NVIDIA: Никаких секретных "выключателей" и шпионского ПО в наших видеокартах!

После снятия запрета на поставки своих передовых H20 AI GPU в Китай, компания NVIDIA столкнулась с необходимостью восстановить цепочки поставок и удовлетворить огромный спрос на эти специализированные чипы. Однако, вместе с радостью от возобновления сотрудничества, появились и опасения.

По информации Bloomberg, китайское Управление по вопросам киберпространства выразило заинтересованность во встрече с руководством NVIDIA, чтобы обсудить потенциальные уязвимости в безопасности, которые могут быть встроены в GPU H20. Поводом для беспокойства послужили заявления американских чиновников о возможности добавления "бэкдоров" и средств отслеживания в оборудование, продаваемое за границу.

NVIDIA решительно опровергла эти обвинения в официальном блоге под названием "Нет бэкдоров. Нет выключателей. Нет шпионского ПО", написанном директором по информационной безопасности компании, Дэвидом Ребером-младшим.

Ребер-младший подчеркивает, что GPU NVIDIA играют ключевую роль в современных вычислениях и используются в критически важных отраслях. Он также комментирует предположения о возможности использования уязвимостей для отслеживания этих GPU:

Некоторые эксперты и политики предлагают требовать аппаратные "выключатели" или встроенные элементы управления, которые могут удаленно отключать GPU без ведома пользователя. Некоторые даже подозревают, что они могут уже существовать. GPU NVIDIA не имеют и не должны иметь выключателей и бэкдоров.

Дэвид Ребер-младший, директор по информационной безопасности NVIDIA

Ребер-младший утверждает, что внедрение "бэкдоров" и других уязвимостей подорвет доверие к американским технологиям и нанесет ущерб глобальной цифровой инфраструктуре. Он также напоминает, что существующие законы требуют от компаний устранять уязвимости, а не создавать их.

В блоге упоминаются прошлые уязвимости Spectre и Meltdown, которые затронули процессоры Intel, AMD и Qualcomm, позволяя злоумышленникам получать доступ к конфиденциальной информации, такой как пароли и история браузера. Ребер-младший отмечает, что правительства и промышленность быстро объединились для устранения этих рисков.

"Хороших" уязвимостей не бывает

NVIDIA приводит в пример фиаско с чипом Clipper 90-х годов, чтобы показать, почему встроенные уязвимости — это плохая идея.

Чип Clipper, разработанный Агентством национальной безопасности США (NSA) в 1993 году, содержал "бэкдор", доступный правительству США. Вскоре эксперты обнаружили несколько способов, которыми злоумышленники могли воспользоваться для получения доступа к программному обеспечению, работающему на этом чипе.

NVIDIA утверждает, что само существование правительственных "бэкдоров" подорвало доверие пользователей к безопасности систем. "Выключатели" и встроенные "бэкдоры" создают единые точки отказа и нарушают фундаментальные принципы кибербезопасности.

В блоге также затрагивается позиция NVIDIA в отношении программного обеспечения с открытым исходным кодом:

NVIDIA всегда поддерживала открытое и прозрачное программное обеспечение, которое помогает клиентам максимально эффективно использовать свои системы на базе GPU — диагностику, мониторинг производительности, отчетность об ошибках и своевременное исправление — с ведома и согласия пользователя. Это ответственный и безопасный подход к работе с компьютерами. Это помогает нашим клиентам преуспевать, а отрасли — оставаться впереди.

Дэвид Ребер-младший, директор по информационной безопасности NVIDIA

Независимо от того, согласны вы с этим утверждением или нет, NVIDIA подчеркивает, что "жесткое подключение выключателя к чипу — это нечто совершенно иное: постоянный недостаток, находящийся вне контроля пользователя, и открытое приглашение к катастрофе". С этим трудно не согласиться.

Ребер-младший сравнивает чип со встроенной уязвимостью с новым автомобилем, у которого есть пульт дистанционного управления для стояночного тормоза в руках дилерского центра. "Это чрезмерная реакция, которая непоправимо повредит экономическим интересам и интересам национальной безопасности Америки", - заявляет NVIDIA.

В заключение блога NVIDIA еще раз подчеркивает: "В чипах NVIDIA нет бэкдоров. Нет выключателей. Нет шпионского ПО. Не так строятся надежные системы — и никогда не будут".

Конечно, всегда можно посмотреть на это с другой стороны. Заявление NVIDIA звучит именно так, как могла бы сказать компания, которая действительно встраивает "бэкдоры" в свои чипы, особенно в ситуации, когда нужно развеять опасения одного из своих крупнейших иностранных клиентов.

Вероятно, мы никогда не узнаем, какой уровень уязвимостей типа "бэкдор" на самом деле присутствует в нашем компьютерном оборудовании, если они вообще есть. Этот шаг NVIDIA, безусловно, кажется своевременным и необходимым, поскольку компания возобновляет поставки своих H20 AI GPU в Китай.

Мнение редакции: Заявление NVIDIA, безусловно, призвано успокоить как правительства, так и потребителей. Однако, учитывая геополитическую обстановку и историю кибершпионажа, неудивительно, что остаются сомнения. Крайне сложно доказать отсутствие бэкдоров, и компаниям, подобным NVIDIA, приходится постоянно работать над укреплением доверия.