Způsob, jakým CTS labs informovalo o AMD zůstává největším problémem.
Určitě jste zaregistrovali „velkou aféru“ kolem potenciálních bezpečnostních děr v procesorech AMD RYZEN, na které údajně přišla neznámá společnost CTS Labs, jež před rokem ještě neexistovala. Celá věc však byla od počátku velmi podezřelá, a to zejména napojením na jistou firmu Viceroy a její kroky, které se přímo snažili poškodit AMD jako společnost. Většina bezpečnostních analytiků také upozorňuje, že zjištění CTS Labs o potencionálních zranitelnostech AMD procesorů jsou neskutečně přehnaná a záměrně zavádějící. A to přes fakt, že většina z prezentovaných prvků skutečně existuje a lze je skutečně potencionálně zneužít. O všem jsme informovali:
Celý problém je v tom, že CTS Labs a Viceroy zcela záměrně zveličují problém, kdy žádná z těch věcí není využitelná jen tak a nepředstavuje pro běžné uživatele žádné riziko. Musíte mít administrátorský přístup k danému počítači, musíte mít často fyzický přístup, musíte nahrát upravený BIOS a ty zranitelnosti vytvořit a pak teprve budete moci některé ty prvky teoreticky zneužít. Jenže pokud má někdo administrátorský přístup k danému systému, může si s daným počítačem jedno s jakým procesorem (Intel i AMD atd.), dělat co chce. I proto jsou tak prezentované potencionální zranitelnosti velmi nezávažné, v podstatě jen teoretické a u většiny systémů tak nepředstavují žádný problém ani reálné riziko. Riziko je, pokud má neoprávněná osoba administrátorský přístup k danému PC, a to určitě není problém zabezpečení některých prvků u procesoru …
Velkým problémem je také samotná CTS Labs, její pozadí a fakt, že analytická bezpečnostní firma, která uvádí desítky let praxe u svých zaměstnanců zveřejní potencionální problémy, aniž by dala AMD obvyklý čas na reakci. Obvykle totiž platí, že před zveřejněním nějakých chyb se dává 90 dní utajení (z důvodů bezpečnosti a prověření všech aspektů) na reakci a opravu. A podobných chyb a potencionálních problémů opravují Intel, AMD, Microsoft, Google a všichni ostatní i desítky za měsíc (proč myslíte že vychází tolik BIOSů, updatů pro operační systémy atd.?). O drtivé většině věcí se tak veřejnost nikdy nedozví, protože jsou opraveny dávno před uplynutím té standardní 90 denní lhůty, která je obvyklá. A je to tak dobře, protože udělat z potencionálních rizik rizika reálnější lze udělat právě tím kvapným zveřejněním, kdy tak vlastně vytvoříte problém, jež by jinak neexistoval. Což je v podstatě právě tato situace.
Případ CTS Labs a zjištění potencionálních zranitelností Masterkey, Ryzenfall, Fallout a Chimera je tak o to pochybnější, protože 24 hodinová lhůta, kterou dalo CTS labs AMD na reakci a opravu, je velmi nestandardní a nemusíte být bezpečnostní expert s 10ti letou praxí (za což se lidi v CTS označují) abyste věděli, že za 24 hodin s tím výrobce nestihne udělat prostě nic. Nemluvě o společnosti VICEROY, která za zveřejněním stojí )a dávno před tím vytvořila obsáhlou zprávu na základě CTS Lab zjištění pro finanční weby, jak je AMD v pr***) a jež se snažila ovlivnit cenu akcií a hodnotu AMD, kterou označila za nulovou. Na propojení obou společností se ptají novináři a obě společnosti mlží. V případě 90 denní lhůty, která je obvyklá, kdy například Intel měl před zveřejněním MELTDOWN problému dokonce více než půl roku na opravu a reakci (což stejně nestihl), by žádná podobná kauza vůbec nevznikla. Nejzajímavější je na ní právě způsob, jakým je zneužita a prezentována, než že by se jednalo o nějak závažné problémy, které by skutečně uživatele AMD procesorů reálně mohly nějak postihnout. AMD však samozřejmě reagovalo …
- AMD reaguje na potencionální zranitelnosti
Masterkey, Ryzenfall, Fallout a Chimera
Společnost AMD měla už čas v uplynulém týdnu prověřit zjištění CTS Labs. Jak se předpokládalo, zjištění se zakládala na reálných potencionálních problémech a technologiích. AMD však zdůrazňuje, že jde jen o velmi teoretické zranitelnosti, kdy k jejich využití je skutečně potřeba provést určité zásadní úpravy v systému, ke kterým potřebujete plný administrátorský přístup do daného stroje. A pokud někdo takový přístup má, pak je jedno jaký procesor (Intel, AMD, AMR atd.) a jaké případné zranitelnosti takový čip má, protože s administrátorským přístupem může útočník udělat v PC cokoliv. Společnost AMD přímo říká:
Je důležité říci, že všechny otázky, které byly ve studii předloženy, vyžadují přístup do systému pro správu, což je typ přístupu, který uživateli poskytuje neomezený přístup k systému a právo vymazávat, vytvářet nebo upravovat složky nebo soubory v systému udělený počítač, stejně jako změna všech nastavení. Každý útočník, který získá neautorizovaný administrativní přístup, bude mít přístup k širokému spektru zneužívání, které přesahují možnosti zneužití a zranitelnost popsané v dané správě.
Nicméně AMD pro klid všech zúčastněných, oficiálně ošetří všechny potencionální zranitelnosti. Dvě ze tří potencionálních zranitelností (Masterkey, Ryzenfall+Fallout) budou řešeny pomocí updatu BIOSů v řádu týdnů, třetí potencionální problém (Chimera) bude řešena ve spolupráci s dodavateli technologií pro čipsety základních desek s paticemi AM4 a TR4 a její negativní vliv by měl být rovněž omezen prostřednictvím updatu BIOSu. Zde prozatím nebyl stanoven odhadovaný časový rámec. V případě té třetí věci jde totiž o problém na straně SW a čipu řadiče od ASMedia, který ale ty samé čipy dodává pro Intel platformu. AMD uvádí, že žádný z plánovaných UPDATů biosu nebude mít žádný dopad na výkon, jaký má záplata MELTDOWN problému u Intel procesorů. Pokud přesně nevíte, o co jde, tak v jednoduchosti:
1) MASTERKEY: nahrání neautorizovaného upravené BIOSem způsobí díry v systému (1*)
2) RYZENFALL: administrator může nahrát neautorizovaný kód na PSP (2*)
3) FALLOUT: výrobcem digitálně podepsaný driver má přístup k PSP
4) CHIMERA: výrobcem digitálně podepsaný driver může ovládat řadič chipsetu od jiného výrobce
Poznámky by DD:
1*, není to „problém“ jakéhokoliv systému s jakýmkoliv procesorem?
2*, Uživatel s administrátorským přístupem do PC může nahrát a upravit systém jak chce, což je pointa toho být uživatel.
- Proč je to celé nesmysl a hledání problému kde žádný není …
Každopádně celá věc je poměrně vtipná v tom, že když se nad tím opravdu logicky zamyslíte, tak to nedává smysl. Stojím si za tím, že o žádné chyby vlastně nejde (CHIMERA se navíc nemůže týkat jen AMD, ale i Intelu a všech desek, které extra řadiče využívají). Jak můžete zabránit nahrání neautorizovaného BIOSU, ovladače a jiného programu uživatelem daného stroje, který má administrátorská práva?! To je snad samotná pointa toho být uživatelem a je jedno jestli ten stroj má procesor AMD, Intel, ARM, Apple, IBM atd.
AMD tak podle mě jen politikaří a radši se bude tvářit, že řeší problémy (i když fakticky neexistují), aby byly zveřejněné „zranitelnosti“ (o kterých píší i ti, co tomu nerozumí nebo nad tím nepřemýšlí, vlastně vyřešeny (všichni tedy psali o tom, jak to AMD dobře a rychle vyřešilo) a někdo neřekl, že kašle na bezpečnost. Mě jen nejde do hlavy jedna věc, jak má aktualizace BIOSu, tedy nahrání nového BIOSu administrátorem počítače zabránit tomu, aby někdo jiný se stejným administrátorským přístupem tam zase nenahrál jiný BIOS? Na Intel platformě si taky můžu nahrát upravený BIOS, bude to Intel taky řešit? :).
Já myslím, že je to celé krásná ukázka současné hlouposti světa, jak někdo udělá totální HOAX a aby se nešířil, tak ho poškozená firma částečně uzná a jakoby opraví, čímž HOAX vyřeší. Chytré. Z logiky věci však nelze opravit to, že jako uživatel s plným přístupem si můžete dělat s tím systémem co chcete a žádné zabezpečení, které vymyslí výrobce CPU, vám v tom nemůže zabránit. Na celé věci je tak nejvíce zarážející právě fakt, jak mnozí novináři, včetně velkých českých webů, informují o „vážných“ zranitelnostech procesorů AMD, přičemž se nad nimi ani nezamyslí, neuvedou či zcela ignorují pozadí těch zjištění, a hlavně neuvedou tu podstatnou věc, tedy že musíte mít administrátorský přístup do toho PC, což znamená, že si v něm můžete dělat stejně co chcete a je jedno jaký procesor v tom PC máte a tak z logiky věci nemůžou zveřejněné problémy být problémem jen AMD. Prostě celé je to totální kravina, o žádné chyby ani zranitelnosti nejde a AMD podle mého názoru jednoduše radši, než by bojovalo dlouze s hloupostí a fake news, tak chytře tuhle hloupost použije proti nim. Problém vyřešen!
Teď nás jen zajímá, kdo za tuhle celou aféru s očerňováním AMD a nalezením problémů které prolémy nejsou (či nejsou zdaleka jen problém AMD), financoval a komu má prospět, či od jakých skutečných problémů a děravých procesorů má odvést pozornost?! Kdo zaplatil Viceroy a CTS Labs za vytvoření podobné kampaně?
AUTOR: Jan "DD" Stach |
---|
Radši dělám věci pomaleji a pořádně, než rychle a špatně. |
|