Лаборатории CTS реагируют на утверждения о плохом веровании в отношении раскрытия информации о безопасности процессора AMD, выкапывает себя более глубокую дыру

Лаборатории CTS реагируют на утверждения о плохом веровании в отношении раскрытия информации о безопасности процессора AMD, выкапывает себя более глубокую дыру

Ранее на этой неделе в новостях о бомбах появилось 13 якобы критических недостатков безопасности в процессорах AMD. Хотя по крайней мере некоторые из недостатков, по-видимому, реальны на основе независимого подтверждения исследователей безопасности, способ и характер раскрытия подняли несколько бровей. Одновременно выпущенный отчет от фирмы, пытающейся сократить долю AMD, заставил все дело выглядеть особенно теневым, тем более, что фирма, о которой идет речь, Viceroy Research, провела почти идентичную атаку на немецкую компанию всего неделю назад. В этом случае Viceroy занял очень короткую позицию в немецкой компании ProSieben, а затем обвинил ее в сомнительных методах бухгалтерского учета. Теперь CTS Labs опубликовала письмо от своего собственного технического директора, Илья Лук Зилберман, предлагая объяснение своего собственного поведения.

Письмо можно разделить на два широких раздела: Претензии о том, как CTS Labs начали и продвигались путем расследования соответствующих недостатков безопасности, а также собственные взгляды Зильбермана на процесс раскрытия информации.

В первой части письма Зильберман утверждает, что его фирма начала изучать устройства Asmedia - чипы ASM1042, ASM1142, ASM1143, в частности - и это послужило отправной точкой для всеобъемлющего расследования общей практики безопасности AMD. На первый взгляд это имеет смысл. Это вопрос, знакомый всем, кто когда-либо работал в QA или пытался воспроизвести и охарактеризовать неожиданное поведение. Но поцарапайте поверхность, и обрамление Зильбермана начинает разваливаться.

Обложка вашего Asmedia

Совершенно справедливо характеризовать и тестировать недостатки чипсетов AMD. Но, как ясно показывает технический документ CTS Labs, те же чипы Asmedia, которые составляют чипсет AMD Promontory для процессоров Ryzen, поставляются на материнских платах, включая сотни моделей материнских плат Intel, по крайней мере, за последние шесть лет.

Asmedia ASM1042 и ASM1142 широко использовались на материнских платах Intel, но CTS Labs пренебрегает упоминанием этого факта в своем техническом документе или письме.
Asmedia ASM1042 и ASM1142 широко использовались на материнских платах Intel, но CTS Labs пренебрегает упоминанием этого факта в своем техническом документе или письме.

Зильберман молчаливо признает это, когда пишет:

[W] e начали исследование чипов ASMedia около года назад. После исследования в течение некоторого времени мы обнаружили, что внутри чипа есть бэкдоры производителя, которые дают вам полный контроль над чипами (ASM1042, ASM1142, ASM1143). Мы хотели публично разобраться с выводами, но потом увидели, что AMD внедрила свой чипсет в ASMedia. Поэтому мы решили проверить состояние AMD, мы купили компьютер Ryzen и причудливо использовали наш эксплойт PoC, и он просто работал из коробки.

Своими заявлениями CTS Labs проверили и разработали доказательство использования концепции для контроллеров Asmedia, прежде чем знали, что эти контроллеры были включены в чипсеты Ryzen. Где же находится сайт AsmediaFlaws.com? Где уведомление о том, чтобы сообщить покупателям материнской платы Intel, что чипы на своих материнских платах могут быть похожи на бэкдорд и злоупотреблять? Это не теоретическое; Я пишу эту статью из системы Ivy Bridge-E, работающей на материнской плате Asus X79-Deluxe с контроллером Asmedia 1042. В своем техническом документе CTS Labs описывает нарушителей Asmedia следующим образом:

По нашей оценке, эти контроллеры, которые обычно встречаются на материнских платах, изготовленных тайваньскими OEM-производителями, имеют нестандартную безопасность и не смягчают эксплуатацию. Они страдают от уязвимостей безопасности как в прошивке, так и в аппаратных средствах, что позволяет злоумышленникам запускать произвольный код внутри чипа или перепрограммировать чип постоянными вредоносными программами.

Если CTS Labs точно охарактеризовал эти недостатки, проблемы в контроллерах Asmedia влияют на миллионы материнских плат Intel во всем мире, которые возвращаются на шесть лет назад. В первые дни USB 3.0, до того, как Intel добавила собственную поддержку собственного чипсета, Asmedia была одним из самых распространенных сторонних поставщиков. Чипы, подобные ASM1142, по-прежнему используются на материнских платах Intel сегодня. Когда мы посмотрели на Newegg, почти каждая карта USB 3.0 PCI Express, которую мы обнаружили, использовала решение Asmedia - обычно ASM1042 или ASM1142.

Если эти недостатки Asmedia являются общими для Intel, AMD и автономных карт, пользователи Intel и пользователи карт расширения абсолютно должны быть уведомлены. Если они уникальны для пользователей AMD, CTS Labs необходимо объяснить, почему. Это не так. Опять же, когда исследователи безопасности описывают недостатки, они обычно описывают их по всему набору аппаратных средств, на которых они, как известно, происходят. В противном случае они, по крайней мере, признают использование этих сломанных решений в других контекстах. Лаборатории CTS не сделали ни того, ни другого.

Политика раскрытия информации

Защитник Zilberman дает AMD едва ли один день, чтобы ответить на проблемы, обнаруженные CTS Labs, утверждая, что лучше раскрывать широкие штрихи этой уязвимости немедленно и без предупреждения, потому что реклама заставляет продавца немедленно решать проблему. В течение многих лет это было предметом всеобщего раздора в отрасли безопасности. В то время как работа с поставщиками в течение определенного периода времени является отраслевой нормой, идея, которую исследователи безопасности должны публиковать немедленно и проклинать последствия, не уникальна для CTS Labs. Также существует баланс между раскрытием более технических деталей атаки, когда решения поставщика находятся либо на месте или будут прибывать в ближайшее время (под моделью сотрудничества), а описывать проблему только в самых неопределенных условиях, когда вы бросаете ее на рынок без (это то, что сделали CTS Labs).

Когда Зильберман ошибается, когда он обвиняет всю полноту ответа на раскрытие информации CTS Labs о решении компании не предоставлять техническое доказательство своих результатов. Он пишет, что его компания «платит эту цену за недоверие в последние 24 часа».

За исключением того, что на самом деле не произошло. Немногие авторитетные публикации подвергли сомнению существование самих недостатков, особенно когда Дэн Гвидо из TrailofBits заявил, что он подтвердил и подтвердил, что все 13 существуют.

Независимо от шумихи вокруг выпуска, ошибки реальны, точно описаны в их техническом отчете (который не является публичным афайком), и их код эксплойта работает.

- Дэн Гвидо (@dguido) 13 марта 2018 года

Пока мы все еще ждем, когда AMD или другая третьи стороны опубликуют более подробную информацию, ясно, что здесь есть настоящая проблема. Но вопрос, поднятый поведением CTS Labs, заключается не в том, есть ли недостатки в чипсетах AMD или процессорах Ryzen. Речь идет о том, были ли эти недостатки справедливо или точно охарактеризованы с учетом запугивания компании и еще один вопрос о том, была ли раскрыта информация и приурочена ли она как часть схемы, которая навредила цене акций AMD, в отличие от простой добросовестной безопасности раскрытие информации.

По этим вопросам Зильберман молчит.

Нет ничего незаконного в том, чтобы заплатить фирме по безопасности за исследование продукта или способ, которым CTS Labs раскрыла свои выводы. Но только потому, что что-то не является противозаконным, это не делает его хорошей идеей - и мы можем думать о немногих идеях, которые хуже, чем короткие продавцы и охранные фирмы, объединившиеся для раскрытия информации. Письмо Зильбермана, возможно, предназначалось для очистки воздуха, но оно только ставит больше вопросов о характере выводов компании и ее разработке ее работы.