Linus Torvalds: “la gente de seguridad ha alcanzado un nuevo nivel de bajeza”

No es un secreto que Linus nunca ha sido un fan de lo que él llama el circo de la seguridad informática y siempre ha buscado un balance en el sistema del pingüino, en el que se respete la usabilidad de Linux y predomine la calidad del código sobre todo.

Ahora en su cuenta de Google +, le ha dado otra vuelta de tuerca al asunto, y se permite darles un consejo a los profesionales de la seguridad, algo que poner en su curriculum o tarjeta de presentación:

No, really, I’m not a whor*. Pinky promise

Según Torvalds el mundo de la seguridad informática ha alcanzado un nuevo grado de bajeza, excediendo sus expectativas que ya no eran muchas. El nivel de corrupción en el mismo se está volviendo ridículo y la gente que trabaja en ese campo tiene un grave problema de necesidad de atención.

Linus inicialmente no menciona nombres, pero en seguida en los comentarios de su cuenta nos damos cuenta que todo esto viene a raíz del anuncio de un fallo en procesadores AMD (RYZEN y EPYC), que supuestamente incluirá vulnerabilidades y backdoors, descubierto por la firma israeĺi CTS Labs.

Bueno…si todavía no lo visteis en este humilde blog es que no es tan grave (no es un Spectre o Meltdown para entendernos). Son como esos virus que se anuncian cada cierto tiempo para Linux, que tienen sus minutos de gloria en los titulares de la prensa más ruin. Ahora últimamente también incluyen un bonito nombre, logo y pagina web dedicada.

¿Sabéis lo que tienen todos esas cosas en común? O necesitan credenciales de root y la buena voluntad del usuario para suicidarse o bien acceso físico a la máquina.

Ambos cosas, juntas o por separado, se dan en estas vulnerabilidades (“amdflaws”) que permiten saltarse la seguridad del firmware, hacer un reflash de la BIOS e inyectar código que sobrevive a la reinstalación del sistema operativo. Vale, es un fallo, pero convengamos que no es el fin de mundo y todavía no es hora de salvar a los niños.

Otro asunto a criticar es que los investigadores de CTS tan solo advirtieron con un día de antelación a la gente de AMD de su descubrimiento, cuando la habitual es dar algo de tiempo al fabricante para que solucione su problema. Entre esperar solo un día o darle años al fabricante por si le apetece arreglarlo, siempre hay un punto medio a la hora de hacer una revelación responsable.

En definitiva como en la mayoría de ocasiones Linus tiene bastante razón (el que la tiene siempre es Stallman como ya sabéis), aunque lo de ponerse a generalizar siempre es arriesgado.

  • 15/03/2018

Actualizado el post por motivos de SEO y eliminados/cerrados los comentarios, dado que con la modificación la mayoría estarían fuera de contexto. Sorry por las molestias.