3 月 13 日星期二,安全公司 CTS Labs 宣布发现 AMD 的 Ryzen 和 Epyc 处理器有 13 个缺陷。这些问题跨越了四类漏洞,其中包括一些主要问题,比如 Ryzen 芯片组的硬件后门,以及可以完全破坏 AMD 的安全处理器的缺陷,这是一个被认为是“安全世界”的芯片,在这个世界里,敏感的任务可以不受恶意软件的影响。
缺乏协议意味着没有办法知道下一个缺陷何时会暴露出来,它将来自何方,或将如何报道。在几个月前,AMD、英特尔(Intel)、高通(Qualcomm)等公司的芯片出现了熔解和幽灵的缺陷。AMD 的芯片被一些幽灵的缺陷所破坏,在这次惨败中相对没有受到影响。发烧友们把怒火集中在英特尔身上。尽管对 AMD 提起了几起集体诉讼,但与针对英特尔的律师们相比,他们根本就不算什么。与英特尔相比,AMD 似乎是明智、安全的选择。
这使得周二公布的 AMD 硬件缺陷更加具有爆炸性。随着安全研究人员和个人电脑爱好者就研究结果的有效性争论不休,twitter 风暴爆发了。尽管如此,CTS 实验室提供的信息还是被另一家公司——2012 年创立的比特公司(Trail of Bits)独立核实。问题的严重性是可以争论的,但它们确实存在,并危及一些个人电脑用户认为的最后一个安全港。
披露的狂野西部
CTS 实验室的研究内容在任何情况下都会成为头条新闻,但揭晓的惊人之举却让人大吃一惊。在 CTS 实验室上市之前,AMD 显然只有不到 24 小时的响应时间,而 CTS 实验室并没有公开所有的技术细节,而只是选择与 AMD,微软,惠普,戴尔和其他几家大公司分享。
许多安全研究人员对此表示不满。大部分漏洞都是在早些时候向公司披露的,同时还有应对的时间表。例如,Meltdown 和 Specter 在 2017 年 6 月 1 日由 Google 的 Project Zero 团队向英特尔,AMD 和 ARM 披露。解决问题的最初 90 天窗口后来扩展到 180 天,但是当 The Register 发布了关于英特尔处理器缺陷的最初故事时,它提前结束。CTS 实验室不提供事先披露的决定已经引起人们猜测它有另一个更恶意的动机。
CTS 实验室在公司首席技术官 Ilia Luk-Zilberman 的一封信中为自己辩护,该公司的首席技术官发布在 AMDflaws.com 网站上。Luk-Zilberman 对事先披露的概念提出质疑,称“如果要提醒客户存在问题,则由供应商决定。”这就是为什么在发现问题几个月后很少听到安全漏洞的原因。
更糟糕的是,Luk-Zilberman 说,它迫使研究人员和公司之间进行一场边缘化的游戏。该公司可能没有回应。如果发生这种情况,研究人员将面临严峻的选择; 保持安静,并希望没有其他人发现这个缺陷,或者公开没有可用补丁的缺陷细节。合作是目标,但研究人员和公司的风险鼓励防御。什么是适当的,专业的和道德的问题往往会陷入小部落主义。
底在哪里?
披露缺陷的行业标准是不存在的,在其缺失的情况下,会出现混乱。即使是那些相信披露的人也不同意细节,比如公司应该多长时间做出回应。缺乏协议意味着没有办法知道下一个重大缺陷何时会暴露出来,它将来自何方,或将如何报道。
这就像一艘船沉进冰冷的海水中,穿上救生衣。当然,这件背心是个好主意,但这不足以拯救你。
网络安全是一团乱麻,它给我们每个人都带来了麻烦。令人担忧的是,AMD 处理器的新缺陷——如熔毁、幽灵、心脏出血等等——很快就会被遗忘。他们必须被遗忘。
毕竟,我们还有其他选择吗?计算机和智能手机已经成为现代社会参与的必需品。即使是那些不拥有它们的人也必须使用依赖于它们的服务。
显然,我们使用的每一个软件和硬件都充满了严重的缺陷。即便如此,除非你决定放弃社会,在森林里建一间小屋,你必须使用它们。
通常,我希望这篇专栏文章以实用的建议为结尾。使用强密码。不要点击承诺免费 ipad 的链接。之类的。这样的建议仍然是正确的,但这感觉就像在冰冷的北极水域里,一艘船沉在救生衣上。确定。救生衣是个好主意。你比没有更安全,但这不足以拯救你。