AMD-ის უსაფრთხოების პოლიტიკა კრიტიკის ქარცეცხლშია. კომპანიამ უარი განაცხადა 10 000 დოლარის ოდენობის ჯილდოს გადახდაზე უსაფრთხოების მკვლევარ პოლ ლაროსასთვის, რომელმაც AMD-ის პროგრამული უზრუნველყოფის ავტომატურ განახლებებში სერიოზული ხარვეზი აღმოაჩინა.

რა საფრთხეს ქმნიდა ხარვეზი?

პრობლემა მდგომარეობდა იმაში, რომ AMD-ის ავტომატური განახლების სისტემა, რომელსაც Ryzen Master და სხვა უტილიტები იყენებენ, მონაცემებს დაუცველი HTTP პროტოკოლის მეშვეობით ჩამოტვირთავდა. ეს კი თავდამსხმელებს საშუალებას აძლევდა, განეხორციელებინათ ე.წ. „შუამავლის შეტევა“ (Man-in-the-Middle).

პრაქტიკულად, ჰაკერებს შეეძლოთ ლეგიტიმური დრაივერები მავნე კოდით ჩაენაცვლებინათ. მომხმარებლის სისტემა ავტომატურად დააინსტალირებდა ფაილს, რადგან ის სანდო წყაროდან წამოსულად მიაჩნდა.

124-დღიანი დაგვიანება

უსაფრთხოების სფეროში მიღებული სტანდარტებით, კრიტიკული ხარვეზები 5-დან 14 დღემდე პერიოდში უნდა გამოსწორდეს. AMD-ის შემთხვევაში, პროცესმა 124 დღე გასტანა. კომპანიამ მკვლევარს სთხოვა, ინფორმაცია საჯაროდ არ გაეხმაურებინა და პირობა დადო, რომ ხარვეზს 90 დღეში გამოასწორებდა, თუმცა ვადა რამდენჯერმე გადაიწია.

როდესაც საქმე გამოსწორებამდე მივიდა, კომპანიამ ჯილდოს გაცემაზე უარი თქვა. არგუმენტად მათ დაასახელეს შიდა პოლიტიკა, რომელიც „შუამავლის შეტევებს“ გამონაკლისად მიიჩნევს და ჯილდოს არ ითვალისწინებს.

პრობლემა ბოლომდე არ აღმოიფხვრა

მიუხედავად იმისა, რომ განახლების სისტემა დაშიფრულ კავშირზე გადავიდა, უსაფრთხოების ექსპერტები აღნიშნავენ, რომ ფაილების ვალიდაციისთვის კვლავ ძველებურ, მოძველებულ CRC32 ჩეკსუმებს იყენებენ. ეს მეთოდი თანამედროვე სტანდარტებით დაუცველად მიიჩნევა და გამოცდილ თავდამსხმელს მისი მანიპულირება მარტივად შეუძლია.

ეს შემთხვევა კიდევ ერთხელ უსვამს ხაზს ტექნოლოგიური გიგანტების დამოკიდებულებას უსაფრთხოების მკვლევარების მიმართ: „შეაკეთე პრობლემა, მოერიდე გადასახადებს და დატოვე ფუნდამენტური სისუსტეები უცვლელად“ — ასეთია რეალობა, რომელსაც მომხმარებლები აწყდებიან.