Noll
CTS Labs, en hittills okänd Tel Aviv-baserade it-säkerhet startup, har begärt att det finns över ett dussin säkerhet problem med AMD Ryzen och EPYC processorer. Linus Torvalds Linux skapare, inte köpa den.
Torvalds, i en Google+ diskussion, skrev:
“När var den senaste gången du såg en säkerhetsbulletin som var i princip” om du byter ut BIOS eller CPU mikrokod med en ond version, du kan ha en säkerhet som är problemet?” Ja.”
Eller, som en commenter sätta det på samma tråd: “jag bara hittat ett fel i allt från hårdvara utrymme. Ingen enhet är säker: om du har fysisk tillgång till en enhet, kan du bara plocka upp och gå därifrån. Är jag en säkerhetsexpert ännu?”
De har en poäng.
CTS Labs sprang ut i ingenstans för att ge AMD mindre än 24 timmar att åtgärda dessa “problem”.
AMD undersöker chip säkerhetsbrister efter mindre än 24 timmar i förväg | CNET: AMD påstås har sin egen Spectre-som säkerhetsbrister
Start har jazzed upp sina upptäckter med en uppsats, en video som beskriver sårbarheter, och, naturligtvis, fancy namn för dem: Ryzenfall, Master Key, Fallout, och Chimera.
CTS Labs hävdade i en intervju att de gav AMD mindre än en dag eftersom de inte tror att AMD skulle kunna lösa problemet för “många, många månader, eller ett år” i alla fall.
Varför skulle de göra det? För Torvalds: “Det ser mer ut som lager manipulation än ett säkerhetsmeddelande till mig.”
Dessa är riktiga fel dock. Dan Guido, VD, Spår av Bitar, ett säkerhetsföretag med lång erfarenhet, twittrade: “Oavsett hype kring lanseringen, buggar är riktig, korrekt sätt som beskrivs i den tekniska rapporten (som inte är offentlig afaik), och deras utnyttja koden fungerar.” Men, Guido medgav också, “Ja, alla de brister som kräver admin [privilegier] men alla har brister, inte förväntade funktionaliteten.”
Det är den sista delen som fästingar Torvalds av. Linux skapare instämmer i detta är fel, men all hype retar fan av honom.
Är det fel? Ja. Gör de saken i den verkliga världen? Nej.
De kräver en systemadministratör för att vara nästan kriminellt oaktsamhet för att arbeta. Att Torvalds, inflammatoriska säkerhet rapporter är irriterande distraktioner från att få riktiga arbete.
Detta är långt ifrån första gången ett sådant fall. En nyligen Linux “sårbarhet,” Kaos, krävs det möjligt för angripare att få root-lösenord. News flash: Om en angripare har root-lösenord, om ditt system redan helt fruset. Allt annat är bara detaljer.
Torvalds tror “det är säkerhetsbranschen som har lärt alla att inte vara avgörande för deras resultat.”
Han tycker också att “det är verklig säkerhet forskare.” För många av de andra, det handlar om att ge även den mest mindre säkerhet bugg. I Torvalds’ ord: “En catchy namn och en hemsida är nästan ett måste för en splashy säkerhet utlämnande i dessa dagar.”
Torvalds tycker att “säkerhet människor måste förstå att de ser ut som clowner på grund av det. Hela säkerhetsbranschen måste bara erkänna att de har en massa sk*t på gång, och de bör använda — och uppmuntra — några kritiska tänkande.”
Detta rant är långt ifrån första gången Torvalds har morrade på personer eller företag för att fokusera alltför mycket på vad han ser som fel ände av säkerhet.
Som han skrev på Linux-Kernel Mailing List (LKML) år 2008: “jag vägrar att bry sig om med säkerhet hela cirkusen … Det gör “hjältar” av säkerhet för människor, som om de människor som inte bara åtgärda vanliga fel är inte lika viktigt. I själva verket är alla tråkiga vanliga fel är _way_ mer viktigt, bara för att det finns en hel del mer av dem. Jag tror inte att några spektakulära säkerhetshål skall förhärligas eller brydde sig om att vara något mer “speciellt” än en slumpmässig spektakulär krasch på grund av dålig låsning.”
Mer nyligen, han dubblade ner på denna position, säger förra året om en föreslagen Linux-kärnan förändring, “en Viss trygghet människor har hånade mig när jag säger att säkerheten problem är i första hand “bara buggar’. Dessa säkerhets-personer är f**king idioter.”
Vad Torvalds verkligen vill ha från säkerhet programmerare och forskare, som han stavas ut nyligen, är:
det första steget bör: *ALLTID* vara “bara att rapportera det.” Inte döda, inte ens att stoppa tillträde. Rapportera det. Inget annat. “Gör ingen skada” bör vara ditt mantra för alla nya härdning arbete.
Gör det, och du kommer att göra Torvalds, och en massa andra människor som bryr sig om praktiska säkerhet, mycket gladare.
Relaterade Artiklar:
Linus ‘Linux Torvalds ger trygghet utvecklare guidanceLinus Torvalds vs internet security prosBogus Linux sårbarhet får publicitet
Relaterade Ämnen:
Hårdvara
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0