AMD відповідає на CTS Labs Security Allegations, Resolutions Incoming

AMD відповідає на CTS Labs Security Allegations, Resolutions Incoming

Минулого тижня невідома компанія з безпеки, CTS Labs, опублікувала звинувачення у бомбардуванні про те, що вона заявила про 13 критичних недоліків безпеки, які вплинули на процесори та набори мікросхем Ryzen AMD. Швидко стало зрозуміло, що весь процес розкриття інформації був незвичним, м'яко кажучи, і є підстави думати, що вся ця справа була організована фірмою, яка сподівається зробити швидке скорочення запасів AMD. Тепер AMD відреагував на початкові висновки CTS Labs, вибивши ноги з однієї з оборонних засобів компанії для власних дій у цьому процесі.

Всі 13 недоліків, виявлених CTS Labs, вимагають адміністративного доступу до експлуатації. Хоча цей факт не виправдовує жодної проблеми з безпекою, вона ставить проблеми в контекст - якщо ви маєте доступ адміністратора до системи, ви фактично можете поставити під загрозу його застосування, використовуючи будь-яку кількість нападів. Тоді AMD розбиває три основні сім'ї вразливості та надає оновлену шкалу часу, коли виправлення очікуються на ринку.

AMD відповідає на CTS Labs Security Allegations, Resolutions Incoming
AMD відповідає на CTS Labs Security Allegations, Resolutions Incoming

CTS Labs вдвічі зменшився на своєму аргументі часу в інтерв'ю Anandtech, коли його фінансовий директор Ярон Лук-Зільберман сказав: "Я вважаю, що це буде багато багато місяців, перш ніж AMD зможе виправити ці речі. Якщо б ми сказали їм, скажімо: "Ви, хлопці, маєте 30 днів / 90 днів, щоб це зробити". Я не думаю, що це буде дуже важливо ".

CTS є і був абсолютно неправильним у цьому питанні. Розумні люди можуть не погоджуватися з тим, як треба поводитися з інформацією про безпеку, або скільки часу, якщо потрібно, слід надати виробнику для вирішення своїх проблем. У цьому випадку, однак, нездатність CTS Labs обговорити власні висновки з AMD підірвало власні викладені причини щодо способу та характеру його розкриття. Це не займе "багато місяців", щоб виправити ці проблеми, і вони не ставлять життя на карту - це було одним з інших CTS Labs "обгрунтування того, чому він використовував мову, яку вона зробила при її початковому розкритті:

Ніякого безглуздого перебільшення тут немає.
Ніякого безглуздого перебільшення тут немає.

TrailofBits, який виконував сторонній аналіз та перевірку виявлених помилок CTS, пише:

Існує відсутній безпосередній ризик експлуатації цих вразливостей для більшості користувачів. Навіть якщо повна інформація буде опублікована сьогодні, зловмисникам потрібно буде вкладати значні зусилля на розробку для створення інструментів атаки, які використовують ці вразливості. Цей рівень зусиль недоступний більшості нападаючих ...

Ці типи вразливостей не повинні дивувати будь-яких дослідників безпеки; подібні вади були знайдені і в інших вбудованих системах, які намагалися реалізувати функції безпеки. Вони є результатом простих програмних недоліків, нечітких кордонів безпеки та недостатнього тестування на безпеку.

Недоліки є реальними, вимагають оновлень і потребують вирішення, але вони не є катаклізмічною помилкою безпеки. Вони, безумовно, не представляють аномалій, що закінчується компанією, що "підозрюваний у" CTS Labs "партнер у вчиненні злочину, Viceroy Research, заявив, що вони це зробили. Тим часом немає жодних ознак того, що CTS Labs вирішив звернутись до бекдорів та критичних недоліків безпеки, які випали на десятки мільйонів материнських плат Intel, завдяки чому вони були на борту контролерів Asmedia, хоча ASM1042 та ASM1142 надійшли на продукти Intel протягом останніх шести років .

Погана віра не вибачає погану безпеку

Вся робота CTS Labs, починаючи з кінця, здається, була спробою озброїти розкриття інформації про безпеку та завдати шкоди компанії з метою заробітку грошей для недобросовісних інвесторів. Це приклад підручника, чому уважно слід поводитися з аналізом безпеки та розкриття інформації. Але жодне з них не змінює того факту, що ці проблеми безпеки не повинні існувати в першу чергу.

Як AMD, так і Intel попросили комп'ютерних користувачів прийняти наявність реалізацій безпеки Black Box з назвою підвищеної безпеки. Intel має свій Intel Management Engine, AMD має свій процесор TrustZone. AMD використовує ARM рішення з Cortex-A5 інтегрованим процесором, Intel використовує свій власний процесор Quark. Обидві компанії виступали проти дзвінків з надання документації та / або відкритим вихідним кодом для цих рішень, але безпека обох неодноразово була виявлена ​​небажаною. Оскільки пристрої стають все більш інтегрованими, а кількість компонентів та IP-блоків, інтегрованих в SOC, зростає, тому що від початку до кінця виробники дотримуються найкращих практик безпеки. І Intel, і AMD мають більше роботи в цьому напрямку.