Bill Roberson/Dijital Trendler
(güvensiz hızla yükselen siber güvenlik konusunu ele alan haftalık bir köşe yazısıdır.
Önerilen Videolar
13 Mart Salı günü güvenlik firması CTS Labs 13 kusurun keşfedildiğini duyurdu AMD'nin Ryzen ve Epyc işlemcilerinde. Sorunlar, donanım arka kapısı gibi birkaç önemli sorunu içeren dört güvenlik açığı sınıfını kapsıyor. Ryzen'in yonga seti ve AMD'nin Güvenli İşlemcisini tamamen tehlikeye atabilecek kusurlar. “güvenli dünya” hassas görevlerin kötü amaçlı yazılımların erişiminden uzak tutulabileceği yer.
Anlaşmanın olmaması, bir sonraki kusurun ne zaman açığa çıkacağını, kimden geleceğini veya nasıl rapor edileceğini bilmenin hiçbir yolu olmadığı anlamına geliyor.
Bu açıklama, açıklanmasından sadece aylar sonra geliyor Meltdown ve Spectre AMD, Intel, Qualcomm ve diğerlerinin çiplerini etkileyen kusurlar. Çipleri bazı Spectre kusurları nedeniyle tehlikeye giren AMD, fiyaskodan nispeten zarar görmeden çıktı. Meraklılar öfkelerini Intel'e odakladılar. Gerçi bir
bir avuç toplu dava AMD'ye karşı dava açıldı, bunlarla karşılaştırıldığında hiçbir şey değiller. Intel'e karşı avukat yığınağı. Intel ile karşılaştırıldığında AMD akıllı ve güvenli bir seçim gibi görünüyordu.Bu, Salı günü AMD donanımındaki kusurlara ilişkin duyuruyu daha da patlayıcı hale getirdi. Güvenlik araştırmacıları ve PC meraklıları bulguların geçerliliği konusunda tartışırken Twitter fırtınaları patlak verdi. Yine de CTS Labs tarafından sağlanan bilgiler başka bir firma tarafından bağımsız olarak doğrulandı. Bitlerin Yolu2012 yılında kuruldu. Sorunların ciddiyeti tartışılabilir, ancak bunlar mevcut ve bazı PC kullanıcılarının son güvenli liman olarak gördüğü şeyden ödün veriyorlar.
Açıklamanın vahşi batısı
CTS Labs'ın araştırmasının içeriği her halükarda manşetlere konu olurdu, ancak ortaya çıkan sürpriz, ortaya çıkan etkiyi daha da artırdı. Görünüşe göre AMD'ye, CTS Labs halka açılmadan önce yanıt vermesi için 24 saatten az bir süre verilmişti ve CTS Labs, bu durumu halka açıklamadı. tüm teknik ayrıntıları yalnızca AMD, Microsoft, HP, Dell ve diğer birçok büyük şirketle paylaşmayı tercih etmek şirketler.
Birçok güvenlik araştırmacısı faul yaptı. Kusurların çoğu, yanıt vermeleri için bir zaman diliminin yanı sıra şirketlere daha önce açıklanır. Örneğin Meltdown ve Spectre, 1 Haziran 2017'de Intel, AMD ve ARM'e açıklandı. Google'ın Sıfır Projesi takım. Sorunları çözmek için başlangıçtaki 90 günlük süre daha sonra 180 güne uzatıldı, ancak planlanandan önce sona erdi. The Register ilk hikayesini yayınladı Intel'in işlemci kusuru hakkında. CTS Labs'ın önceden açıklama yapmama kararı, bir başkası olduğu yönünde spekülasyonlara neden oldu: daha kötü niyetli sebep.
AMD Kusurlarına Genel Bakış
CTS Labs kendini savundu Ilia Luk-Zilberman'ın bir mektubundaŞirketin CTO'su, AMDflaws.com web sitesinde yayınlandı. Luk-Zilberman, önceden açıklama kavramıyla ilgili sorunu ele alıyor ve şöyle diyor: "Tedarikçiyi uyarmak isteyip istemediğinin kararı satıcıya kalmış. Müşteriler bir sorun olduğunu söylüyorlar." Bu nedenle, bir güvenlik kusurunu, meydana gelmesinden aylar sonrasına kadar nadiren duyarsınız. ortaya çıkarıldı.
Daha da kötüsü, diyor Luk-Zilberman, bu durum araştırmacı ile şirket arasında bir korku oyununa neden oluyor. Şirket yanıt vermeyebilir. Böyle bir durumda araştırmacı zorlu bir seçimle karşı karşıya kalır; sessiz olun ve başka kimsenin kusuru bulmamasını umun veya mevcut yaması olmayan bir kusurun ayrıntılarını kamuoyuna duyurun. Amaç işbirliğidir, ancak hem araştırmacı hem de şirket için riskler savunmayı teşvik eder. Neyin uygun, profesyonel ve etik olduğu sorusu sıklıkla küçük kabileciliğe dönüşüyor.
Alt kısım nerede?
Bir kusurun ifşa edilmesine yönelik endüstri standardı mevcut değildir ve onun yokluğunda kaos hüküm sürer. Açıklamaya inananlar bile, bir şirkete yanıt vermesi için ne kadar süre tanınması gerektiği gibi ayrıntılar konusunda hemfikir değil. Anlaşmanın olmaması, bir sonraki büyük kusurun ne zaman ortaya çıkacağını, kimden geleceğini veya nasıl rapor edileceğini bilmenin hiçbir yolu olmadığı anlamına geliyor.
Bu, bir geminin soğuk sulara batması sırasında can yeleği takmak gibidir. Elbette yelek iyi bir fikir ama artık seni kurtarmaya yetmiyor.
Siber güvenlik bir karmaşadır ve her birimize zarar veren bir karmaşadır. Endişe verici olsa da, AMD işlemcilerindeki Meltdown, Spectre, Heartbleed ve daha birçokları gibi yeni kusurlar yakında unutulacak. Onlar mutlak unutulmak.
Sonuçta başka ne seçeneğimiz var? Modern topluma katılım için bilgisayarlar ve akıllı telefonlar zorunlu hale geldi. Onlara sahip olmayanlar bile onlara dayanan hizmetleri kullanmak zorundadır.
Görünüşe göre kullandığımız her yazılım ve donanım parçası kritik kusurlarla dolu. Yine de toplumu terk edip ormanda bir kulübe inşa etmeye karar vermediğiniz sürece bunları kullanmalısınız.
Normalde bu yazının pratik tavsiyelerle bitmesini isterim. Güçlü şifreler kullanın. Ücretsiz iPad vaat eden bağlantılara tıklamayın. Bu tür bir şey. Bu tür tavsiyeler geçerliliğini koruyor ancak bu, bir geminin soğuk arktik sularda batması sırasında can yeleği giymek gibi bir duygu. Elbette. Can yeleği iyi bir fikir. Onunlayken, olmadan olduğundan daha güvendesin ama artık seni kurtarmak için yeterli değil.
Editörlerin Önerileri
- AMD Ryzen Master'da birisinin PC'nizin tam kontrolünü ele geçirmesine izin verebilecek bir hata var
- AMD, yakında çıkacak olan Ryzen 7000 CPU'larından dördünü sızdırdı
- AMD çekirdek savaşları kazandı ve hala elinde bir koz var
