Forsker lurte pressen: Apple-hull var tull

Portrait of attractive cheerful man using laptop reading joke funny laughing isolated over light grey color background.

At 'tre fjær blir til 5 høns' er ganske normalt i sikkerhetsbransjen. Presse og leverandører går hånd i hånd, skaper sirkus og avsporer viktige aktiviteter. Enda godt noen har humor og energi til å avsløre hysteriet. Rapportene om hull i Apples M1-chip er en forsinket aprilspøk. Som pressen gikk fem-på.

Snarere regelen enn unntaket: Når journalister (eller politikere, byråkrater og mange andre grupper) gir seg i kast med komplisert teknologi, blir resultatet ofte støyfylt, sjelden meningsfylt. Eksemplene vi nylig diskuterte i Null intelligens og Byråkratisk forvirring: Dark cache er betimelige. Alvorlige misforståelser med alvorlige konsekvenser. 

Det nye eksemplet – som involverer Apples etterhvert berømte M1-chip – er det motsatte: Tragikomisk. En felle satt opp av en sikkerhets-forsker som har sett seg lei på både pressens og bransjens hysteri rundt uvesentligheter i sikkerhets-sfæren.  

Ved første øyekast ser Hector Martin's beskrivelse alvorlig ut: 

… allows any two applications running under an OS to covertly exchange data between them, without using memory, sockets, files, or any other normal operating system features.Hector Martin

Inntrykket forsterkes av den tilhørende web-siden – med det velklingende navnet M1RACLES.com, der problemet blir beskrevet og demonstrert. Så slipper han luften ut av ballongen: 

…nobody's going to actually find a nefarious use for this flaw in practical circumstances.

Her burde all seriøs interesse for 'feilen' stoppe. Det finnes langt enklere veier til målet, hvis målet er å utveksle informasjon mellom prosesser i hemmelighet. Dessuten – hva er risikoen om noen faktisk skulle gjøre det? Hele 'historien' virker selvmotsigende, hvilket viser seg å være hensikten. Martin har sett seg lei på pressens og bransjens lettvinte, ofte useriøse omgang  med virkeligheten. Han ønsker å …

... poke fun at how ridiculous infosec clickbait vulnerability reporting has become lately. Just because it has a flashy website or it makes the news doesn't mean you need to care.Hector Martin

Et initiativ vi ønsker hjertelig velkommen. Vår 'kamp' mot lekkasjehysteriet rundt først Intels, senere mange andre prosessor-brikker for et par år siden (Meltdown og Spectre, se Meltdown: Fra krise til farse) føltes unektelig ensom til tider. Og samtidig viktig:

Verden hadde hatt det bedre uten kunnskap om Spectre og Meltdown. Sikkerheten er redusert, ikke på grunn av svakhetene, men på grunn av tiltakene. 

Til tross for den tydelige meldingen fra Hector Martin, gikk store deler av pressen rett i baret. Inklusive vår lokale Digi.no, som behendig overser (eller misforstår) realitetsbeskrivelsen og kaller 'problemet' vekselvis designfeil, hull, innebygget sårbarhet og sikkerhetshull. Digi.no og utallige andre avslører seg selv: Null innsikt, minimal forståelse og full fokus på clickbaits, overskrifter som 'drar' museklikk. 

Som Martin selv konstaterer: Dette er ingen feil, men en egenskap. Som muligens - teoretisk - kan misbrukes. Forøvrig en egenskap Apples M1 deler med de fleste prosessorer på markedet, og kan demonstreres på de fleste PCer – i kontrollerte omgivelser.

Martin kan kritiseres for å ha laget enda mer støy, men får i stedet takk fra profesjonelle miljøer for å ha hengt bjella på katten så å si. Senior Instructor i sikkerhets-organisasjonen SANS, Lance Spitzner, formulerer det slik:

Kudos to Hector on this one. Instead of using FUD to draw attention to his finding, he was transparent and honest about its overall impact. Unfortunately, in our community sometimes researchers over dramatize their findings, causing more harm than good.Lance Spitzner

Johannes Ullrich, Dean of Research @ SANS Institute,  legger til:

It is a long going issue in our industry that we focus on the new and shiny instead on the boring but necessary. Remember: Security is working best if it is boring, routine, and doesn't feel like firefighting.

Markedet trenger mindre støy, mer fokus, bredere forståelse. Hector Martin's 'aprilspøk' gir ikke smartere journalister, men hjelper resten av markedet til å ignorere støyen.

Legg igjen kommentar

Din epost-adresse vil ikke bli vist.


*


Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.