以色列安全公司不按行业规矩披露AMD漏洞 在业内引发轩然大波
CTS CEO埃多-里安
BI中文站 3月14日报道
- 以色列安全公司CTS Labs的研究员们发现AMD生产的电脑芯片存在严重和可能很危险的漏洞。
- 但是这家公司披露这些漏洞的方式引起了安全业界的担忧。据说它并没有给AMD提供足够的时间来回应,后者也无法在漏洞被公开前准备好补丁。
- 一些怀疑论者认为,CTS可能是想让AMD在回应时手忙脚乱,以便它从中渔利。
- 这些漏洞不太可能影响到个人用户,可能对使用AMD芯片的大公司影响最大。
- CTS还因为没有提供这些漏洞的关键技术细节而受到批评。
以色列安全公司CTS Labs本周二公布了一系列“关键”漏洞,这些漏洞影响到芯片厂商AMD生产的电脑处理器。如果这些漏洞信息落入不法分子之手,可能会帮助黑客攻破很多电脑系统。
虽然这些漏洞本身确实带有危险性,但整个事件却在安全界引起轩然大波。首先,CTS在向全世界披露这些漏洞时没有遵循安全行业的常规,加上它也没有披露与这些漏洞有关的某些关键技术细节,令安全界的专家们非常不满。
AMD似乎也很不高兴。该公司发表官方博客文章称,它正在调查CTS所说的漏洞,但对漏洞被披露的方式表示极不赞同。
AMD在博客文章中写道:“AMD以前不知道这家公司,我们发现,它将其研究结果发表在媒体上而没有给公司提供合理的时间去调查和处理调查结果,对于一家安全公司来说,这是极不寻常的。”
尽管存在不确定性,但是这些漏洞似乎确实存在。不过,除非你在一家财富500强公司的IT部门任职,否则你可能不用太担心CTS的报告。
安全公司RenditionSec的创始人杰克-威廉姆斯(Jake Williams)表示:“这不是普通民众需要担心的事儿。企业用户才需要应对这个问题,因为它们的电脑和工作负载有很大的不同,这些漏洞将让它们面临更大的风险。”
除了那篇官方博客文章之外,AMD未做任何官方评论。CTS没有立即回应记者的置评请求。
CTS似乎已经违反了安全行业常规协议
CTS在amdflaws.com网站上公布了这些漏洞,同时附上了很多华丽的图片和20页的白皮书来解释这些漏洞。他们甚至给这些漏洞起了一些引人注目的名字:Ryzenfall、Fallout、Masterkey和Chimera等等,似乎是想回应谷歌在今年早些时候高调披露的“Spectre”和“Meltdown”安全漏洞。
CTS制作的网站还公布了一段视频。视频中,该公司的首席执行官和首席财务官站在屏幕前讨论这些漏洞。
但是,恰恰是因为CTS把宣布这些漏洞搞得很复杂才引起了安全界的怀疑。RenditionSec的威廉姆斯说,CTS处理信息披露的方式以及这个网站本身在安全行业都是“极不寻常的”。
CTS在amdflaws.com网站上说,它“已经和AMD、微软和少数几家公司分享了这些信息,这些公司可能会开发对应的补丁和解决方案。”
然而,据一位知情人士透露,CTS直到该网站上线前一天才把这些漏洞的信息通知AMD,这个时间框完全不符合安全行业常规协议。微软没有立即回复记者的置评请求。
通常情况下,研究人员应该在公开披露信息前的60天到90天内通知相关公司。例如,英特尔、AMD和其他芯片制造商提前7个月获得了Spectre和Meltdown的漏洞信息。它们需要利用这段时间开发和部署至少部分修复漏洞的补丁。鉴于这些漏洞的影响太大,这是一个极端的例子。
与此同时,据可以公开搜索的域名记录显示,amdflaws.com网站是在2月22日即CTS首次通知AMD的前几周才注册的。威廉姆斯认为,这样短的时间框根本没有给AMD提供任何反应时间,更别说去开发解决问题的补丁了。
威廉姆斯说:“提前24小时获得漏洞信息没有任何意义。”
另外,CTS网站还发布了一份免责声明,声称它可能会与这些公司的股票表现有经济利益上的关系。威廉姆斯说,这就更让人怀疑CTS是想利用这些漏洞去做空AMD股票了。
威廉姆斯说:“大多数安全研究人员都跟他们研究的公司没有财务关系。”
CTS对媒体表示,它现在没有投资英特尔或AMD的股票。
问题似乎真实存在,但缺乏细节信息
从技术上讲,CTS发现的漏洞与AMD的“安全处理器”(Secure Processor)有关。安全处理器实质上是内嵌在某些AMD芯片上的第二个处理器,是为了处理敏感的计算任务而设计的。
这些漏洞将为攻击者提供一种进入AMD安全处理器的方法,并允许他们访问敏感数据和安装恶意软件,这些恶意软件将无法通过常规手段检测到。目前还不清楚黑客是否已经利用这些漏洞在现实世界中发动了攻击。
据CTS的白皮书称,恶意行为者可以永久安装恶意代码,并将AMD客户暴露在大多数安全解决方案都无法检测到的工业间谍活动面前。它还说,它不知道现在有什么补救方法,并且修复“Chimera”漏洞可能需要AMD重新设计其处理器硬件。
不过,尽管CTS披露这些漏洞的方式不同寻常,但是很多人似乎相信该公司得出的结论。安全研究公司Trail of Bits的首席执行官丹-圭多(Dan Guido)在Twitter上表示,在发布漏洞信息之前,CTS已经委托他的团队对它们的调查结果进行了审查,验证了这些问题是真实存在的。
但也有些研究人员对安全漏洞的危险性提出怀疑,因为CTS只公布了非常有限的技术细节。
CTS在amdflaws.com网站上的“常见问题”(FAQ)部分写道:“所有可能被用于复制漏洞的技术细节都已从该出版物中删除了。”专家们似乎对CTS的这种逻辑不以为然。
但是正如威廉姆斯之前所指出的,即使CTS将更多细节公布出来,攻击也是很难实现的。所以总的来说,这不值得过份担心,尤其是现在AMD正在开发相应的补丁。
截至本文发稿时,CTS没有回复记者的置评请求。(编译/林靖东)
美国Business Insider作品的中文相关权益归腾讯公司独家所有。未经授权,不得转载、摘编等。微信公众号:BI中文站。