown, Spectre, Heartbleed in mnogi drugi prej – kmalu pozabljene. Oni mora biti pozabljen.
Konec koncev, kakšno drugo izbiro imamo? Računalniki in pametni telefoni so postali obvezni za sodelovanje v sodobni družbi. Tudi tisti, ki jih nimajo, morajo uporabljati storitve, ki so odvisne od njih.
Vsak kos programske in strojne opreme, ki jo uporabljamo, je očitno poln kritičnih napak. Kljub temu jih morate uporabiti, razen če se odločite zapustiti družbo in zgraditi kočo v gozdu.
Običajno bi rad, da se ta kolumna konča s praktičnimi nasveti. Uporabljajte močna gesla. Ne klikajte povezav, ki obljubljajo brezplačne iPade. Takšna stvar. Takšen nasvet ostaja resničen, vendar se zdi, kot da bi si nataknil rešilni jopič, ko bi ladja tonila v mrzlih arktičnih vodah. seveda. Rešilni jopič je dobra ideja. Z njo ste varnejši kot brez nje - vendar to ni več dovolj, da bi vas rešilo.
Priporočila urednikov
- AMD Ryzen Master ima napako, ki lahko nekomu omogoči popoln nadzor nad vašim računalnikom
- AMD je pravkar razkril štiri svoje prihajajoče procesorje Ryzen 7000
- AMD je pravkar dobil glavne vojne in ima še vedno aduta v rokavu
