אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
חברת סייבר ישראלית עוררה סערה ברשת לאחר שחשפה פרצות במעבדי AMD צילום: engadget.com

חברת סייבר ישראלית עוררה סערה ברשת לאחר שחשפה פרצות במעבדי AMD

Cts-Labs הישראלית הודיע ל-AMD שמצאה פרצות אבטחה חמורות במעבדים שלה 24 שעות לפני שפרסמה זאת באופן פומבי - התנהלות שאינה מקובלת בקהילת הסייבר, שבה נהוג להודיע זמן רב מראש על קיום פרצות - ולאפשר לתקנן לפני הפרסום

16.03.2018, 19:45 | רפאל קאהאן

חברת CTS-Labs הודיעה באמצע השבוע שמצאה סדרה של פרצות אבטחה חמורות במעבדי חברת AMD. הפרצות האלה מאפשרות לכאורה להאקר לקבל גישה לרשת המקומית ועל ידי כך לחדור באופן חסוי לכל מחשב בה. אבל החשיפה הזו - הגם שמעמידה את AMD במבוכה - לא הייתה זו שעוררה את הסערה שעברה עליה במהלך שלושת הימים האחרונים.

הפרצות שמכונות: RYZENFALL, FALLOUT, CHIMERA ו-MASTERKEY לא הועברו ל-AMD, יצרנית השבבים לפני הפרסום שלהם ברשת. מדובר בהתנהלות שאינה מקובלת בקהילת הסייבר. לרוב, חברות אבטחת מידע וסייבר שמוצאות בעיות במוצרים של חברות צד שלישי נוהגות להודיע להן מראש על קיום הפרצה או הבעיה ולתת מרווח זמן של בין 30 ל-90 יום לפרסום תיקון לפני שחוקרי הסייבר מפרסמים את קיומה. במקרה הנוכחי CTS-Labs בחרה שלא לעשות כך, ונתנה ל-AMD התרעה של 24 שעות בלבד לפני הפרסום הפומבי.

יש לציין ש-CTS-Labs לא הייתה הראשונה לנהוג כך. גם גוגל למשל חשפה פרצות במוצרים של חברות מתחרות שבוע לאחר שהתריעה עליהן. אך מדובר במקרים נדירים מאוד וגם גוגל נוהגת לא לעשות זאת באופן קבוע. במקרה של CTS-Labs מדובר בחשיפה הראשונה של החברה שהוקמה רק בשנה האחרונה. אמנם המייסדים אינם טירונים בתחום, כך לפי המידע עליהם ברשת, אך עם זאת עדיין עולות תהיות בנוגע להתנהלות שלהם במקרה זה.

תהיות אלה עוררו ויכוח חריף ברשת ואף גרמו ללא מעט חברים בקהילת הסייבר לזלזל בממצאים שפורסמו. בחלק מהמקרים אף נטען שהמהלך נבע מבצע כסף ומניסיון לבצע "שורט" על מניית AMD. האשמות אלה הביאו את איליה לוק-זילברמן, סמנכ"ל הטכנולוגיות של החברה, לצאת במכתב שבו הגן על ההחלטה של החברה לחשוף את הפרצות מבלי להמתין לתיקונן. החברה אף פנתה לשני מומחי סייבר עצמאיים כדי שיאששו את הממצאים ואלה סיפקו חוות דעת חיובית על הלגיטימיות שלהם.

לוק-זילברמן טוען במכתבו שהחברה מעוניינת לשנות את אופן החשיפה של הפרצות לציבור. לטענתו, הדרך שבה מתבצעת החשיפה לציבור וללקוחות בסכנה אינה משרתת אותם. "הבעיה היא שכשחוקר סייבר עובד עם הספק על תיקון לפרצה הוא משאיר בידי הראשון את ההחלטה אם להתריע בפני הלקוחות על הסכנה שרובצת עליהם. מניסיוני נדיר מאוד שספק מזהיר את לקוחותיו על קיום הבעיה", כתב לוק-זילברמן.

לדבריו, מדובר בנושא שלגביו יש לו דעה מוצקה - הבעיה חייבת להיחשף לציבור וללקוחות שנמצאים בסכנה. הוא מסביר שהדרך למנוע ניצול לרעה שלה על ידי האקרים עוברת דרך חשיפה מוגבלת, ללא פרסום של הפרטים הטכניים. "מדובר בוויכוח ישן שבו יש לכל אחד בתעשייה דעה מוצקה, אבל גם לי יש דעה נחרצת על כך". עוד הוא מסביר שבמקרה והיצרן או הספק לא מצליח לתקן את הבעיה בזמן שהוקצב מראש, האם חשיפה של הבעיה אז לא מעמידה את הלקוחות יותר בסכנה? שאלה לגיטימית אך שעשויה לצאת מנקודת ההנחה שלחברת סייבר יש עניין בחשיפה מבחינת הנראות ציבורית שלה.

המודל שמציע לוק-זילברמן הוא בדיוק זה שהחברה יישמה במקרה הנוכחי, פרסום הסכנה מבלי לחשוף את הפרטים הטכניים שלה. בדרך זו הוא מאמין יהיה לספק עניין לתקן את הפרצה בצורה מהירה. ניתן לטעון שזו דרך שבה יש שתי הנחות יסוד שעשויות לא להתגשם: לא מן הנמנע שישנו האקר שכן ידע לשחזר את הגילוי תוך שימוש בפרטים שכן נחשפים; כמו כן שהבעיה שנחשפת אינה נחשבת כסכנה ברורה ומיידית ותעודד חברות סייבר שלא בוחלות בפעילות שאינה אתית לפרסם כל מיני פרצות רק כדי לקבל חשיפה פומבית בתקשורת. בשלב הנוכחי לא ברור כמה זמן ייקח ל-AMD לפרסם תיקון לבעיות שנחשפו - אך בהתחשב במקרה הבוחן של הפרצה במעבדי אינטל לאחרונה, מדובר בבעיות שעשויות לדרוש עוד עבודה לפני שתיקון עבורן יהיה זמין.

שיתוף בטוויטר שיתוף בוואטסאפ שיתוף בפייסבוק שיתוף במייל

תגיות



7 תגובות לכתיבת תגובה לכתיבת תגובה

6.
Hey Ryan, they won't go to jail.
I think Viceroy published their POS 30 minutes after, not 2 hours, but that's beside the point. First of all, shorting a stock isn't illegal, at least not everywhere, and even when it is, it's not a black & white matter, there are nuances. The findings would also have to be false for there to be any chance of any wrongdoing on their part, and so far their findings were confirmed to be true. The guys at CTS-LABS didn't short the stock, it's Viceroy who does it, unless you have proof otherwise, which I'd suggest sharing with those who are "investigating" it, you'll have to settle for just being upset.
Vadim  |  20.03.18
לכל התגובות