AMDFlaws – Scoperte 13 dubbie vulnerabilità

AMDFlaws – Scoperte 13 dubbie vulnerabilità

Siamo ancora nel bel mezzo del pandemonio causato da Meltdown e Spectre, Intel sta contestando un risarcimento da 5 miliardi di dollari, e nel frattempo appare in rete un sito: AMDFlaws. Alcuni “ricercatori” hanno trovato delle vulnerabilità esclusive di AMD; le virgolette sono d’obbligo, lo capirete leggendo e notando un tono non proprio professionale. Internet è un posto fantastico, ma basta molto poco per dare il via ad una caccia alle streghe; ed ecco che, come per magia, la mia casella di posta è stracolma di notizie in merito a queste falle. Ovviamente potrebbero essere legittime e destare preoccupazioni, ma le fonti non sembrano esserlo in pieno.

AMDFlaws – Un po’ di “storia”

La copertura mediatica è senza dubbio immensa, tant’è che anche noi di PickTime ne stiamo parlando; ma voglio basarmi su delle analisi condotte da altri rispettabili colleghi dell’industria come GamersNexus ed AnandTech: quindi non proprio gli ultimi arrivati. Stando al whitepaper presentato dal primo team di presunti ricercatori, sarebbero presenti quattro tipologie di vulnerabilità denominate: Ryzenfall, Fallout, Chimera ed infine Masterkey. Per le prime tre è necessario avere accesso di amministratore direttamente sulla macchina: fondamentalmente username e password di un utente che abbia privilegi di amministrazione e, sinceramente, chiunque abbia tali credenziali può installare malware; non dovrebbe quindi essere indicata come una mancanza intrinseca del chip. Per la variante Masterkey invece, è necessario effettuare un flash del BIOS con uno ad hoc; quindi nuovamente è necessario passare fisicamente dalla macchina. Tutti questi dettagli infatti rendono un sistema vulnerabile indipendentemente dalla CPU utilizzata.

CTSLabs – Qualcosa di losco bolle in pentola con AMDFlaws

A dare contro la credibilità di queste scoperte ci pensano i ricercatori stessi: nei primissimi paragrafi del documento pubblicato viene indicato che: “per assicurare la sicurezza pubblica, tutti i dettagli tecnici che possono essere usati per riprodurre le vulnerabilità sono stati esclusi da questo documento (il whitepaper di prima)”. La mancanza di codice d’esempio, come presentato dal team di Project Zero in fase di pubblicazione di Meltdown e Spectre; alimenta la teoria che in realtà si tratti di banale sensazionalismo dovuto a sentimenti avversi. Interessante notare anche una nota legale in coda al documento: “Il report e tutte le affermazioni contenute in esso sono opinioni di CTS e non dichiarazioni basate su fatti“; la totale assenza di prove concrete e la candida ammissione di aver creato un documento d’opinione, certo non gioca a favore di questi “ricercatori”; così come un dominio graficamente accattivante (insolito) e con neanche un mese all’attivo.

AMDFlaws - Scoperte 13 dubbie vulnerabilità

Data creazione dominio AMDFlaws.com – Estrapolati da whois.icann.org

Cosa ha da dire AMD?

Buttiamo nel calderone anche l’improbabile finestra temporale data ad AMD di 24 ore (lo standard per l’industria è 90 giorni), quindi aggiungiamo anche quanto dichiarato dall’azienda di Sunnyvale per rendere il concetto ancora più chiaro e lampante. Teniamo in conto che prima della divulgazione dei risultati di Project Zero, la finestra temporale concessa è stata di circa sei mesi.

Abbiamo appena ricevuto un report da una compagnia chiamata CTS Labs sostenendo che ci siano delle potenziali vulnerabilità di sicurezza in alcuni dei nostri processori. Stiamo investigando attivamente ed analizzando le scoperte. Questa compagnia [CTS Labs, NdR] era precedentemente ignota ad AMD e troviamo inusuale per una compagnia di sicurezza pubblicare le sue ricerche alla stampa senza fornire un lasso di tempo ragionevole alla compagnia per ricercare e dedicarsi a questi ritrovamenti. In AMD, la sicurezza è la priorità assoluta e continueremo a lavorare per assicurare la sicurezza dei nostri utenti all’insorgere di potenziali nuovi rischi. Aggiorneremo questo blog con ulteriori sviluppi.

Viceroy Research – Un altra contribuzione ad AMDFlaws

Storia leggermente differente per Viceroy Research, la quale usa un titolo allucinante sul proprio documento (basato su quanto pubblicato da CTS Labs): AMD – Il necrologio. Per chi fosse interessato ad una lettura principalmente indirizzata verso la pura denigrazione, oltre che un’ottima dose di quello che ai miei occhi appare come atteggiamento da fanboy; a questo link potete trovare l’intero documento in formato PDF. Avendo già dato uno sguardo preliminare alle sedicenti scoperte avanzate dall’ignota azienda di sicurezza informatica, non starò qui ad ammorbarvi con ulteriori dettagli; mi dedicherò a due estratti salienti che senza dubbio contribuiscono alla minima credibilità, sia del sito che del documento.

  • AMD deve immediatamente bloccare la vendita i suoi processori Ryzen ed EPYC
  • Anche un solo chip Ryzen può mettere a rischio una rete aziendale
  • Crediamo che AMD valga 0.00 USD e non avrà altra scelta che richiedere il Chapter 11 (bancarotta) in modo da poter affrontare le ripercussioni delle recenti scoperte – Non voglio nemmeno commentare

Vale la pena notare come si tratti di un gruppo anonimo e con degli interessi finanziari a spingere tali ricerche; quindi la percezione potrebbe senza dubbio essere stata alterata, in modo intenzionale o meno: ma si tratta di una lettura interessante, divertente e spaventosa allo stesso momento.

Per il momento è tutto, non sono presenti ulteriori notizie che possano dare un impatto esclusivo per i sistemi Ryzen; in quanto con un accesso diretto alla macchina qualsiasi sistema è vulnerabile. Voi cosa ne pensate? C’è da preoccuparsi sul serio oppure si tratta di un delirio momentaneo?

COMMENTS

DISQUS: 0