Білл Роберсон/Цифрові тенденції
(в) Безпечний це щотижнева колонка, яка занурюється в тему кібербезпеки, яка швидко загострюється.
Рекомендовані відео
У вівторок, 13 березня, охоронна фірма CTS Labs оголосив про виявлення 13 недоліків у процесорах AMD Ryzen і Epyc. Проблеми охоплюють чотири класи вразливостей, які включають кілька основних проблем, таких як апаратний бекдор в Чіпсет Ryzen і недоліки, які можуть повністю скомпрометувати AMD Secure Processor, чіп, який повинен діяти як “безпечний світ», де конфіденційні завдання можуть бути подалі від зловмисного програмного забезпечення.
Відсутність згоди означає, що немає способу дізнатися, коли буде виявлено наступний недолік, від кого він походить або як про нього буде повідомлено.
Це відкриття сталося лише через кілька місяців після відкриття the Meltdown і Spectre недоліки, які вплинули на мікросхеми AMD, Intel, Qualcomm та інших. AMD, чиї чіпи були скомпрометовані деякими недоліками Spectre, вийшла з фіаско відносно неушкодженою. Ентузіасти зосередили свій гнів на Intel. Хоча а
декілька групових позовів були подані проти AMD, вони ніщо в порівнянні з купа юристів проти Intel. У порівнянні з Intel, AMD здавалася розумним і безпечним вибором.Це зробило оголошення про недоліки в апаратному забезпеченні AMD ще більш вибуховим. Шторм у Твіттері спалахнув, коли дослідники безпеки та ентузіасти ПК сперечалися про достовірність висновків. Тим не менш, інформація, надана CTS Labs, була незалежно перевірена іншою фірмою, Стежка бітів, заснована в 2012 році. Про серйозність проблем можна сперечатися, але вони існують і ставлять під загрозу те, що деякі користувачі ПК вважали останньою безпечною гаванню.
Дикий захід розкриття
Вміст дослідження CTS Labs у будь-якому разі мав би стати причиною заголовків, але вражаючість відкриття посилилася його несподіванкою. Очевидно, AMD мала менше 24 годин для відповіді, перш ніж CTS Labs стала публічною, а CTS Labs не стала публічною з усі технічні деталі, замість того, щоб поділитися ними лише з AMD, Microsoft, HP, Dell та кількома іншими великими компаній.
Багато дослідників безпеки кричали про лайку. Більшість недоліків повідомляється компаніям раніше разом із часовими рамками для реагування. Meltdown і Spectre, наприклад, були розкриті Intel, AMD і ARM 1 червня 2017 року. Google Project Zero команда. Початкове 90-денне вікно для вирішення проблем пізніше було продовжено до 180 днів, але закінчилося раніше запланованого часу, коли Реєстр опублікував свою першу історію на недолік процесора Intel. Рішення CTS Labs не надавати попереднє розголошення викликало припущення, що у нього є ще один, більш злий мотив.
Огляд недоліків AMD
CTS Labs захистилася у листі Іллі Лук-Зільбермана, технічного директора компанії, опублікований на сайті AMDflaws.com. Люк-Зільберман не погоджується з концепцією попереднього розкриття інформації, кажучи, що «продавець вирішує, чи хоче він попередити клієнтів, що є проблема». Ось чому ви рідко чуєте про недоліки безпеки до того, як вони з’являться через кілька місяців непокритий.
Що ще гірше, каже Лук-Зільберман, це змушує дослідника і компанію грати на межі. Компанія може не відповісти. Якщо це станеться, дослідник стикається з похмурим вибором; мовчіть і сподівайтеся, що ніхто інший не знайде недолік, або оприлюднить подробиці недоліку, для якого немає доступного виправлення. Метою є співпраця, але ставки як для дослідника, так і для компанії спонукають до оборони. Питання про те, що є правильним, професійним і етичним, часто перетворюється на дрібний трайбалізм.
Де дно?
Галузевого стандарту для розкриття вади не існує, а за його відсутності панує хаос. Навіть ті, хто вірить у розкриття інформації, не погоджуються з деталями, як-от про те, скільки часу компанії потрібно дати на відповідь. Відсутність згоди означає, що немає способу дізнатися, коли буде виявлено наступний великий недолік, від кого він виникне або як про нього буде повідомлено.
Це як одягнути рятувальний жилет, коли корабель тоне в холодних водах. Звісно, жилет — гарна ідея, але цього вже недостатньо, щоб врятувати вас.
Кібербезпека – це безлад, і це безлад, який вплинув на кожного з нас. Незважаючи на тривогу, нові недоліки в процесорах AMD — такі як Meltdown, Spectre, Heartbleed і багато інших — незабаром будуть забуті. Вони повинен бути забутим.
Зрештою, який у нас інший вибір? Комп’ютери та смартфони стали обов’язковими для участі в сучасному суспільстві. Навіть ті, хто ними не володіє, повинні користуватися послугами, які покладаються на них.
Кожна частина програмного та апаратного забезпечення, яку ми використовуємо, очевидно, пронизана критичними недоліками. Незважаючи на це, якщо ви не вирішите покинути суспільство та побудувати хатину в лісі, ви повинні використовувати їх.
Як правило, я хотів би закінчити цю колонку практичними порадами. Використовуйте надійні паролі. Не натискайте на посилання, які обіцяють безкоштовні iPad. Такі речі. Така порада залишається вірною, але таке відчуття, ніби одягаєш рятувальний жилет, коли корабель тоне в холодних арктичних водах. звичайно Рятувальний жилет – гарна ідея. Ви в безпеці з ним, ніж без нього, але цього вже недостатньо, щоб врятувати вас.
Рекомендації редакції
- У AMD Ryzen Master є помилка, через яку хтось може отримати повний контроль над вашим ПК
- AMD щойно опублікувала інформацію про чотири власних майбутніх процесори Ryzen 7000
- AMD щойно виграла війну за ядро, і в неї все ще є козир у рукаві
