Люблю сноуборд и крипту

AMD кто-то подставляет? Как эксперты нашли уязвимости в чипах

AMD кто-то подставляет? Как эксперты нашли уязвимости в чипах
Фото: techcrunch.com

Недавно обнаруженные уязвимости в чипах AMD вызывали волну непонимания не столько из-за самого наличия проблем, а скорее из-за способа, которым они были раскрыты для общественности. Вы можете припомнить, чтобы про ошибку было отснято профессиональное видео и к ней поставлялся собственный PR-представитель, в то время как сама компания-производитель была предупреждена только за 24 часа до этого? Недостатки, вероятно, на самом деле существуют, но данный прецедент очень своеобразен и сомнителен.

Дефекты, о которых идет речь, были обнаружены израильской компанией CTS Labs, которая занимается исследованиями в области кибербезопасности. Каждому из дефектов присвоили свое яркое название: Ryzenfall, Masterkey, Fallout и Chimera, а также сделали для каждого соответствующий логотип и специальный веб-сайт с описанием.

Пока вроде ничего особенного: основные ошибки, такие как Heartbleed и, конечно, Meltdown и Spectre, тоже в свое время получили имена и логотипы.

Разница заключается лишь в том, что в тех случаях компании Intel, OpenSSL и AMD были заранее предупреждены о проблемах. И концепция "ответственного раскрытия" дала разработчикам возможность устранить проблемы, прежде чем они стали бы общедоступными.

Существует много мнений о том, насколько строго компании должны следить за обнаруженными проблемами, но в целом компании следуют этому правилу в целях защиты пользователей. В этом случае, однако, команда CTS Labs обнародовала дефекты AMD, не предупредив компанию заранее.

Уязвимости, обнаруженные командой CTS Labs, действительно существуют, хотя и требуют привилегий администратора для выполнения целого ряда действий, то есть использование их требует почти полного доступа к системе. Исследование описывает некоторые из них как бэкдоры, намеренно включенные в чипы тайваньской компанией ASmedia, которая сотрудничает со многими производителями по производству компонентов.

Уязвимость Ryzenfall (фото: techcrunch.com)
Уязвимость Ryzenfall (фото: techcrunch.com)

Из-за повышенных привилегий, ошибки не будут носить массовый характер, в отличие от Meltdown и Spectre, которые были связаны с проблемами на уровне обработки памяти и архитектуры. Новые уязвимости, конечно, тоже серьезны, но еще большее подозрение вызывает то, как их обнародовали.

Почему абсолютно нетехническое видео снято так профессионально с наложенным фоном? Почему нагнетается страх по поводу использования AMD в военных организациях? Почему ошибки не имеют номера CVE, что является стандартом для почти всех серьезных ошибок? Почему AMD дали так мало времени, чтобы ответить? Почему компании не дали шанс отложить выпуск, когда будут исправлены все проблемы? И имеет ли CTS прямой или косвенный экономический интерес в компрометации AMD? Ведь в данном случае идет речь не об обычном раскрытии информации.

Трудно усомниться, что против AMD ведется какая-то игра. Это не делает недостатки менее серьезными, но оставляет неприятный привкус.

AMD опубликовала заявление, в котором говорится:

Мы только что получили отчет, и тщательно проверяем его. Нам необходимо понять методологию и дать оценку представленным там выводам.

Действительно, это трудно сделать за один день.

И, как всегда бывает с серьезными ошибками, еще только предстоит проверить данные, оценить степень их серьезности, а также весь масштаб проблемы. Экспертам надо время, чтобы понять, как это отразится на индивидуальных пользователях и больших корпорациях, и принять соответствующие меры.

Один хлопок? Или же бурные овации? Хлопая больше или меньше, вы показываете, какой пост действительно чего-то стоит.
Natasha Che Люблю сноуборд и крипту
Комментарии