Nul
CTS Labs, een tot nu toe onbekende Tel Aviv op basis van cybersecurity opstarten, heeft beweerd: het is meer dan een dozijn security problemen met AMD Ryzen en EPYC processors. Linus Torvalds Linux de schepper, niet om het te kopen.
Torvalds, in een Google+ – discussie, schreef:
“Wanneer was de laatste keer dat je zag een beveiligingsbulletin dat was eigenlijk ‘als je in plaats van de BIOS of de CPU van de microcode met een kwaadaardige versie, misschien heb je een security probleem?’ Ja.”
Of, zoals een commentator het op dezelfde thread, “ik vond een fout in de hardware van de ruimte. Er is geen apparaat veilig: als u fysieke toegang tot een apparaat, kunt u net halen en weg te lopen. Ben ik een security expert nog?”
Ze hebben een punt.
CTS Labs sprong uit het niets te geven AMD minder dan 24 uur om deze “problemen.”
AMD onderzoeken chip beveiligingsfouten na minder dan 24 uur van tevoren | CNET: AMD naar verluidt heeft zijn eigen Spook-achtige plekken in de beveiliging.
De startup heeft jazzed up zijn ontdekkingen met een research paper, een video waarin de kwetsbaarheden, en, natuurlijk, mooie namen voor hen: Ryzenfall, Master Key, Fallout, en de Chimera.
CTS Labs beweerde in een interview dat ze gaf AMD minder dan een dag, omdat ze niet denken dat AMD kan het probleem oplossen voor “vele, vele maanden of zelfs een jaar” toch.
Waarom zou ze dan kunnen doen? Voor Torvalds: “Het lijkt meer op voorraad manipulatie dan een security advisory voor mij.”
Dit zijn de echte bugs al. Dan Guido, CEO van het Parcours van de Bits van een security bedrijf met een bewezen track-record, tweeted: “ondanks de hype rond de release, de bugs zijn echte, nauwkeurig beschreven in de technische rapport (die niet openbaar is afaik), en hun exploit code werkt.” Maar, Guido gaf ook toe, “Ja, en alle gebreken nodig admin [privileges] maar al zijn fouten, niet verwacht functionaliteit.”
Het is die laatste die teken Torvalds uit. De Linux-schepper stemt ermee in deze bugs zijn, maar de hype ergert de heck uit van hem.
Zijn er bugs? Ja. Doen ze uit in de echte wereld? Nee.
Ze vereisen een systeem-administrateur worden bijna misdadig nalatig te werk. Om Torvalds, inflammatoire veiligheid rapporten zijn vervelende afleiding van het krijgen van het echte werk.
Dit is verre van de eerste case. Een recente Linux “kwetsbaarheid” Chaos, moet de aanvaller de root-wachtwoord. Nieuws flash: Als een aanvaller de root wachtwoord, uw systeem is al helemaal afgespoten. Al het andere is slechts details.
Torvalds is van mening “het is de security-industrie die heeft gezegd dat iedereen niet kritisch over hun bevindingen.”
Ook meent hij, “er zijn echte security-onderzoekers.” Voor veel van de rest, het is allemaal over het geven van zelfs de meest kleine security bug. In Torvalds’ woorden: “Een pakkende naam en een website is bijna vereist voor een optimistische veiligheid openbaarmaking van deze dagen.”
Torvalds denkt “veiligheid mensen moeten begrijpen dat ze er uitzien als clowns. De gehele security-industrie moet gewoon toegeven dat ze een hoop sh*t te doen, en ze moet gebruiken — en aanmoedigen wat kritisch denken.”
Deze tirade is verre van de eerste keer Torvalds heeft snauwde naar mensen of bedrijven die zich teveel op wat hij ziet als aan de verkeerde kant van de veiligheid.
Zo schreef hij op de Linux-Kernel Mailing List (LKML) in 2008: “ik weiger te druk om de hele beveiliging circus … Het is “helden” uit de security mensen, als de mensen die niet gewoon vaststellen van de normale bugs zijn niet zo belangrijk. In feite, alle saaie normale bugs zijn _way_ meer belangrijk, alleen maar omdat er veel meer van hen. Ik denk niet dat een aantal spectaculaire gat in de beveiliging moet verheerlijkt worden of verzorgd over als een meer ‘speciale’ dan een willekeurige spectaculaire crash als gevolg van de slechte vergrendelen.”
Meer recent, hij verdubbeld naar beneden op deze positie, zeggende vorig jaar over een voorstel van de Linux kernel te veranderen, “Sommige mensen lachten me als ik zeg dat security problemen zijn voornamelijk ‘gewoon bugs’. Die security mensen zijn f**king van idioten.”
Wat Torvalds wil echt van veiligheid programmeurs en onderzoekers, als hij uiteen onlangs is:
de eerste stap moet *ALTIJD* “gewoon melden.” Niet te doden, zelfs niet het stoppen van de toegang. Verslag. Niets anders. “Doe geen kwaad” moet je mantra voor een nieuwe verharding werk.
Doe dat, en je zult Torvalds, en een heleboel andere mensen die de zorg over de praktische veiligheid, veel gelukkiger.
Verwante Artikelen:
Linus ‘Linux’ Torvalds geeft veiligheid ontwikkelaars guidanceLinus Torvalds vs. internet security prosBogus Linux kwetsbaarheid krijgt publiciteit
Verwante Onderwerpen:
Hardware
Beveiliging TV
Data Management
CXO
Datacenters
0