Depois da descoberta das vulnerabilidades Meltdown e Spectre, a segurança dos processadores passou a ser um assunto bastante popular na comunidade, ainda mais agora que a AMD se vê no centro de mais uma controvérsia de segurança.
Tudo aconteceu depois de uma empresa ligada à segurança informática, conhecida como CTS-Labs, ter publicado uma pesquisa que fala detalhadamente de quatro supostas vulnerabilidades presentes nos processadores com micro-arquitectura AMD Zen e que foi imediatamente seguida de uma publicação da ‘Viceroy Research’ acerca do mesmo assunto.
À primeira vista, parecem ser notícias horríveis para a AMD, mas serão estas entidades de confiança ?
O que sabemos até agora ?
A CTS-Labs afirma que descobriu quatro vulnerabilidades chave nos processadores baseados na arquitectura AMD Zen, dando-lhe os nomes de ‘Ryzenfall‘, ‘Chimera‘, ‘Fallout‘ e ‘Masterkey‘.
Pode saber mais detalhes sobre as vulnerabilidades aqui:
Uma das vulnerabilidades, a ‘Masterkey’ requer que o atacante tenha acesso físico ao sistema, mas…
Se um atacante tiver acesso físico a uma máquina, irá sempre conseguir executar Malware, seja um sistema AMD, Intel ou até mesmo um dos PCs de brincar da Toys’r’us!
A parte importante aqui, é onde se situa a vulnerabilidade, algo que a investigação da CTS-Labs não específica.
Esta investigação afirma que estas vulnerabilidades são resistentes à re-instalação do sistema operativo, abrindo caminho à espionagem indetectável. No entanto não incluem qualquer tipo de dados técnicos ou provas de conceito… O que é extremamente importante!
Uma frase no final da publicação diz:
“Na nossa opinião, a natureza básica de algumas destas vulnerabilidades mostra que a AMD descurou completamente os princípios fundamentais de segurança, levantando questões relativas às suas práticas, auditoria e controlo de qualidade.”
Esta frase é basicamente um resumo da publicação. Parece uma tentativa de desacreditar a AMD junto não só dos investidores, como também dos seus clientes. Isto é quase como se estivéssemos a falar de um ataque em vez de uma tentativa de ajudar a empresa a melhorar os seus métodos de segurança, para o bem de todos os consumidores.
A explicação da CTS-Labs
A CTS-Labs diz que escolheu remover os detalhes técnicos da sua publicação para garantir a segurança dos consumidores. Por esse motivo esta empresa escolheu dar a informação à AMD, empresas de segurança e reguladores.
Mas é importante notar que isto só foi feito depois do envio de um esboço das vulnerabilidades para a comunicação social !
A AMD até já confirmou que realmente recebeu a informação, mas que apenas teve 24 horas para investigar tudo isto, antes de a informação ser tornada publica.
Isto é muito diferente do que se costuma acontecer nestes casos. No Google Project Zero, por exemplo, as empresas tiveram 90 dias para investigar e corrigir as vulnerabilidades antes de o caso vir a público… a CTS-Labs não deu esta oportunidade à AMD.
Claro que estas descobertas podem ser reais, mas no entanto a apresentação e a maneira como a informação chegou ao público deixa imenso a desejar… Estas vulnerabilidades estão a ser pintadas como se fossem o fim do mundo, apesar do facto de que na maioria dos casos, é necessário ter acesso físico e privilégios de administrador para as conseguir aplicar.
Também é preciso ter em conta, que a CTS-Labs era desconhecida no mundo da segurança… até agora !
Até a própria AMD disse que nunca tinha ouvido falar da empresa!
O que faz sentido, pois esta apenas foi fundada em 2017, e o site ‘amdflaws.com’ apenas foi lançado ontem, com a investigação a ser apenas publicada 3 horas depois do lançamento do site.
O domínio foi registado em Fevereiro mas a pessoa que o registou, escondeu a sua identidade, algo que não é normal nestes casos.
Viceroy Research
Já falámos imenso acerca da CTS-Labs, mas ainda não tocámos sequer na Viceroy Research, isto porque enquanto a CTS-Labs foi a empresa que publicou as vulnerabilidades, foi a Viceroy que publicou um PDF de 25 página a falar do assunto, mais ao menos ao mesmo tempo que o site ‘amdflaws.com’ foi posto online.
O próprio PDF da Viceroy tem o título de “AMD – The Obituary”, chegando a dizer que a “AMD vale 0.00$, não tendo qualquer opção a não ser declarar insolvência”.
Palavras bastante duras e fora do normal para situações como esta, o que só dá força à teoria que todo este espectáculo apenas serve para denegrir a imagem da gigantes dos processadores, rival da Intel.
As acções da AMD já estão em queda. No entanto a fabricante de processadores já se encontra a investigar as afirmações da CTS-Labs e irá esclarecer todas as dúvidas quando tiver mais informação.
O que acham de tudo isto ?
