Linus Torvalds está harto del drama que los investigadores de seguridad causan por bugs que no importan en el mundo real

Esta semana la empresa CTS-Labs afirmaba haber encontrado 13 vulnerabilidades graves en los chips AMD Ryzen y EPYC, fallos que según podrían ser explotados para acceder a todos los datos de las máquinas con esos procesadores.

CTS Labs salió de la nada y le dio a AMD menos de 24 horas para solucionar los supuestos problemas porque según ellos no creían que de todas formas se pudieran resolver en muchos meses o incluso un año. A Linus Torvalds todo esto le resulta más que cuestionable y no se la cree, le parece que es manipulación para llamar la atención en lugar de verdadero interés en la seguridad.

En una discusión en Google+, el creador de Linux dijo que el mundo de la seguridad había caído a un nuevo nivel, llegando a decir cosas como que si alguien trabaja en seguridad y cree que tiene algo de moral, debería ir tan lejos como añadir a sus tarjetas de presentación la siguiente frase:

No, no soy una puta, de verdad. Lo prometo.

Para Torvalds la industria completa ya era corrupta pero está llegando a niveles ridículos y cree que es hora de que acepten que tienen un problema con querer llamar la atención.

Cuando una vulnerabilidad es más una treta publicitaria que un problema real

La cuestión con los fallos reportados por CTS Labs, que parecen ser reales aunque AMD aún no haya declarado nada, es que requieren privilegios administrativos para ser aprovechados, y esa es la parte que a Torvalds le molesta más.

En el caso de las vulnerabilidades reportadas por CTS Labs, Linus dice algo así en las lineas de cuando fue la última vez que alguien vio que un asesor de seguridad dijera que si reemplazas la BIOS o el microcódigo del CPU por una versión diabólica podrías tener un problema de seguridad.

Ó, como comenta alguien en la discusión, si encuentras un fallo en todo el hardware y dices que ningún dispositivo es seguro porque tienes acceso físico a él y lo puedes lo recoger y salir corriendo, entonces ya eres un experto de seguridad.

Es decir, sí, los bugs existen, pero no importan realmente en el mundo real. Si alguien ya tiene acceso físico o los privilegios administrativos, que pueda aprovechar una "vulnerabilidad" u otra es lo de menos, ya tiene todo el acceso necesario para hacer lo que le de la gana de todas maneras.

Linus cree que que este tipo de reportes inflamatorios lo que hacen es crear distracciones y quitar atención del trabajo real. Y que parece que para revelar un problema de seguridad ultimamente es imprescindible un nombre pegadizo y un sitio web. "La gente de seguridad necesita entender que lucen como payasos haciendo esto".

Aunque irónicamente para criticar esto termina haciendo comentarios inflamatorios él también, algo por lo que es casi tan famoso como por haber creado Linux.

Vía | ZDNet
En Genbeta | Linus Torvalds vuelve a la carga: dice que los parches de Intel son una "absoluta y completa basura"