Все, що оточує ці нові аргументи з безпеки AMD, нагадує Hit Job
Раніше сьогодні ми покрили новини про те, що раніше невідома дослідницька компанія з безпеки, CTS-Labs, звинувачувала AMD в 13 серйозних недоліках безпеки у своїх продуктах. Якщо існують ці недоліки безпеки, це надзвичайно важливо, щоб AMD негайно впоралася з ними. Ніщо про їх походження та процес, за допомогою якого вони передавалися в пресі, змінюють це. Але ми не змогли б стверджувати, що ми не помітили сумнівів щодо того, як їх було повідомлено. Дослідники з питань безпеки також підвищують тривогу щодо деяких надзвичайно сумнівних розкриттів та формування основних проблем.
За допомогою Spectre and Meltdown, рання розкриття розлила квасолі близько тижня раніше, ніж Intel, AMD, ARM, і Google колективно планував. Всі компанії, про які йшлося, мали інформацію про Spectre і Meltdown з червня (тобто протягом декількох місяців) і працювали над виправленнями протягом цього часу. Фактично компанія Google надала різним апаратним компаніям прострочений термін, щоб отримати виправлення перед тим, як виявити наявність помилок. Це стандартна процедура операції з розкриття інформації про безпеку; постачальникам, як правило, надається принаймні 90-денний вікно для реалізації рішень. Але в цьому випадку AMD було повідомлено на наступний день перед розголошенням ізраїльської фірми CTS-Labs.
CTS-Labs найняла PR-компанію для обробки запитів преси, а її веб-сайт, AMDFlaws.com, не точно відповідає типовій методології розкриття інформації. Фактично, текст сайту абсолютно капає з боязнь, з цитатами, як:
У розділі "Як довго до виправлення доступно?" На сайті зазначено:
Якщо ви хочете дізнатися, скільки часу це потрібно зробити, щоб виправити помилку безпеки, ви, як правило, запитаєте компанію, про яку йшлося, після того, як повідомили, що знайшли її. Це просто не так, як дослідники безпеки розкривають недоліки продукту. Порівняйте мову, наведену вище, з власною роботою Google на Meltdown і Spectre, де він детально описує, як працюють атаки, посилання на фактичні, офіційні білі газети, які докладно показують, як ці атаки працюють, а потім переходить до глибокого розбиття атак із зразками коду і приклади.
Веб-сайт CTS-Labs та білий папір повністю не мають цієї глибинної технічної дискусії, однак сайт містить досить інфографічні та візуальні малюнки, в яких містяться зображення продуктів AMD, які зазнають цих проблем. Це саме те, що ви могли б створити, якщо ви більше зацікавлені в запуску блискавки PR, а не на повідомлення про безпеку.
AMD було настільки мало уваги, він навіть не міг заявити, чи атаки дійсні чи ні. У заяві компанії йдеться: "На AMD, безпека є головним пріоритетом, і ми постійно працюємо над забезпеченням безпеки наших користувачів, оскільки виникають нові ризики. Ми вивчаємо цей звіт, який ми тільки що отримали, щоб зрозуміти методологію та заслугу висновків ".
Гарні фірми безпеки не ставлять під загрозу користувачів, запускаючи бездротові широкосмугові мережі проти компаній, коли проблеми з відповідною системою безпеки можуть зайняти місяці для вирішення. Гарні фірми безпеки не беруть участь у нестримному страху. Гарні фірми безпеки не використовують такі веб-сайти, як "AMDFlaws", щоб передавати технічну інформацію, навіть більше, ніж "IntelSecuritySucks", щоб повідомити про недоліки безпеки, пов'язані з Spectre, Meltdown або Intel Management Engine. Гарні фірми з безпеки не роблять висновків; вони передають інформацію та необхідний контекст.
Причина, чому хороші фірми безпеки не роблять це, це тому, що гарні фірми безпеки більше стурбовані пошуками та вирішенням проблем, ніж вони мають публічність. Коли Embedi виявив недавні недоліки в Intel Management Engine та F-Secure, які виявили проблеми в рамках технології Active Management технології, вони наголосили на чіткому та стислішому спілкуванні ситуації (допис блогу F-Secure має сенсорну гіперболу, але не наближається до того, що CTS -Лабс робить тут)
Ми не є єдиним сайтом, який слід помітити. На сайті CTS-Labs з'являється повідомлення про те, що він може мати фінансовий інтерес у компаніях, які він досліджує (shorting AMD - практично час проведення у фінансових колах). Інші дослідники безпеки абсолютно втратили інформацію про те, яким чином були отримані висновки, про можливі фінансові збитки та про те, як це було повідомлено.
Перше читання доповіді AMDFLAWS (відсутність справжніх технічних деталей) полягає в тому, що "надмірно збурене за рамки віри".
Це огляд, гідний ICO.
І так, це означає бути образою.
- Арріго Тройцзі (@cynicalsecurity) 13 березня 2018 року
Якщо ці недоліки безпеки реальні, AMD має багато роботи, щоб їх виправити. Це абсолютно заслуговує на критику за те, що в першу чергу їх не спіймають, і є принаймні один дослідник з питань безпеки, який побачив цей код і вважає, що справа є серйозною. Але навіть якщо результати CTS-Labs є справжніми, вони повідомляють їх у повній мірі, що суперечить кращим практикам у спільноті безпеки. Його спосіб і спосіб передачі своїх висновків набагато більше спільного з PR-фірмою, найнятою для того, щоб зробити хитову роботу конкурентом або компанією, яка хоче здійснити фінансове вбивство короткостроковими акціями, ніж авторитетні фірми з безпеки, які зацікавлені у створенні назви для себе . Виявлення 13 найважливіших недоліків у галузі безпеки у великому мікропроцесорі гарантувало, що всі новини будуть самі по собі.
Цілком можливо, що CTS-Labs - це порівняно нова компанія, що складається з дослідників, які вирішили дебютувати за допомогою сплесків та принесли кращі практики розкриття інформації про безпеку. Це також можливо це не так. Компанія не зробила жодної користі з цими шенаніганами.
Оновлення:
CTS-Labs визнала Reuters, що поділяє свої дослідження з компаніями, які платять за дані, і що це фірма з лише шістьма працівниками. Тим часом фірма Viceroy Research, фірма з коротким продажам, опублікувала 25-сторінковий "некролог" для AMD на підставі даних, за якими він заявляє, що AMD коштує 0,00 доларів, і вважає, що нікому не слід купувати AMD продукти на будь-якій основі з будь-якої причини . Також передбачається, що AMD буде змушений подати на банкрутство на підставі цього звіту.
Ми стоїмо на тому, що ми говорили щодо самих недоліків - ми будемо чекати, щоб почути від AMD про те, як це вибухає і які ризики, але фактична звітність про недоліки, здається, була зроблена глибоко недобросовісно та очей до збагачення особливого набору клієнтів. в найсильніших випадках викриває очевидний збій процесу розкриття інформації про недоліки безпеки.
Читати далі
NASA: Астероїд все ще міг потрапити на Землю в 2068 році
Цей астероїд розміром з хмарочос може все-таки потрапити на Землю в 2068 році, згідно з новим аналізом Гавайського університету та лабораторією реактивного руху НАСА.
Шукайте: Ви можете побачити всі планети в нашій Сонячній системі сьогодні ввечері
Ви, напевно, бачили схеми Сонячної системи, які розміщують планети в гарні впорядковані лінії, але правда полягає в тому, що вони часто знаходяться з іншого боку Сонця від Землі. Ми випадково переживаємо період, протягом якого всі планети видно. Ви просто повинні знати, де і коли шукати.
Запуск Xbox Series X - найбільший за всю історію Microsoft, що спричиняє сплеск трафіку провайдерів
Microsoft стверджує, що Xbox Series X є його найуспішнішим дебютом в історії, і конкретно закликає Xbox Series S за залучення нових гравців.
Рідкісна копія Super Mario Bros. 3 встановлює рекорд із аукціонним продажем в 156 000 доларів
Це робить його найдорожчою відеоігрою, коли-небудь проданою на аукціоні, перевершивши копію оригінального Super Mario Bros, який кілька місяців тому був проданий за 114 000 доларів.