AMD ответила на требования к безопасности CTS Labs, резолюции

AMD ответила на требования к безопасности CTS Labs, резолюции

На прошлой неделе неизвестная ранее компания по безопасности, CTS Labs, опубликовала обвинения в разорванной бомбе об объявлении 13 критических недостатков безопасности, которые повлияли на процессоры AMD AMD и чипсеты AMD. Постепенно выяснилось, что процесс раскрытия информации был необычным, мягко говоря, и есть веские основания думать, что все дело было организовано фирмой, надеющейся быстро заработать доллар. AMD теперь откликнулась на первые результаты CTS Labs, выбив ноги из одной из защитных сил компании за свои собственные действия в этом процессе.

Все 13 недостатков, идентифицированных CTS Labs, требуют административного доступа к эксплойтам. Хотя этот факт не оправдывает какой-либо конкретной проблемы безопасности, он ставит проблемы в контекст - если у вас есть доступ администратора к системе, вы фактически можете скомпрометировать его с помощью любого количества атак. Затем AMD разбивает три основные семейства уязвимостей и предоставляет обновленную временную шкалу, когда исправления ожидаются на рынке.

AMD ответила на требования к безопасности CTS Labs, резолюции
AMD ответила на требования к безопасности CTS Labs, резолюции

CTS Labs удвоила свой аргумент в хронологическом порядке в интервью Anandtech, когда ее финансовый директор Ярон Лук-Зильберман сказал: «По моим оценкам, за много месяцев до того, как AMD сможет исправлять эти вещи. Если бы мы сказали им, скажем, «у вас, ребята, 30 дней / 90 дней, чтобы сделать это», я не думаю, что это очень важно ».

CTS, и был совершенно ошибочным в этом вопросе. Разумные люди могут не согласиться с тем, как следует обрабатывать раскрытие информации о безопасности или сколько времени, если таковые имеются, должны быть предоставлены производителю для устранения его проблем. В этом случае, однако, неспособность CTS Labs обсудить свои собственные выводы с AMD подрывает свои собственные заявленные причины для способа и характера его раскрытия. Для устранения этих проблем не потребуется «много месяцев», и они не ставят жизнь под угрозу - что было одним из других обоснований CTS Labs, почему он использовал язык, который он сделал в своем первоначальном раскрытии:

Здесь нет безрассудного преувеличения.
Здесь нет безрассудного преувеличения.

TrailofBits, который выполнил сторонний анализ и проверку найденных ошибок CTS, пишет:

Не существует непосредственной угрозы эксплуатации этих уязвимостей для большинства пользователей. Даже если бы все подробности были опубликованы сегодня, злоумышленникам необходимо будет вкладывать значительные усилия в развитие для создания инструментов атаки, которые используют эти уязвимости. Этот уровень усилий недоступен большинству злоумышленников ...

Эти типы уязвимостей не должны удивлять исследователей безопасности; аналогичные недостатки были обнаружены в других встроенных системах, которые пытались реализовать функции безопасности. Они являются результатом простых ошибок программирования, неясных границ безопасности и недостаточного тестирования безопасности.

Недостатки реальны, требуют обновлений, и их необходимо решать, но они не представляют собой катастрофический сбой безопасности. Они, конечно же, не представляют собой апокалипсис, заканчивающийся в компании, о том, что подозреваемый партнер по преступлениям CTS Labs, Viceroy Research, сказал, что они это сделали. Между тем, нет никаких признаков каких-либо усилий CTS Labs для решения проблем с бэкдорами и критических недостатков безопасности, испеченных на десятках миллионов материнских плат Intel, благодаря своим бортовым контроллерам Asmedia, даже несмотря на то, что ASM1042 и ASM1142 отправлены на продукты Intel за последние шесть лет ,

Плохая вера не оправдывает плохой безопасности

Все усилия CTS Labs, начинающие завершаться, похоже, были попыткой вооружить раскрытие информации о безопасности и нанести вред компании во имя зарабатывания денег для недобросовестных инвесторов. Это пример учебника о том, почему анализ безопасности и раскрытие информации необходимо тщательно обрабатывать. Но ничто из этого не меняет того факта, что эти проблемы безопасности не должны существовать в первую очередь.

Как AMD, так и Intel попросили пользователей компьютеров признать наличие реализаций безопасности черного ящика во имя повышенной безопасности. Intel имеет свой процессор управления Intel, у AMD есть процессор TrustZone. AMD использует ARM-решение с интегрированным процессором Cortex-A5, Intel использует собственный процессор Quark. Обе компании сопротивлялись вызовам для предоставления документации и / или открытого исходного кода для этих решений, и тем не менее безопасность обоих неоднократно находилась в поиске. По мере того, как устройства становятся более тесно интегрированными, а количество компонентов и блоков IP, интегрированных в SoCs, возрастает, все более важные производители следуют лучшим методам безопасности от начала до конца. У Intel и AMD больше работы в этом отношении.