Vulnerabilità nei processori AMD: i ricercatori di CTS-Labs si difendono

Da un paio di giorni non si fa altro che parlare delle presunte vulnerabilità scoperte da una piccola società israeliana, CTS-Labs, nei processori AMD Ryzen ed EPYC. Noi ne abbiamo dato brevemente notizia in attesa di un riscontro ufficiale da parte di AMD: Scoperte 13 vulnerabilità nei processori AMD Ryzen ed EPYC.

Da parte nostra, anche se le vulnerabilità sembrano davvero reali, riteniamo “censurabile” il comportamento di CTS-Labs che ha pubblicato subito le informazioni sulla loro esistenza senza offrire un congruo preavviso ad AMD.
Secondo il concetto di responsible disclosure, è ormai consolidata l’abitudine di informare le aziende sulle nuove vulnerabilità scoperte concedendo loro 60-90 giorni di tempo per prenderne coscienza e attivarsi per la correzione delle falle.

Si tratta dello stesso schema sempre applicato, per esempio, dal team di Google Project Zero: è infatti palese che CTS-Labs abbia lavorato per diverse settimane per produrre la documentazione a supporto delle sue argomentazioni non lasciando neppure il tempo materiale ai tecnici di AMD per analizzarle in modo approfondito.

In molti hanno sollevato forti dubbi, quindi, sul comportamento di CTS-Labs vedendo la mano lunga del principale concorrente di AMD sull’intera operazione.
Allo stato attuale si tratta solamente di “illazioni” perché non esistono prove circa il coinvolgimento di altre società in un’eventuale operazione tesa a screditare i prodotti di casa AMD.
Ognuno è evidentemente libero di avanzare ipotesi nel privato delle proprie mura ma allo stato attuale non è possibile trarre conclusioni affrettate o arrivare a sentenze non suffragate da alcuna prova.

Il direttore tecnico di CTS-Labs ha provato a difendere l’operato della sua azienda in una lettera aperta, appena pubblicata sul sito amdflaws.com.

Ilia Luk-Zilberman, CTO di CTS-Labs, sostiene che la sua società – di piccole dimensioni perché formata da appena sei ricercatori – ha iniziato ad analizzare i chip ASMedia, azienda taiwanese che produce i chipset per le piattaforme consumer AMD, circa un anno fa.
Durante l’esame dei chip ASM1042, ASM1142 e ASM1143, i ricercatori di CTS-Labs avrebbero rilevato la presenza di alcune backdoor riscontrando poi le stesse identiche problematiche nei processori Ryzen e riuscendo, dopo diversi mesi di studio, a violare AMD Secure Technology.

Per Luk-Zilberman, CTS-Labs non avrebbe agito in modo irresponsabile perché i dettagli sulle vulnerabilità scoperte nelle CPU Ryzen ed EPYC non sarebbero stati resi di pubblico dominio.
Le informazioni tecniche, oltre che ad AMD, sono state consegnate a Trail of Bits e Cymmetria, società che hanno controllato il codice inviato da CTS-Labs e hanno confermato l’esistenza delle problematiche sin qui denunciate.
Cymmetria si è spinta più avanti confermando di conoscere CTS-Labs e ha aggiunto che la falle di sicurezza di cui si parla non sono certo frutto di immaginazione.

Il CEO di Cymmetria, Gadi Evron, ha confermato che per sfruttare le vulnerabilità individuate da CTS-Labs è indispensabile possedere dei diritti di amministratore.
Si tratta comunque del solito problema: se un file eseguibile o uno script maligno venisse eseguito manualmente dall’utente oppure sfruttasse una lacuna di sicurezza nota per l’acquisizione dei privilegi più elevati, la frittata sarebbe comunque fatta.

Luk-Zilberman sostiene di aver commesso un unico errore: non aver chiesto la “certificazione” delle vulnerabilità scoperte anche ad altri soggetti oltre a Trail of Bits e Cymmetria.
Difficilmente condivisibile, invece, almeno secondo la nostra opinione, la posizione di Luk-Zilberman quando parla di responsible disclosure.
Sessanta o novanta giorni di tempo sono necessari per dare tempo all’azienda di attivarsi per approfondire ogni singola problematica e risolverla. Alimentare la confusione tra gli utenti e la ridda incontrollata di commenti senza attendere una risposta ufficiale delle aziende coinvolte è sempre da evitare.

Attendiamo una presa di posizione ufficiale da parte di AMD.

Nel frattempo registriamo il commento di Linus Torvalds che ha ironizzato sull’attività di CTS-Labs e ha scherzato sull’hype creatosi attorno alla scoperta, distantissima dal “mondo reale”.