 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
25 апреля, четверг, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Технический директор CTS Labs призвал изменить сложившуюся систему раскрытия информации об ошибках в сфере безопасности.
Компания CTS Labs столкнулась с критикой компьютерного сообщества после того, как на этой неделе обнародовала отчет о серьезных уязвимостях в новейших процессорах AMD. Журналисты и эксперты обвинили исследователей в том, что они опубликовали полученные данные, не дав вендору времени исправить найденные недостатки. Специалисты также отметили отсутствие технических подробностей в описании обнаруженных проблем.
IT-сообщество настороженно отнеслось к отчету малоизвестной компании, а некоторые издания даже обвинили ее в попытке манипулирования курсом акций AMD.
Все изменилось после того, как обоснованность выдвинутых CTS Labs обвинений подтвердили признанные эксперты по интернет-безопасности. Сперва после изучения технических деталей отчета с выводами израильской компании согласился Дэн Гуидо (Dan Guido), руководитель компании Trail of Bits. Чуть позже и другой уважаемый в IT-сообществе специалист, Алекс Ионеску (Alex Ionescu), заявил, что, ознакомившись с полной версией исследования, считает достоверной информацию об ошибках в проектировании и реализации процессоров.
Впрочем, Ионеску не согласен с тем, что выявленные CTS Labs уязвимости не представляют серьезной опасности, так как для их эскалации необходимы root-привилегии.
«Если архитектура чипа скомпрометирована, то доступ на уровне администратора — это реальная угроза для облачных платформ класса IaaS (Infrastructure-as-a-Service) и даже VTL0/1 систем, предназначенных для хранения учетных данных», — заявил эксперт.
Технический директор CTS Labs Илья Люк-Зильберман (Ilia Luk-Zilberman) выступил в среду с открытым письмом, в котором объяснил, почему компания не предоставила AMD времени на исправление ошибок. Специалист поставил под сомнение эффективность сложившейся системы взаимодействия ИБ-исследователей и вендоров.
По словам Люк-Зильбермана, отсрочка публикации данных о найденных уязвимостях ставит в невыгодное положение владельцев скомпрометированных систем: они продолжают считать, что пользуются надежными продуктами. Скрывая сведения об ошибках до момента выпуска патчей, производители не испытывают давления со стороны клиентов и потому не торопятся исправлять выявленные недостатки, считает эксперт.
«Я считаю, что о найденных уязвимостях нужно сообщать общественности сразу, причем поставщик системы и IT-сообщество должны узнавать о проблемах одновременно. При этом технические детали не стоит раскрывать до исправления ошибок. Таким образом мы сможем с самого начала оказывать общественное давление на продавца, но не поставим под угрозу пользователей», — говорится в заявлении руководителя CTS Labs.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
