”Uudet pohjat” – Linus Torvalds tylyttää AMD-aukon löytäjiä todella rajusti - Tietoturva - Ilta-Sanomat

”Uudet pohjat” – Linus Torvalds tylyttää AMD-aukon löytäjiä todella rajusti

Teknologiavaikuttaja Linus Torvalds ei pidä uusia AMD-haavoittuvuuksia minkäänlaisen kohkaamisen arvoisina.

Linus Torvaldsin mukaan israelilaisen tietoturvayhtiön CTS-Labsin tiedote vaikuttaa yritykseltä heiluttaa osakekursseja.

16.3.2018 10:06

Linux-käyttöjärjestelmän kehittäjä Linus Torvalds ei hyväksy alkuunkaan israelilaisen CTS-Labsin raporttia AMD-aukoista tai edes sitä tapaa, millä aukot tuotiin julki.

Torvalds esitti näkemyksensä Google+ -keskustelussa.

– Näyttää siltä, että tietoturvamaailma on ottanut uudet pohjat. [...] Minä luulin, että koko ala oli jo ennen korruptoitunut, mutta tämä alkaa olla naurettavaa, Torvalds päivittelee.

Yllättäen häntä ei ärsytä haavoittuvuuksien paljastaminen vain vuorokausi sen jälkeen, kun CTS oli kertonut niistä AMD:lle. Itse asiassa Torvaldsin mielestä tietoturvaajat antavat yrityksille usein liikaa aikaa ongelmien korjaamiseen.

– Se on se tiedote itsessään, joka on roskaa ja koko huomiohuorailu sen ympärillä, Torvalds jyrähtää.

Torvalds on saanut tarpeekseen nykymuodista, missä erilaisille haavoittuvuuksille annetaan seksikäs nimi ja niitä varten perustetaan omia verkkosivustoja. Myös CTS toimi tällä tavalla.

Suurelta osin ilmiön takana on suomalainen Codenomicon, joka vuonna 2014 löysi haavoittuvuuden OpenSSL-kirjastosta. Sille annettiin nimeksi Heartbleed ja sille perustettiin verkkosivu. Kyseessä oli kuitenkin merkittävä ja erittäin laaja-alainen ongelma.

"Osakekurssien manipulointia"

Toiset ovat vahvistaneet AMD:n haavoittuvuuksien olemassaolon. Aukkoihin tutustunut tietoturvatutkija Dan Guido tulkitsi ongelmien olevan todellisia. Mutta aukkoihin ei ole yksinkertaista hyökätä, koska ensin tietokone on saatava jollain toisella tavalla hyökkääjien haltuun. Torvalds katsookin, että aukot ovat aivan liian konstikkaita oikeuttaakseen saamansa mediahuomion.

CTS:n raportissa oli myös eriskummallinen huomautus siitä, että tutkijoilla saattaa olla joko suora tai epäsuora taloudellinen intressi AMD:n tai muiden yhtiöiden osakekurssiin.

– Se näyttää minusta enemmän osakekurssien manipuloinnilta kuin tietoturvatiedotteelta, Torvalds tulkitsee.

Torvalds on kommentoinut tietoturva-asioita varsin kärkkäästi viime aikoina. Vähän aikaa sitten hän suhtautui erittäin kriittisesti siihen tapaan, jolla Intel korjasi Spectre- ja Meltdown-haavoittuvuuksia suorittimistaan. Hän tuomitsi korjaukset "täydeksi roskaksi".

Osion tuoreimmat

Luitko jo nämä?