Linus Torvalds ataca al laboratorio CTS quienes reportaron una vulnerabilidad en AMD

ZDNet
20/03/2018

El creador de Linux piensa que el reporte del Laboratorio CTS sobre el chip AMD es: “más una manipulación de acciones que una recomendación de seguridad”.

Los laboratorios CTS, organización de ciberseguridad hasta ahora desconocida basada en Tel Aviv, comentó que se encontraron cerca de una docena de vulnerabilidades en los procesadores AMD Ryzen y EPYC. Las cuales Linus Torvalds, creador de Linux, no prestó importancia.

Torvalds, en un foro de discusión de Google+ escribió:

“¿Cuándo fue la última vez que se ha visto un aviso de seguridad así?: si reemplaza el BIOS o el microcódigo del CPU con una versión maliciosa, es posible que tenga un problema de seguridad.”

Como respuesta, otro usuario en la misma conversación escribió: “He encontrado una gran cantidad de fallas en el espacio del Hardware. Ningún dispositivo es seguro; si tienes un espacio libre en tu dispositivo, debe solamente tomarlo y huir. ¿Ya soy un experto en seguridad?”

Los laboratorios CTS de la nada enviaron un comunicado en donde le daban menos de 24 horas a AMD para solucionar estos “problemas”.

La organización ha animado sus descubrimientos con un trabajo de investigación y un video donde se describen las vulnerabilidades y por supuesto, nombres elegantes para las mismas como: Ryzenfall, Master Key, Fallout y Chimera.

En una entrevista CTS comentó que le daba menos de un día a AMD porque ellos creen que no podrá resolverlo durante meses o inclusive un año.

¿Por qué pudieron realizar esto? Para Torvalds: “es más una manipulación de acciones que una recomendación de seguridad”.

Sin embargo, existen verdaderas vulnerabilidades. Dan Guido, CEO de Trail of Bits, compañía de seguridad encargada de ratrear registros twitteo: “A pesar de toda la información que se ha esparcido, existen vulnerabilidades, las cuales se describieron en un reporte técnico (no público), y su forma de explotación. Pero, Guido admitió: “Las vulnerabilidades requieren privilegios de administrador, pero existen, sin importar la funcionalidad.”

Esta última parte es lo que desagrada a Torvalds. Él está de acuerdo en que existen esos errores, pero la forma de explotación es molesta.

¿Son vulnerabilidades? Sí. ¿Le importan al mundo? No.

Requieren de un administrador de sistemas que sea realmente negligente. Para Torvalds, los reportes de seguridad solamente son distracciones para personas que realmente quieren realizar su trabajo.

Un ejemplo de esto es una “vulnerabilidad” encontrada en Linux, llamada Chaos, la cual requiere que el atacante conozca la contraseña de root. Como respuesta a esto, si un atacante tiene la contraseña de root, todo tu sistema está comprometido, lo demás son solo detalles.

Torvalds cree, “que en esta industria nadie es crítico con los descubrimientos que realiza”.

Además, cree “que existen verdaderos investigadores de seguridad”. Para el resto, solamente proporcionan pequeñas fallas de seguridad. En las palabras de Torvalds: “Un nombre pegadizo y un sitio web es lo mínimo requerido para encontrar vulnerabilidades en estos días.”

Torvalds piensa: “personas involucradas en la seguridad necesitan entender que ellos parecen payasos realizando este tipo de acciones. La industria encargada de detectar vulnerabilidades necesita admitir que ellos están cometiendo errores y realizar un análisis crítico de sus descubrimientos.”

Esta situación no es la primera vez que Torvalds se ha molestado con personas u organizaciones por centrarse demasiado en lo que él ve como el extremo equivocado de la seguridad.

Como escribió en el libro Linux Kernel Mailing List (LKML) en 2008: “Me reúso a formar parte de este circo… se hacen llamar héroes para las personas que desconocen del tema, como si las personas encargadas de solucionar esos errores no fueran importantes. De hecho, todos los huecos de seguridad aburridos son más importantes, simplemente porque existen muchos más de ellos. No creo que una vulnerabilidad deba de ser glorificada y protegida debido a que es más especial que otras.”

Recientemente, Torvalds tomó esta postura, ante un cambio solicitado en el kernel de Linux comentó: “Algunos expertos de seguridad se han burlado de mí cuando digo que algunas vulnerabilidades son ´simplemente errores´, en mi opinión esas personas son idiotas.”

Lo que Torvalds realmente cree que necesitan los desarrolladores e investigadores de seguridad es:

  • El primer paso siempre es, solo repórtalos. No destruyas las cosas, no afectes el acceso. Repórtalo, nada más.
  • “No dañar” debe de ser tu mantra para cualquier tipo de trabajo.

Haz eso y harás a Torvalds y mucha gente preocupada en la seguridad práctica mucho más feliz.

Artículos relacionados: