Бил Роберсон/Дигитални трендови
(у) Сигурно је недељна колумна која се бави брзом ескалацијом теме сајбер безбедности.
Препоручени видео снимци
У уторак, 13. марта, безбедносна фирма ЦТС Лабс најавио откриће 13 недостатака у АМД-овим Ризен и Епиц процесорима. Проблеми обухватају четири класе рањивости које укључују неколико великих проблема, као што је хардверска позадинска врата у Ризен-ов чипсет и недостаци који могу у потпуности да угрозе АМД-ов сигуран процесор, чип који би требало да делује као “сигуран свет” где се осетљиви задаци могу држати ван домашаја малвера.
Недостатак споразума значи да нема начина да се зна када ће следећа грешка бити откривена, од кога ће доћи или како ће бити пријављена.
Ово откриће долази само неколико месеци након откривања Мелтдовн и Спецтре недостатке који су утицали на чипове од АМД, Интел, Куалцомм и других. АМД, чији су чипови компромитовани због неких Спецтреових мана, изашао је из фијаска релативно неоштећен. Ентузијасти су свој бес усмерили на Интел. Мада а
прегршт групних тужби су поднети против АМД-а, они су ништа у поређењу са гомила адвоката против Интела. У поређењу са Интелом, АМД се чинио паметним и сигурним избором.То је у уторак најаву недостатака у АМД хардверу учинило још експлозивнијим. Твитер олује су избиле док су се истраживачи безбедности и ПЦ ентузијасти препирали око валидности налаза. Ипак, информације које је дала ЦТС Лабс је независно верификовала друга фирма, Траил оф Битс, основана 2012. године. Може се расправљати о озбиљности проблема, али они постоје и компромитују оно што су неки корисници рачунара сматрали последњом сигурном луком.
Дивљи запад од откривања
Садржај истраживања ЦТС Лабс-а би у сваком случају генерисао наслове, али је удар открића био појачан његовим изненађењем. АМД је очигледно добио мање од 24 сата да одговори пре него што је ЦТС Лабс изашао у јавност, а ЦТС Лабс није изашао у јавност са све техничке детаље, уместо тога бирајући да их делите само са АМД-ом, Мицрософт-ом, ХП-ом, Делл-ом и неколико других великих компаније.
Многи истраживачи безбедности су повикали фаул. Већина недостатака је откривена компанијама раније, заједно са временским оквиром за реаговање. Мелтдовн анд Спецтре је, на пример, открио Интел, АМД и АРМ 1. јуна 2017. Гоогле-ов пројекат Зеро тим. Почетни период од 90 дана за решавање проблема касније је продужен на 180 дана, али је завршен пре рока када Регистар је објавио своју почетну причу о грешци Интеловог процесора. Одлука ЦТС Лабс-а да не понуди претходно обелодањивање изазвала је спекулације да је имао још један, злонамернији мотив.
Преглед АМД недостатака
ЦТС Лабс се бранио у писму Илије Лук-Зилбермана, ЦТО компаније, објављено на веб страници АМДфлавс.цом. Лук-Зилберман оспорава концепт претходног обелодањивања, рекавши „на продавцу је да ли жели да упозори купцима да постоји проблем.” Зато ретко чујете за безбедносни пропуст све до неколико месеци након што је био откривена.
Што је још горе, каже Лук-Зилберман, то доводи до игре на ивици између истраживача и компаније. Компанија можда неће одговорити. Ако се то догоди, истраживач се суочава са суморним избором; ћутите и надајте се да нико други неће пронаћи грешку или објавити детаље о мани која нема доступну закрпу. Сарадња је циљ, али улози и за истраживача и за компанију подстичу дефанзивност. Питање шта је исправно, професионално и етичко често се урушава у ситни трибализам.
Где је дно?
Индустријски стандард за откривање грешке не постоји и, у његовом одсуству, влада хаос. Чак и они који верују у обелодањивање не слажу се око детаља, као што је колико времена компанији треба дати да одговори. Недостатак споразума значи да нема начина да се зна када ће следећа велика грешка бити откривена, од кога ће доћи или како ће бити пријављена.
То је као да вежете прслук за спасавање док брод тоне у хладне воде. Наравно, прслук је добра идеја, али више није довољно да вас спаси.
Сајбер безбедност је неред, и то је неред који је узео данак од сваког од нас. Иако је алармантно, нове мане у АМД процесорима — попут Мелтдовн-а, Спецтре-а, Хеартблеед-а и многих других раније — ускоро ће бити заборављене. Они мора бити заборављен.
Уосталом, какав други избор имамо? Рачунари и паметни телефони постали су обавезни за учешће у савременом друштву. Чак и они који их не поседују морају да користе услуге које се ослањају на њих.
Сваки део софтвера и хардвера који користимо је, очигледно, прожет критичним недостацима. Чак и тако, осим ако не одлучите да напустите друштво и изградите колибу у шуми, морате их користити.
Обично бих волео да се ова колумна заврши практичним саветима. Користите јаке лозинке. Не кликајте на везе које обећавају бесплатне иПад-ове. Такве ствари. Такав савет остаје истинит, али се осећа као да носите прслук за спасавање док брод тоне у хладним арктичким водама. Наравно. Прслук за спасавање је добра идеја. Са њим сте сигурнији него без њега - али то више није довољно да вас спасе.
Препоруке уредника
- АМД Ризен Мастер има грешку која може дозволити некоме да преузме потпуну контролу над вашим рачунаром
- АМД је управо објавио четири своја надолазећа Ризен 7000 ЦПУ-а
- АМД је управо победио у ратовима језгара, а још увек има адут у рукаву
