Все, що оточує ці нові аргументи з безпеки AMD, нагадує Hit Job

Все, що оточує ці нові аргументи з безпеки AMD, нагадує Hit Job

Раніше сьогодні ми покрили новини про те, що раніше невідома дослідницька компанія з безпеки, CTS-Labs, звинувачувала AMD в 13 серйозних недоліках безпеки у своїх продуктах. Якщо існують ці недоліки безпеки, це надзвичайно важливо, щоб AMD негайно впоралася з ними. Ніщо про їх походження та процес, за допомогою якого вони передавалися в пресі, змінюють це. Але ми не змогли б стверджувати, що ми не помітили сумнівів щодо того, як їх було повідомлено. Дослідники з питань безпеки також підвищують тривогу щодо деяких надзвичайно сумнівних розкриттів та формування основних проблем.

За допомогою Spectre and Meltdown, рання розкриття розлила квасолі близько тижня раніше, ніж Intel, AMD, ARM, і Google колективно планував. Всі компанії, про які йшлося, мали інформацію про Spectre і Meltdown з червня (тобто протягом декількох місяців) і працювали над виправленнями протягом цього часу. Фактично компанія Google надала різним апаратним компаніям прострочений термін, щоб отримати виправлення перед тим, як виявити наявність помилок. Це стандартна процедура операції з розкриття інформації про безпеку; постачальникам, як правило, надається принаймні 90-денний вікно для реалізації рішень. Але в цьому випадку AMD було повідомлено на наступний день перед розголошенням ізраїльської фірми CTS-Labs.

CTS-Labs найняла PR-компанію для обробки запитів преси, а її веб-сайт, AMDFlaws.com, не точно відповідає типовій методології розкриття інформації. Фактично, текст сайту абсолютно капає з боязнь, з цитатами, як:

Spectre впливає на кожен процесор Intel, виготовлений протягом більше двох десятиліть, але Google вдалося уникнути такого роду гіперболічного клапана, коли він розкрив і це, і Meltdown.
Spectre впливає на кожен процесор Intel, виготовлений протягом більше двох десятиліть, але Google вдалося уникнути такого роду гіперболічного клапана, коли він розкрив і це, і Meltdown.

У розділі "Як довго до виправлення доступно?" На сайті зазначено:

Важко оцінити час до вирішення, навіть якщо ви ще не говорили з компанією.
Важко оцінити час до вирішення, навіть якщо ви ще не говорили з компанією.

Якщо ви хочете дізнатися, скільки часу це потрібно зробити, щоб виправити помилку безпеки, ви, як правило, запитаєте компанію, про яку йшлося, після того, як повідомили, що знайшли її. Це просто не так, як дослідники безпеки розкривають недоліки продукту. Порівняйте мову, наведену вище, з власною роботою Google на Meltdown і Spectre, де він детально описує, як працюють атаки, посилання на фактичні, офіційні білі газети, які докладно показують, як ці атаки працюють, а потім переходить до глибокого розбиття атак із зразками коду і приклади.

Веб-сайт CTS-Labs та білий папір повністю не мають цієї глибинної технічної дискусії, однак сайт містить досить інфографічні та візуальні малюнки, в яких містяться зображення продуктів AMD, які зазнають цих проблем. Це саме те, що ви могли б створити, якщо ви більше зацікавлені в запуску блискавки PR, а не на повідомлення про безпеку.

AMD було настільки мало уваги, він навіть не міг заявити, чи атаки дійсні чи ні. У заяві компанії йдеться: "На AMD, безпека є головним пріоритетом, і ми постійно працюємо над забезпеченням безпеки наших користувачів, оскільки виникають нові ризики. Ми вивчаємо цей звіт, який ми тільки що отримали, щоб зрозуміти методологію та заслугу висновків ".

Гарні фірми безпеки не ставлять під загрозу користувачів, запускаючи бездротові широкосмугові мережі проти компаній, коли проблеми з відповідною системою безпеки можуть зайняти місяці для вирішення. Гарні фірми безпеки не беруть участь у нестримному страху. Гарні фірми безпеки не використовують такі веб-сайти, як "AMDFlaws", щоб передавати технічну інформацію, навіть більше, ніж "IntelSecuritySucks", щоб повідомити про недоліки безпеки, пов'язані з Spectre, Meltdown або Intel Management Engine. Гарні фірми з безпеки не роблять висновків; вони передають інформацію та необхідний контекст.

Причина, чому хороші фірми безпеки не роблять це, це тому, що гарні фірми безпеки більше стурбовані пошуками та вирішенням проблем, ніж вони мають публічність. Коли Embedi виявив недавні недоліки в Intel Management Engine та F-Secure, які виявили проблеми в рамках технології Active Management технології, вони наголосили на чіткому та стислішому спілкуванні ситуації (допис блогу F-Secure має сенсорну гіперболу, але не наближається до того, що CTS -Лабс робить тут)

Ми не є єдиним сайтом, який слід помітити. На сайті CTS-Labs з'являється повідомлення про те, що він може мати фінансовий інтерес у компаніях, які він досліджує (shorting AMD - практично час проведення у фінансових колах). Інші дослідники безпеки абсолютно втратили інформацію про те, яким чином були отримані висновки, про можливі фінансові збитки та про те, як це було повідомлено.

Перше читання доповіді AMDFLAWS (відсутність справжніх технічних деталей) полягає в тому, що "надмірно збурене за рамки віри".

Це огляд, гідний ICO.

І так, це означає бути образою.

- Арріго Тройцзі (@cynicalsecurity) 13 березня 2018 року

Якщо ці недоліки безпеки реальні, AMD має багато роботи, щоб їх виправити. Це абсолютно заслуговує на критику за те, що в першу чергу їх не спіймають, і є принаймні один дослідник з питань безпеки, який побачив цей код і вважає, що справа є серйозною. Але навіть якщо результати CTS-Labs є справжніми, вони повідомляють їх у повній мірі, що суперечить кращим практикам у спільноті безпеки. Його спосіб і спосіб передачі своїх висновків набагато більше спільного з PR-фірмою, найнятою для того, щоб зробити хитову роботу конкурентом або компанією, яка хоче здійснити фінансове вбивство короткостроковими акціями, ніж авторитетні фірми з безпеки, які зацікавлені у створенні назви для себе . Виявлення 13 найважливіших недоліків у галузі безпеки у великому мікропроцесорі гарантувало, що всі новини будуть самі по собі.

Цілком можливо, що CTS-Labs - це порівняно нова компанія, що складається з дослідників, які вирішили дебютувати за допомогою сплесків та принесли кращі практики розкриття інформації про безпеку. Це також можливо це не так. Компанія не зробила жодної користі з цими шенаніганами.

Оновлення:

CTS-Labs визнала Reuters, що поділяє свої дослідження з компаніями, які платять за дані, і що це фірма з лише шістьма працівниками. Тим часом фірма Viceroy Research, фірма з коротким продажам, опублікувала 25-сторінковий "некролог" для AMD на підставі даних, за якими він заявляє, що AMD коштує 0,00 доларів, і вважає, що нікому не слід купувати AMD продукти на будь-якій основі з будь-якої причини . Також передбачається, що AMD буде змушений подати на банкрутство на підставі цього звіту.

Ми стоїмо на тому, що ми говорили щодо самих недоліків - ми будемо чекати, щоб почути від AMD про те, як це вибухає і які ризики, але фактична звітність про недоліки, здається, була зроблена глибоко недобросовісно та очей до збагачення особливого набору клієнтів. в найсильніших випадках викриває очевидний збій процесу розкриття інформації про недоліки безпеки.

Читати далі

Поточна служба Діснея буде коштувати менше, ніж Netflix, носіть менше контенту

Будинок миші має намір широко вийти на ринок потокового телебачення - що це означає для конкурентів і який контент буде запропонований сервісом?

ET пропозиції: поточна краща ціна на AMD's Ryzen 7 2700x 8-ядерний процесор

Готові побудувати новий ігровий ПК? Right now Walmart продає ось-ядро процесорів Ryzen 7 2700x із частотою 3,7 ГГц з ціною $ 41 - це відмінна угода для натовпу DIY. Крім того, ви можете знайти великі знижки на смартфони Nvidia Shield, планшети Android, системи бездротового захисту та багато іншого.