Все, що оточує ці нові аргументи з безпеки AMD, нагадує Hit Job

Все, що оточує ці нові аргументи з безпеки AMD, нагадує Hit Job

Раніше сьогодні ми покрили новини про те, що раніше невідома дослідницька компанія з безпеки, CTS-Labs, звинувачувала AMD в 13 серйозних недоліках безпеки у своїх продуктах. Якщо існують ці недоліки безпеки, це надзвичайно важливо, щоб AMD негайно впоралася з ними. Ніщо про їх походження та процес, за допомогою якого вони передавалися в пресі, змінюють це. Але ми не змогли б стверджувати, що ми не помітили сумнівів щодо того, як їх було повідомлено. Дослідники з питань безпеки також підвищують тривогу щодо деяких надзвичайно сумнівних розкриттів та формування основних проблем.

За допомогою Spectre and Meltdown, рання розкриття розлила квасолі близько тижня раніше, ніж Intel, AMD, ARM, і Google колективно планував. Всі компанії, про які йшлося, мали інформацію про Spectre і Meltdown з червня (тобто протягом декількох місяців) і працювали над виправленнями протягом цього часу. Фактично компанія Google надала різним апаратним компаніям прострочений термін, щоб отримати виправлення перед тим, як виявити наявність помилок. Це стандартна процедура операції з розкриття інформації про безпеку; постачальникам, як правило, надається принаймні 90-денний вікно для реалізації рішень. Але в цьому випадку AMD було повідомлено на наступний день перед розголошенням ізраїльської фірми CTS-Labs.

CTS-Labs найняла PR-компанію для обробки запитів преси, а її веб-сайт, AMDFlaws.com, не точно відповідає типовій методології розкриття інформації. Фактично, текст сайту абсолютно капає з боязнь, з цитатами, як:

Spectre впливає на кожен процесор Intel, виготовлений протягом більше двох десятиліть, але Google вдалося уникнути такого роду гіперболічного клапана, коли він розкрив і це, і Meltdown.
Spectre впливає на кожен процесор Intel, виготовлений протягом більше двох десятиліть, але Google вдалося уникнути такого роду гіперболічного клапана, коли він розкрив і це, і Meltdown.

У розділі "Як довго до виправлення доступно?" На сайті зазначено:

Важко оцінити час до вирішення, навіть якщо ви ще не говорили з компанією.
Важко оцінити час до вирішення, навіть якщо ви ще не говорили з компанією.

Якщо ви хочете дізнатися, скільки часу це потрібно зробити, щоб виправити помилку безпеки, ви, як правило, запитаєте компанію, про яку йшлося, після того, як повідомили, що знайшли її. Це просто не так, як дослідники безпеки розкривають недоліки продукту. Порівняйте мову, наведену вище, з власною роботою Google на Meltdown і Spectre, де він детально описує, як працюють атаки, посилання на фактичні, офіційні білі газети, які докладно показують, як ці атаки працюють, а потім переходить до глибокого розбиття атак із зразками коду і приклади.

Веб-сайт CTS-Labs та білий папір повністю не мають цієї глибинної технічної дискусії, однак сайт містить досить інфографічні та візуальні малюнки, в яких містяться зображення продуктів AMD, які зазнають цих проблем. Це саме те, що ви могли б створити, якщо ви більше зацікавлені в запуску блискавки PR, а не на повідомлення про безпеку.

AMD було настільки мало уваги, він навіть не міг заявити, чи атаки дійсні чи ні. У заяві компанії йдеться: "На AMD, безпека є головним пріоритетом, і ми постійно працюємо над забезпеченням безпеки наших користувачів, оскільки виникають нові ризики. Ми вивчаємо цей звіт, який ми тільки що отримали, щоб зрозуміти методологію та заслугу висновків ".

Гарні фірми безпеки не ставлять під загрозу користувачів, запускаючи бездротові широкосмугові мережі проти компаній, коли проблеми з відповідною системою безпеки можуть зайняти місяці для вирішення. Гарні фірми безпеки не беруть участь у нестримному страху. Гарні фірми безпеки не використовують такі веб-сайти, як "AMDFlaws", щоб передавати технічну інформацію, навіть більше, ніж "IntelSecuritySucks", щоб повідомити про недоліки безпеки, пов'язані з Spectre, Meltdown або Intel Management Engine. Гарні фірми з безпеки не роблять висновків; вони передають інформацію та необхідний контекст.

Причина, чому хороші фірми безпеки не роблять це, це тому, що гарні фірми безпеки більше стурбовані пошуками та вирішенням проблем, ніж вони мають публічність. Коли Embedi виявив недавні недоліки в Intel Management Engine та F-Secure, які виявили проблеми в рамках технології Active Management технології, вони наголосили на чіткому та стислішому спілкуванні ситуації (допис блогу F-Secure має сенсорну гіперболу, але не наближається до того, що CTS -Лабс робить тут)

Ми не є єдиним сайтом, який слід помітити. На сайті CTS-Labs з'являється повідомлення про те, що він може мати фінансовий інтерес у компаніях, які він досліджує (shorting AMD - практично час проведення у фінансових колах). Інші дослідники безпеки абсолютно втратили інформацію про те, яким чином були отримані висновки, про можливі фінансові збитки та про те, як це було повідомлено.

Перше читання доповіді AMDFLAWS (відсутність справжніх технічних деталей) полягає в тому, що "надмірно збурене за рамки віри".

Це огляд, гідний ICO.

І так, це означає бути образою.

- Арріго Тройцзі (@cynicalsecurity) 13 березня 2018 року

Якщо ці недоліки безпеки реальні, AMD має багато роботи, щоб їх виправити. Це абсолютно заслуговує на критику за те, що в першу чергу їх не спіймають, і є принаймні один дослідник з питань безпеки, який побачив цей код і вважає, що справа є серйозною. Але навіть якщо результати CTS-Labs є справжніми, вони повідомляють їх у повній мірі, що суперечить кращим практикам у спільноті безпеки. Його спосіб і спосіб передачі своїх висновків набагато більше спільного з PR-фірмою, найнятою для того, щоб зробити хитову роботу конкурентом або компанією, яка хоче здійснити фінансове вбивство короткостроковими акціями, ніж авторитетні фірми з безпеки, які зацікавлені у створенні назви для себе . Виявлення 13 найважливіших недоліків у галузі безпеки у великому мікропроцесорі гарантувало, що всі новини будуть самі по собі.

Цілком можливо, що CTS-Labs - це порівняно нова компанія, що складається з дослідників, які вирішили дебютувати за допомогою сплесків та принесли кращі практики розкриття інформації про безпеку. Це також можливо це не так. Компанія не зробила жодної користі з цими шенаніганами.

Оновлення:

CTS-Labs визнала Reuters, що поділяє свої дослідження з компаніями, які платять за дані, і що це фірма з лише шістьма працівниками. Тим часом фірма Viceroy Research, фірма з коротким продажам, опублікувала 25-сторінковий "некролог" для AMD на підставі даних, за якими він заявляє, що AMD коштує 0,00 доларів, і вважає, що нікому не слід купувати AMD продукти на будь-якій основі з будь-якої причини . Також передбачається, що AMD буде змушений подати на банкрутство на підставі цього звіту.

Ми стоїмо на тому, що ми говорили щодо самих недоліків - ми будемо чекати, щоб почути від AMD про те, як це вибухає і які ризики, але фактична звітність про недоліки, здається, була зроблена глибоко недобросовісно та очей до збагачення особливого набору клієнтів. в найсильніших випадках викриває очевидний збій процесу розкриття інформації про недоліки безпеки.

Читати далі

Nvidia виходить всередину на G-Sync з новими дисплеями "BFGD" з надвисоким кінцем

Nvidia поставляє деякі з найвидатніших екранів, які можуть бути продані в 2018 році, з 4K панелями, частотою оновлення 120 Гц, дисплеями з низьким рівнем затримки, інтегрованими Nvidia Shields та підтримкою 1000 ніт яскравості в HDR. Йовза

Патент Samsung показує телефон із камерою всередині дисплея

Apple знаменито наказали iPhone X, залишивши острівець рамки в середині екрану для передніх камер. Samsung подала патент, який пропонує потенційну альтернативу - смартфон з камерами та іншими сенсорами всередині дисплея.

Бо любов до Бога і всі речі святі, не вкушуйте акумулятор iPhone

Важко зрозуміти, коли ви купуєте оригінальну акумуляторну батарею, і коли ви можете отримати контрафактну або неякісну заміну. Купання в ньому є, насправді, найгіршим методом валідації, про який ми можемо думати.

Купівля попередньо встановленого ігрового ПК тепер розумніше, ніж побудова власного

Зі зростанням цін на компоненти, ви, насправді, зможете придбати попередньо розроблений ігровий комп'ютер, навіть якщо це не зовсім те, що ви хочете.