CTS Labs, an almost unknown company from Tel Aviv, claimed to have discovered over a dozen security problems with AMD Ryzen and EPYC processors. Linus Torvalds, the creator of Linux, publicly challenged them.
Torvalds, he says Google+:
"Πότε ήταν η τελευταία φορά που είδατε μια συμβουλή ασφαλείας να αναφέρει: "αν αντικαταστήσεις το BIOS ή τον μικροκώδικα της CPU με μια κακή έκδοση, μπορεί να έχεις κενά ασφαλείας;"
Ή, όπως ανέφερε παρακάτω ένας σχολιαστής στο ίδιο νήμα, «βρήκα ένα ελάττωμα στο hardware. Καμία συσκευή δεν είναι ασφαλής: αν έχετε φυσική πρόσβαση σε μια συσκευή, μπορείτε απλά να την πάρετε και να φύγετε μακριά. Είμαι ειδικός ασφαλείας;"
They are right.
H CTS Labs ξεπήδησε από το πουθενά για να δώσει στην AMD λιγότερες από 24 ώρες για να αντιμετωπίσουν αυτά τα "προβλήματα".
Η startup released her findings in a white paper and a video which describes the vulnerabilities. All the vulnerabilities of course, have fancy names: Ryzenfall, Master Key, Fallout and Chimera.
CTS Labs claimed in one interview που έδωσαν ότι AMD δεν διόρθωνε τα προβλήματα για "πολλούς, πολλούς μήνες ή ίσως και ένα χρόνο."
But why do they do that? According to Torvalds:
"Μοιάζει περισσότερο με χειραγώγηση παρά με μια συμβουλή ασφαλείας για μένα".
But see, this is for real errors. Dan Guido, CEO of Trail of Bits, a security company with a proven track record, stated that:
"Ανεξάρτητα από τη διαφημιστική εκστρατεία της κυκλοφορίας, τα σφάλματα είναι πραγματικά, περιγράφονται με ακρίβεια στην τεχνική έκθεση (η οποία δεν είναι δημόσια) ο κώδικας με τα exploits λειτουργεί."
Αλλά, ο Guido παραδέχτηκε επίσης: "Ναι, όλα τα ελαττώματα απαιτούν admin [προνόμια], αλλά όλα είναι ελαττώματα, και όχι κάποια αναμενόμενη λειτουργικότητα."
The Linux creator agrees that these are bugs but that all of their advertising is bothering him:
Are there any errors? Yes. Do they matter in the real world? No.
A system administrator is required and it would be almost criminally negligent to give access to someone you don't know. For Torvalds, malicious security reports are annoying and distracting to her real work.
Ο Torvalds πιστεύει ότι "υπάρχουν πραγματικοί ερευνητές ασφαλείας". Σύμφωνα με του Torvalds: "Ένα πιασάρικο όνομα και μια ιστοσελίδα είναι σχεδόν απαραίτητη για μια αποκάλυψη ασφαλείας αυτές τις μέρες."
Ο Torvalds αναφέρει καυστικά ότι "οι άνθρωποι της ασφάλειας θα πρέπει να καταλάβουν ότι μοιάζουν με κλόουν εξαιτίας αυτού. Ολόκληρη η βιομηχανία ασφαλείας πρέπει απλά να παραδεχτεί ότι έχουν πολλά να κάνουν και ότι πρέπει να χρησιμοποιήσουν και να ενθαρρύνουν την κριτική σκέψη ."
What Torvalds really wants from developers and security researchers, as he recently wrote, is:
Το πρώτο βήμα θα πρέπει να είναι ΠΑΝΤΑ "να το αναφέρετε". Να το αναφέρετε. Τίποτα άλλο.
Το "Μην κάνετε κακό" θα πρέπει να είναι το mantra σας για κάθε νέα εργασία στο hardware.
