Nul
CTS Labs, en hidtil ukendt Tel Aviv-baserede cybersecurity start, har hævdet, at det er fundet i løbet af en halv snes sikkerhedsmæssige problemer med AMD Ryzen og EPYC processorer. Linus Torvalds, Linux er skaberen, ikke købe det.
Torvalds, i en Google+ diskussion, skrev:
“Hvornår var sidste gang du så en sikkerhedsbulletin, der var stort set” hvis du udskifter BIOS ‘ en eller CPU-mikrokode med en ond version, kan du have et sikkerheds-problem?” Ja.”
Eller, som en kommentator udtrykte det på den samme tråd: “jeg har lige fundet en fejl i alle de hardware-plads. Ingen enhed er sikkert: hvis du har fysisk adgang til en enhed, kan du bare samle det op og gå væk. Er jeg en sikkerhed ekspert endnu?”
De har en pointe.
CTS Labs sprang ud af ingenting at give AMD mindre end 24 timer til at løse disse problemer.”
AMD undersøge chip sikkerhedshuller efter mindre end 24 timers varsel | CNET: AMD angiveligt har sit eget Spøgelse-som sikkerhedshuller
Opstart er jazzed op for sine opdagelser med et forsknings-papir, en video der beskriver sårbarheder, og, selvfølgelig, fancy navne for dem: Ryzenfall, Master-Nøgle, Fallout, og Chimera.
CTS Labs hævdet i et interview, at de gav AMD mindre end en dag, fordi de ikke tror, at AMD kunne løse problemet for “mange, mange måneder eller endda et år” alligevel.
Hvorfor skulle de så gøre det? For Torvalds: “Det ligner mere materiel manipulation end en sikkerhedsmeddelelse til mig.”
Disse er de virkelige fejl selv. Dan Guido, administrerende DIREKTØR for Spor af Bits, et vagtselskab med en dokumenteret track-record, tweeted: “Uanset den hype omkring udgivelsen, fejl er rigtige, præcist beskrevet i deres tekniske rapport (som ikke er forbudt afaik), og deres exploit kode virker.” Men, Guido også indrømmede, “Ja, alle de fejl, som kræver admin [privilegier], men alle er fejl, ikke forventede funktionalitet.”
Det er denne sidste del, at flåter Torvalds off. Linux skaberen er enig i disse bugs, men al den hype, der irriterer dælen ud af ham.
Er der fejl? Ja. Har de noget i den virkelige verden? Nej.
De kræver en system administrator til at være næsten kriminelt forsømmelige til at arbejde. Til Torvalds, inflammatoriske sikkerhed rapporter er irriterende forstyrrelser fra at få fast arbejde.
Dette er langt fra den første af disse tilfælde. En nyere Linux “sårbarhed,” Kaos, der kræves angriberen at have root-adgangskode. News flash: Hvis en hacker har root-adgangskode, dit system er allerede helt spules. Alt andet er bare detaljer.
Torvalds mener, at “det er den sikkerhed, industri, der har lært alle til ikke at være kritiske over for deres resultater.”
Han mener også, at “der er reel sikkerhed forskere.” For mange af de andre, det handler om at give selv den mest mindre sikkerhed fejl. I Torvalds’ ord: “En iørefaldende navn og en hjemmeside er næsten påkrævet for en splashy sikkerhed videregivelse i disse dage.”
Torvalds tænker “sikkerhed folk skal forstå, at de ser ud som klovne på grund af det. Hele sikkerhedsbranchen skal bare indrømme, at de har en masse af sh*t der foregår, og de skal bruge — og fremme-nogle kritiske tænkning.”
Denne tirade er langt fra første gang, Torvalds har snerrede på personer eller virksomheder til at fokusere for meget på, hvad han ser som på den forkerte ende af sikkerhed.
Som han skrev på Linux-Kernen Mailing Liste (LKML) i 2008: “jeg nægter at gider med hele sikkerhed cirkus … Det gør “heroes” ud af sikkerhed for folk, som hvis de mennesker, der ikke bare lave normale fejl er ikke så vigtigt. I virkeligheden, alle de kedelige normale fejl er _way_ mere vigtigt, bare fordi der er mange flere af dem. Jeg tror ikke, at nogle spektakulære sikkerhed hullet skal blive herliggjort, eller bekymre sig om som værende mere ‘speciel’, end en tilfældig spektakulære styrt på grund af dårlig låsning.”
Mere for nylig, han fordoblet ned på denne position, siger, at sidste år om et forslag til Linux-kernen forandring, “en vis sikkerhed folk have grinet ad mig, når jeg siger, at sikkerhedsproblemer er primært “bare bugs’. Dem sikkerhed folk er f**king idioter.”
Hvad Torvalds virkelig ønsker af sikkerhed, programmører og forskere, som han stavede ud for nylig, er:
det første skridt bør *ALTID* være “bare anmelde det.” Ikke at dræbe, ikke engang stoppe adgang. Rapportere det. Intet andet. “Do no harm” bør dit mantra om, at alle nye hærdning arbejde.
Gør det, og du vil gøre Torvalds, og en masse andre mennesker, der bekymrer sig om praktisk sikkerhed, meget gladere.
Relaterede Historier:
Linus ‘Linux’ Torvalds giver sikkerhed udviklere guidanceLinus Torvalds vs. internet security prosBogus Linux sårbarhed får omtale
Relaterede Emner:
Hardware
Sikkerhed-TV
Data Management
CXO
Datacentre
0