Наряду с действительно важными проблемами, под видом зияющих дыр в безопасности подаются недоработки, требующие физического доступа к устройству и наличия прав администратора. Другими словами, пользователя пугают проблемами с защитой его данных после замены BIOS компьютера или микрокода процессора.

Бесконечный поток уязвимостей

Примером может служить нашумевшая история с израильской конторой СTS Labs, якобы обнаружившей десяток уязвимостей в процессорах AMD Ryzen и EPYC. Ситуация выглядела сомнительной с самого начала, поскольку названные эксперты не посчитали нужным проинформировать производителя процессоров об обнаруженных проблемах. Свое мнение по поводу подобных экспертов высказал и Линус Торвальдс, создатель одной из самых безопасных операционных систем (Linux).   

Клоуны и спекулянты

В ветке социальной сети Google+, где обсуждалась проблема, Торвальдс резко высказался о подобных «экспертах», назвав их действия манипулированием курсом акций вместо решения проблем безопасности. Если хакер имеет права администратора, а тем более, физический доступ к компьютеру, то систему уже можно считать взломанной. Получить доступ к имеющейся информации остается делом техники. Спекуляции на мелких дырах в безопасности, придумывание броских имен названным уязвимостям и создание посвященным им сайтов часто делает таких экспертов клоунами.

Как вы лодку назовете…

Что касается уязвимостей в процессорах AMD, то специалисты CTS Labs дали производителю менее 24 часов на исправление недоработок, аргументировав свое решение тем, что исправить указанные недоработки AMD сможет лишь через много месяцев. Обнаруженным «дырам» израильские специалисты дали громкие и броские названия, наподобие MasterKey, Ryzenfall, Chimera и Fallout.

Эксперты бывают разные

Торвальдс считает, что индустрии безопасности сильно вредит некритическое отношение пользователей к обнаруженным проблемам. Если настоящие исследователи проводят титаническую работу по поиску уязвимостей и способов защиты оборудования, то большинство других попросту спекулирует на проблеме, создавая ненужную шумиху.

В качестве примера он приводит недавно обнаруженную в Linux уязвимость Chaos, главным условием срабатывания которой является наличие у хакера root-доступа. По сути, ее исправление не имеет особой важности, поскольку доступ к информации злоумышленник имеет и без ее использования.