Создатель ядра Linux призвал критичнее относиться к подобным отчетам.
В среду, 14 марта, SecurityLab писал о подобных Spectre и Meltdown уязвимостях в процессорах AMD Ryzen и EPYC, выявленных специалистами израильского стартапа CTS Labs. Что интересно, исследователи предоставили производителю всего 24 часа на ознакомление с отчетом, подтверждение проблемы и подготовку патчей, после чего обнародовали информацию. Впрочем, CTS Labs не раскрыла никаких технических подробностей об уязвимостях. Тем не менее, данное решение вызвало возмущение со стороны сообщества экспертов по кибербезопасности, заподозривших, что с помощью «выдуманных» уязвимостей компания просто пытается стимулировать снижение стоимости акций AMD и приобрести их по более выгодной цене.
Создатель ядра Linux Линус Торвальдс также призвал критичнее относиться к подобным отчетам. «Когда вы в последний раз видели предупреждение, которое, по сути ''если вы замените микрокод BIOS или CPU злой версией, то получите проблему безопасности''? Вот именно», - написал Торвальдс в соцсети Google+.
Ряд экспертов в области безопасности, с которыми CTS Labs поделилась информацией, подтвердили, что уязвимости действительно существуют. «Несмотря на шумиху, вызванную публикацией, уязвимости реальны, точно описаны в их [CTS Labs] отчете, и эксплоит работает», - написал специалист компании Trail of Bits Дэн Гуидо (Dan Guido). - «Да, все уязвимости требуют прав администратора, но это именно уязвимости, а не ожидаемая функциональность».
Торвальдс не отрицает наличия проблем, но считает, что общественность должна относиться к подобным отчетам с долей скепсиса. По его мнению, многие эксперты стараются всеми силами привлечь внимание даже к самой незначительной уязвимости. «Сейчас запоминающееся название и web-сайт стали практически требованием для громкого раскрытия. Исследователям нужно понимать, что из-за этого они выглядят, как клоуны. Всей индустрии нужно признать, что творится много всякой х**и, и они должны использовать – и поощрять – критическое мышление», - заявил Торвальдс.
В свою очередь, главный технический директор CTS Labs Илья Люк-Зильберман (Ilia Luk-Zilberman) в открытом письме пояснил позицию компании. По его словам, текущая модель «ответственного раскрытия» информации об уязвимостях обладает серьезной проблемой. Если исследователь находит уязвимость, данная модель предполагает, что эксперт и вендор работают в тандеме для выпуска патчей в ограниченное время (30/45/90 дней), и по истечении этого срока исследователь публикует данные об уязвимости.
«Главная проблема, по моему мнению, заключается в том, что в этот период вендор самостоятельно решает, информировать своих клиентов о наличии проблемы или нет. Насколько я знаю, производители довольно редко уведомляют клиентов ранее срока […]. Как правило, это всегда происходит уже после – "У нас были проблемы, вот патч, не нужно беспокоиться". Вторая проблема - если вендор вовремя не предоставляет исправление, что тогда? Исследователь публикует информацию? С техническими подробностями и эксплоитами? Поставив под угрозу пользователей? […] Мне кажется, лучшим методом будет сразу уведомлять общественность о существовании уязвимостей и их влиянии. Проинформировать одновременно и пользователей, и производителя, и не раскрывать никакие подробности, если проблема уже не исправлена. [Нужно] с самого начала подвергнуть производителя общественному давлению, но никогда не ставить под угрозу пользователей», - написал Люк-Зильберман.
Одно найти легче, чем другое. Спойлер: это не темная материя