В останні місяці інформаційні стрічки технічних ресурсів рясніють повідомленнями про десятки знайдених вразливостей в програмному і апаратному забезпеченні комп’ютерів і мобільних пристроїв.
Поряд з дійсно важливими проблемами, під виглядом зяючих дірок в безпеці подаються недоробки, які потребують фізичного доступу до пристрою і наявності прав адміністратора. Іншими словами, лякають користувача проблемами із захистом його даних після заміни BIOS комп’ютера або мікрокоду процесора.
Нескінченний потік вразливостей
Прикладом може служити гучна історія з ізраїльської конторою СТЅ Labs, нібито виявила десяток вразливостей в процесорах AMD Ryzen і EPYC. Ситуація виглядала сумнівною з самого початку, оскільки названі експерти не вважали за потрібне поінформувати виробника процесорів про виявлені проблеми. Свою думку з приводу подібних експертів висловив і Лінус Торвальдс, творець однією з найбезпечніших операційних систем (Linux).
Клоуни і спекулянти
В гілці соціальної мережі Google+, де обговорювалася проблема, Торвальдс різко висловився про подібних «експертів», назвавши їх дії маніпулюванням курсом акцій замість вирішення проблем безпеки. Якщо хакер має права адміністратора, а тим більше, фізичний доступ до комп’ютера, то систему можна вважати зламаної. Отримати доступ до наявної інформації залишається справою техніки. Спекуляції на дрібних дірки в безпеці, придумування помітних імен названим вразливостей і створення присвяченого їм сайтів часто робить таких експертів клоунами.
Як ви човен назвете…
Що стосується вразливостей в процесорах AMD, то фахівці CTS Labs дали виробнику менше 24 годин на виправлення недоробок, аргументувавши своє рішення тим, що виправити зазначені недоліки AMD зможе лише через багато місяців. Виявленим «дірок» ізраїльські фахівці дали гучні і яскраві назви, на кшталт MasterKey, Ryzenfall, Chimera і Fallout.
Експерти бувають різні
Торвальдс вважає, що індустрії безпеки сильно шкодить некритичне ставлення користувачів до виявлених проблем. Якщо справжні дослідники проводять титанічну роботу з пошуку вразливостей і способів захисту обладнання, то більшість інших просто спекулює на проблемі, створюючи непотрібний галас.
В якості прикладу він наводить нещодавно виявлену в Linux вразливість Chaos, головною умовою спрацьовування якої є наявність у хакера root-доступу. По суті, її виправлення не має особливої важливості, оскільки доступ до інформації зловмисник має і без її використання.
Джерело: http://mobigame.com.ua/
