Все, что окружает эти новые заявления о безопасности AMD Reeks of Hit Job

Все, что окружает эти новые заявления о безопасности AMD Reeks of Hit Job

Ранее сегодня мы рассказывали новости о том, что ранее неизвестная исследовательская фирма CTS-Labs обвинила AMD в 13 серьезных нарушениях безопасности в своих продуктах. Если эти недостатки безопасности существуют, критически важно, чтобы AMD немедленно с ними справилась. Ничто об их происхождении или о том, как они были переданы прессе, меняется. Но мы были бы упущены, если бы не отметили неуловимую природу того, как они были сообщены. Исследователи безопасности также поднимают тревогу по поводу некоторых подозрительных раскрытий и разработки основных вопросов.

С Spectre и Meltdown, раннее раскрытие пролило бобы примерно на неделю раньше, чем Intel, AMD, ARM и Google коллективно планировали. Все компании, о которых идет речь, были осведомлены о Spectre и Meltdown с июня (что означает, в течение нескольких месяцев) и в течение этого времени работали над исправлениями. Фактически, компания Google предоставила различным компаниям-аппаратам расширенный срок для получения исправлений, прежде чем раскрывать наличие ошибок. Это стандартная операционная процедура раскрытия информации о безопасности; поставщикам обычно предоставляется по крайней мере 90-дневное окно для реализации решений. Но в этом случае AMD была уведомлена за день до раскрытия израильской фирмой CTS-Labs.

CTS-Labs наняла PR-фирму для обработки запросов прессы, а ее веб-сайт AMDFlaws.com точно не соответствует типичной методологии раскрытия информации. Фактически, текст сайта абсолютно капает с scareism, с цитатами вроде:

Spectre влияет на каждый процессор Intel, выпускаемый более двух десятилетий, но Google удалось избежать такого рода гиперболического claptrap, когда он раскрыл как это, так и Meltdown.
Spectre влияет на каждый процессор Intel, выпускаемый более двух десятилетий, но Google удалось избежать такого рода гиперболического claptrap, когда он раскрыл как это, так и Meltdown.

В разделе «Сколько времени будет доступно исправление?» На сайте указано:

Трудно оценить время разрешения, когда вы еще не разговаривали с компанией.
Трудно оценить время разрешения, когда вы еще не разговаривали с компанией.

Если вы хотите знать, сколько времени потребуется, чтобы исправить недостаток безопасности, вы обычно спрашиваете компанию, говоря о том, что вы ее нашли. Это не то, что исследователи безопасности раскрывают недостатки продукта. Сравните этот язык с собственными работами Google над Meltdown и Spectre, где подробно рассказывается о том, как работают атаки, ссылки на реальные официальные документы, в которых подробно описываются действия этих атак, а затем идет в углубленное разбиение атак с образцами кода и примеры.

Веб-сайт CTS-Labs и технический документ полностью лишены этой глубокой технической дискуссии, но сайт наполнен довольно инфографикой и визуальными проектами, отражающими, какие продукты AMD подвержены этим проблемам. Это именно то, что вы могли бы создать, если бы вас больше интересовало запуск PR-блиц, а не уведомление о безопасности.

AMD получила такое небольшое уведомление, что даже не может утверждать, действуют ли атаки или нет. В заявлении компании говорится: «В AMD безопасность - это главный приоритет, и мы постоянно работаем над обеспечением безопасности наших пользователей по мере возникновения новых рисков. Мы расследуем этот отчет, который мы только что получили, чтобы понять методологию и достоинства результатов ».

Хорошие фирмы по безопасности не ставят пользователей под угрозу, запустив широкие возможности с нулевым днем ​​в отношении компаний, когда проблемы с безопасностью могут занять несколько месяцев. Хорошие охранные фирмы не занимаются безудержным scareism. Хорошие охранные фирмы не используют такие сайты, как «AMDFlaws», чтобы передавать техническую информацию, не более, чем использовать «IntelSecuritySucks» для связи с недостатками безопасности, связанными с Spectre, Meltdown или Intel Management Engine. Хорошие фирмы безопасности не делают выводы; они передают информацию и необходимый контекст.

Причина, по которой хорошие охранные фирмы не делают этого, заключается в том, что хорошие фирмы безопасности больше заботятся о поиске и устранении проблем, чем в рекламе. Когда Embedi обнаружила последние недостатки в Intel Management Engine и F-Secure, обнаруженные проблемы в Intel Active Management Technology, они подчеркнули, что ситуация четко и лаконично конкретизирована (в блоге F-Secure есть гипербола, но не подходит к тому, что CTS -Labs здесь).

Мы не единственный сайт для заметок. На сайте CTS-Labs есть уведомление о том, что у него может быть финансовая заинтересованность в компаниях, которые он расследует (сокращение акций AMD - это практически времяпровождение в финансовых кругах). Другие исследователи безопасности совершенно разгромили способ, которым были получены данные, вероятные финансовые запутывания и способ передачи краткого сообщения.

Первое чтение технического документа AMDFLAWS (никаких реальных технических данных): «чрезмерно раздутый».

Это документ, достойный ICO.

И да, это должно быть оскорблением.

- Arrigo Triulzi (@cynicalsecurity) 13 марта 2018 года

Если эти недостатки безопасности реальны, AMD имеет много работы, чтобы их исправить. Он абсолютно заслуживает критики за то, что не смог их поймать, и есть, по крайней мере, один исследователь безопасности, который видел этот код и считает, что этот вопрос является серьезным. Но даже если выводы CTS-Labs являются подлинными, они сообщают о них таким образом, который полностью противоречит лучшим практикам сообщества безопасности. Его способ и способ передачи своих результатов имеют гораздо больше общего с PR-фирмой, нанятой для работы на конкуренте или компанией, стремящейся совершить финансовое убийство, за счет сокращения акций, чем авторитетная фирма по безопасности, заинтересованная в создании имени для себя , Обнаружение 13 основных недостатков безопасности в крупном микропроцессоре гарантировало, что все новости станут доступны сами по себе.

Вполне возможно, что CTS-Labs является относительно новой компанией, состоящей из исследователей, которые решили дебютировать с всплеском и пожертвовали лучшими практиками раскрытия информации о безопасности для этого. Возможно, это и не так. Компания не оказывала никакой пользы этим махинациям.

Обновить:

CTS-Labs признала Reuters, что она делится своими исследованиями с компаниями, которые платят за данные, и что это фирма с шестью сотрудниками. Тем временем Viceroy Research, фирма с короткими продавцами, опубликовала 25-страничный «некролог» для AMD на основе этих данных, в которых заявляет, что AMD стоит $ 0,00, и полагает, что никто не должен покупать продукты AMD на любой основе, по какой-либо причине , Он также прогнозирует, что AMD будет вынуждена подать заявление о банкротстве на основе этого «отчета».

Мы согласны с тем, что мы говорили о самих недостатках - мы будем ждать, чтобы услышать от AMD, как это дрожит и каковы риски, - но фактическое сообщение о недостатках, по-видимому, было сделано с глубокой недобросовестностью и с глазом в целях обогащения очень конкретного набора клиентов. денонсирует в максимально возможной степени очевидное извращение этой схемы процесса раскрытия секретности безопасности.

Читать далее

Боинг 737 Crash, вызванный новой системой безопасности Пилоты не были заявлены

Катастрофа «Lion Air 610» от 29 октября, в результате которой погибли 189 человек, вероятно, была вызвана тем, что Boeing не сообщил пилотам о критических изменениях возможностей 737 MAX по борьбе с остановкой.