บิล โรเบอร์สัน/เทรนด์ดิจิทัล
(ไม่ปลอดภัย เป็นคอลัมน์รายสัปดาห์ที่เจาะลึกหัวข้อความปลอดภัยทางไซเบอร์ที่เพิ่มขึ้นอย่างรวดเร็ว
วิดีโอแนะนำ
เมื่อวันอังคารที่ 13 มีนาคม บริษัทรักษาความปลอดภัย ซีทีเอส แล็บส์ ประกาศการค้นพบข้อบกพร่อง 13 ข้อ ในโปรเซสเซอร์ Ryzen และ Epyc ของ AMD ปัญหาดังกล่าวครอบคลุมช่องโหว่สี่ประเภทซึ่งรวมถึงปัญหาสำคัญหลายประการ เช่น ฮาร์ดแวร์แบ็คดอร์เข้าไป ชิปเซ็ตของ Ryzen และข้อบกพร่องที่สามารถประนีประนอมกับโปรเซสเซอร์ Secure ของ AMD ได้อย่างสมบูรณ์ ซึ่งเป็นชิปที่ควรทำหน้าที่เป็น “โลกที่ปลอดภัย” โดยที่งานที่ละเอียดอ่อนสามารถป้องกันไม่ให้มัลแวร์เข้าถึงได้
การขาดข้อตกลงหมายความว่าไม่มีทางรู้ได้ว่าข้อบกพร่องครั้งต่อไปจะถูกเปิดเผยเมื่อใด จะมาจากใคร หรือจะถูกรายงานอย่างไร
การเปิดเผยนี้เกิดขึ้นเพียงไม่กี่เดือนหลังจากการเปิดเผย การล่มสลายและ Spectre ข้อบกพร่องที่ส่งผลกระทบต่อชิปจาก AMD, Intel, Qualcomm และอื่น ๆ AMD ซึ่งชิปได้รับความเสียหายจากข้อบกพร่องของ Spectre บางส่วน พบว่าไม่ได้รับบาดเจ็บแต่อย่างใด ผู้ที่ชื่นชอบมุ่งความสนใจไปที่ Intel แม้ว่าก คดีฟ้องร้องแบบกลุ่มจำนวนหนึ่ง
ถูกฟ้องร้องต่อ AMD ไม่มีอะไรเทียบได้กับ ทนายความจำนวนมากที่ต่อต้าน Intel. เมื่อเปรียบเทียบกับ Intel แล้ว AMD ดูเหมือนเป็นตัวเลือกที่ชาญฉลาดและปลอดภัยนั่นทำให้การประกาศข้อบกพร่องในฮาร์ดแวร์ของ AMD เมื่อวันอังคารยิ่งระเบิดมากขึ้น พายุ Twitter ปะทุขึ้นในขณะที่นักวิจัยด้านความปลอดภัยและผู้ที่ชื่นชอบพีซีโต้เถียงกันเรื่องความถูกต้องของการค้นพบนี้ อย่างไรก็ตาม ข้อมูลที่ได้รับจาก CTS Labs ได้รับการตรวจสอบโดยบริษัทอื่นอย่างเป็นอิสระ เส้นทางของ Bitsก่อตั้งในปี พ.ศ. 2555 ความร้ายแรงของปัญหาสามารถโต้แย้งได้ แต่ปัญหาเหล่านั้นมีอยู่จริง และกระทบต่อสิ่งที่ผู้ใช้พีซีบางรายมองว่าเป็นท่าเรือที่ปลอดภัยแห่งสุดท้าย
แดนตะวันตกแห่งการเปิดเผย
เนื้อหาของการวิจัยของ CTS Labs จะสร้างหัวข้อข่าวไม่ว่าในกรณีใด ๆ แต่การเจาะลึกของการเปิดเผยนั้นขยายความด้วยความประหลาดใจ เห็นได้ชัดว่า AMD ให้เวลาตอบสนองน้อยกว่า 24 ชั่วโมงก่อนที่ CTS Labs จะเผยแพร่สู่สาธารณะ และ CTS Labs ยังไม่ได้เปิดเผยต่อสาธารณะด้วย รายละเอียดทางเทคนิคทั้งหมด แทนที่จะเลือกที่จะแบ่งปันเฉพาะกับ AMD, Microsoft, HP, Dell และบริษัทยักษ์ใหญ่อื่นๆ อีกหลายแห่ง บริษัท.
นักวิจัยด้านความปลอดภัยหลายคนร้องไห้ฟูมฟาย ข้อบกพร่องส่วนใหญ่จะถูกเปิดเผยแก่บริษัทต่างๆ ก่อนหน้านี้ ควบคู่ไปกับกรอบเวลาในการตอบสนอง ตัวอย่างเช่น Meltdown และ Spectre ได้รับการเปิดเผยต่อ Intel, AMD และ ARM เมื่อวันที่ 1 มิถุนายน 2017 โดย โครงการศูนย์ของ Google ทีม. กรอบเวลา 90 วันเริ่มต้นในการแก้ไขปัญหาได้ขยายออกไปเป็น 180 วันในภายหลัง แต่สิ้นสุดลงก่อนกำหนดเมื่อ Register เผยแพร่เรื่องราวเริ่มต้น เกี่ยวกับข้อบกพร่องของโปรเซสเซอร์ของ Intel การตัดสินใจของ CTS Labs ที่จะไม่เสนอการเปิดเผยข้อมูลก่อนหน้านี้ทำให้เกิดการคาดเดาว่ามีข้อมูลอื่น แรงจูงใจที่เป็นอันตรายมากขึ้น.
ภาพรวมข้อบกพร่องของ AMD
CTS Labs ปกป้องตัวเอง ในจดหมายจาก Ilia Luk-Zilbermanซึ่งเป็น CTO ของบริษัท ซึ่งเผยแพร่บนเว็บไซต์ AMDflaws.com Luk-Zilberman แย้งกับแนวคิดเรื่องการเปิดเผยข้อมูลก่อนหน้านี้ โดยกล่าวว่า "ขึ้นอยู่กับผู้ขายหากต้องการแจ้งเตือน ลูกค้าว่ามีปัญหา” นั่นเป็นเหตุผลที่คุณไม่ค่อยได้ยินเกี่ยวกับข้อบกพร่องด้านความปลอดภัยจนกว่าจะถึงเดือนหลังจากนั้น ถูกเปิดเผย
ที่แย่กว่านั้นคือ Luk-Zilberman กล่าว มันบังคับให้นักวิจัยและบริษัทต้องเล่นเกมเสี่ยงตาย บริษัทอาจไม่ตอบสนอง หากเป็นเช่นนั้น ผู้วิจัยต้องเผชิญกับทางเลือกที่เลวร้าย เงียบไว้และหวังว่าจะไม่มีใครพบข้อบกพร่องนี้อีก หรือเปิดเผยต่อสาธารณะพร้อมรายละเอียดของข้อบกพร่องที่ไม่มีแพตช์ ความร่วมมือคือเป้าหมาย แต่เดิมพันสำหรับทั้งนักวิจัยและบริษัทส่งเสริมการป้องกัน คำถามว่าอะไรคือสิ่งที่เหมาะสม ความเป็นมืออาชีพ และจริยธรรม มักจะพังทลายลงไปสู่ลัทธิชนเผ่าเล็กๆ
ด้านล่างอยู่ที่ไหน?
ไม่มีมาตรฐานอุตสาหกรรมสำหรับการเปิดเผยข้อบกพร่อง และความวุ่นวายก็ครอบงำ แม้แต่ผู้ที่เชื่อในการเปิดเผยข้อมูลก็ไม่เห็นด้วยกับรายละเอียด เช่น ระยะเวลาที่บริษัทควรตอบกลับ การขาดข้อตกลงหมายความว่าไม่มีทางรู้ได้ว่าข้อบกพร่องสำคัญครั้งต่อไปจะถูกเปิดเผยเมื่อใด จะมาจากใคร หรือจะรายงานอย่างไร
มันเหมือนกับการรัดเสื้อชูชีพในขณะที่เรือจมลงไปในน้ำเย็นจัด แน่นอนว่าเสื้อกั๊กเป็นความคิดที่ดี แต่ก็ไม่เพียงพอที่จะช่วยคุณอีกต่อไป
การรักษาความปลอดภัยทางไซเบอร์เป็นเรื่องยุ่งเหยิง และมันก็เป็นปัญหาที่ส่งผลกระทบกับเราแต่ละคน ในขณะที่น่าตกใจ ข้อบกพร่องใหม่ในโปรเซสเซอร์ AMD เช่น Meltdown, Spectre, Heartbleed และอื่นๆ อีกมากมายก่อนหน้านี้ จะถูกลืมในไม่ช้า พวกเขา ต้อง ถูกลืม
ท้ายที่สุดแล้ว เรามีทางเลือกอะไรอีกบ้าง? คอมพิวเตอร์และสมาร์ทโฟนเป็นสิ่งจำเป็นสำหรับการมีส่วนร่วมในสังคมยุคใหม่ แม้แต่ผู้ที่ไม่ได้เป็นเจ้าของก็ต้องใช้บริการที่พึ่งพาพวกเขา
เห็นได้ชัดว่าซอฟต์แวร์และฮาร์ดแวร์ทุกชิ้นที่เราใช้เต็มไปด้วยข้อบกพร่องร้ายแรง ถึงกระนั้น เว้นแต่คุณจะตัดสินใจละทิ้งสังคมและสร้างกระท่อมในป่า คุณต้องใช้มัน
โดยปกติแล้ว ฉันอยากให้คอลัมน์นี้จบด้วยคำแนะนำที่เป็นประโยชน์ ใช้รหัสผ่านที่รัดกุม. อย่าคลิกลิงก์ที่สัญญาว่าจะให้ iPad ฟรี เรื่องแบบนั้น คำแนะนำดังกล่าวยังคงเป็นจริง แต่ให้ความรู้สึกเหมือนกำลังสวมเสื้อชูชีพขณะเรือจมในน่านน้ำอาร์กติกที่หนาวเย็น แน่นอน. เสื้อชูชีพเป็นความคิดที่ดี คุณจะปลอดภัยกว่าถ้าไม่มี — แต่ก็ไม่เพียงพอที่จะช่วยคุณอีกต่อไป
คำแนะนำของบรรณาธิการ
- AMD Ryzen Master มีข้อบกพร่องที่ทำให้ผู้อื่นสามารถควบคุมพีซีของคุณได้อย่างเต็มที่
- AMD เพิ่งรั่วไหลซีพียู Ryzen 7000 ที่กำลังจะมาถึงสี่ตัว
- AMD เพิ่งชนะสงครามหลักและยังคงมีไพ่เด็ดอยู่
