Zero
CTS Labs, una finora sconosciuta Tel Aviv-base di sicurezza informatica di avvio, ha dichiarato che si è trovato più di una dozzina di problemi di sicurezza con AMD Ryzen e EPYC processori. Linus Torvalds, creatore di Linux, non comprarlo.
Torvalds, Google+ discussione, ha scritto:
“Quando è stata l’ultima volta che hai visto un avviso di sicurezza che era fondamentalmente ‘se si sostituisce il BIOS o il CPU microcode con un male di versione, si potrebbe avere un problema di sicurezza?’ Sì, sì, sì.”
O, come commentatore messo sullo stesso filo, ho appena trovato un difetto a tutti i componenti dello spazio. Nessun dispositivo è sicura: se si ha accesso fisico al dispositivo, si può solo prendere e andare via. Io sono un esperto di sicurezza di sicurezza?”
Hanno ottenuto un punto.
CTS Laboratori saltò fuori dal nulla per dare AMD meno di 24 ore per risolvere questi “problemi”.
AMD indagare chip falle di sicurezza dopo meno di 24 ore di preavviso | CNET: AMD presumibilmente ha il suo Spettro, come le falle di sicurezza
L’avvio è jazzed le sue scoperte con un documento di ricerca, un video che descrive la vulnerabilità, e, naturalmente, nomi di fantasia per loro: Ryzenfall, Chiave Master, Fallout, e Chimera.
CTS Laboratori sostenuto in un’intervista che ha dato AMD meno di un giorno, perché non credo che AMD potrebbe risolvere il problema “molti, molti mesi o addirittura un anno” comunque.
Perché dovrebbero farcela? Per Torvalds: “sembra più simile a stock manipolazione di un avviso di sicurezza per me.”
Questi sono i bug vero e proprio. Dan Guido, amministratore delegato di Sentiero di Bit, una società di sicurezza con un track record, ha scritto su twitter: “nonostante l’hype intorno al rilascio, i bug non sono reali, accuratamente descritto nella relazione tecnica (che non è pubblico, per quanto ne so), e il loro codice di exploit funziona.” Ma, Guido anche ammesso: “Sì, tutti i difetti richiedono admin] [privilegi] ma tutti sono difetti, non è prevista la funzionalità.”
È che l’ultima parte che le zecche Torvalds off. Il creatore di Linux accetta questi sono i bug, ma tutto l’hype infastidisce il heck fuori di lui.
Ci sono bug? Sì. Sono importanti nel mondo reale? No.
Essi richiedono un amministratore di sistema per essere quasi penalmente grave negligenza lavoro. Torvalds, infiammatorie rapporti di sicurezza sono fastidiose distrazioni da ottenere il lavoro reale.
Questo non è il primo caso. Linux recente vulnerabilità”,” Caos, necessari all’utente malintenzionato di avere la password di root. Notizie flash: Se un utente malintenzionato ha la password di root, il sistema è già completamente lavata. Tutto il resto è solo dettagli.
Torvalds, ritiene che “l’industria della sicurezza, che ha insegnato a tutti di non essere critici con i loro risultati.”
Anche lui pensa che, “ci sono dei veri ricercatori di sicurezza.” Per molti del resto, è tutta una questione di dare anche le più lievi bug di sicurezza. In Torvalds parole: “Un nome accattivante e un sito web è quasi obbligatorio per una ostentata sicurezza di divulgazione di questi giorni”.
Torvalds pensa di protezione “la gente deve capire che sembrano dei pagliacci a causa di esso. Tutto il settore della sicurezza ha bisogno di ammettere che hanno un sacco di sh*t succedendo, e dovrebbero usare — e incoraggiare — un po ‘ di pensiero critico.”
Questo sfogo è lontano dalla prima volta che Torvalds ha ringhiò a persone o società per concentrarsi troppo su quello che si vede nella parte sbagliata di sicurezza.
Come ha scritto sul Linux Kernel Mailing List (LKML) nel 2008: “mi rifiuto di perdere tempo con tutta la sicurezza del circo … rende “eroi” di sicurezza delle persone, come se le persone che non si limitano a fissare normale bug non sono così importanti. Infatti, tutti i noiosi normale bug sono _modo_ in cui più importante, solo perché c’è molto di più di loro. Non credo che alcune spettacolari buco di sicurezza deve essere glorificato o curati come il più ‘speciale’ di un casuale incidente spettacolare a causa del cattivo di chiusura.”
Più di recente, ha raddoppiato questa posizione, dicendo che l’anno scorso circa la proposta di un kernel Linux cambiare “un Po’ di sicurezza di persone hanno beffe di me quando dico che i problemi di sicurezza sono principalmente ‘solo bug’. La protezione di persone sono f**king idioti.”
Quello che Torvalds vuole veramente da sicurezza programmatori e ricercatori, come ha spiegato di recente, è:
il primo passo deve *SEMPRE* essere “solo riferire.” Non uccidere le cose, anche non fermare l’accesso. Report di esso. Nient’altro. “Non nuocere” dovrebbe essere il vostro mantra per ogni nuovo lavoro di rafforzamento.
Farlo, e ti fanno Torvalds, e un sacco di altre persone che si preoccupano di pratiche di sicurezza, molto più felice.
Storie Correlate:
Linus Linux Torvalds dà gli sviluppatori di sicurezza guidanceLinus Torvalds vs internet security prosBogus Linux vulnerabilità ottiene pubblicità
Argomenti Correlati:
Hardware
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0