Perché alcune persone gridano al complotto contro AMD

In un periodo storico in cui le opinioni e le ipotesi spesso guadagnano più peso dei fatti, in queste ore si è sollevato un fortissimo dibattito, al limite del complottismo, attorno alla "breaking news" di ieri sera che ha scosso gli appassionati di hardware di tutto il mondo: un'azienda di sicurezza israeliana, CTS-Labs, dice di aver individuato 13 vulnerabilità nei microprocessori più recenti di AMD, Ryzen ed EPYC (e le loro declinazioni).

Le falle, che per ora possiamo definire "presunte" in quanto non confermate da AMD, sarebbero molto complesse da sfruttare in quanto richiedono un accesso di amministrazione con privilegi elevati ai sistemi e presenza fisica per attuare un primo attacco (su questo punto però c'è dibattito, come segnalato da un lettore che rimanda all'account Twitter di un noto ricercatore di sicurezza).

Non a caso si parla di vulnerabilità "second stage", di secondo stadio, che presuppongono un passaggio precedente. Insomma, personalmente - almeno per ora - se avessi un sistema Ryzen non mi preoccuperei di conseguenze immediate per la sicurezza dei miei dati, non sembra proprio che siamo davanti a qualcosa di simile a Spectre e Meltdown.

Abbiamo scelto consciamente di riportare immediatamente i fatti - quindi azienda X che accusa azienda Y - pur già sapendo che nel sottobosco di Internet stavano montando tesi su un presunto complotto ai danni di AMD.

In questa notizia cerchiamo di spiegare a tutti perché taluni credono al complotto, illustrando i punti oscuri della vicenda, e perché invece sarebbe meglio attendere prove concrete prima di riversarsi su Internet a lanciare epiteti.

ryzen

Al momento, oltre alle accuse di CTS-Labs ad AMD, l'unico fatto concreto è la risposta della casa di Sunnyvale, da cui partiamo per approfondire il tema.

"Abbiamo appena ricevuto un report da un'azienda chiamata CTS-Labs che afferma che ci sono potenziali vulnerabilità di sicurezza legate ad alcuni dei nostri processori. Stiamo studiando e analizzando attivamente i loro risultati. Questa azienda era precedentemente sconosciuta ad AMD e troviamo insolito che un'azienda di sicurezza pubblichi la sua ricerca sulla stampa senza fornire un ragionevole periodo di tempo alla società per indagare e intervenire su quanto scoperto. In AMD, la sicurezza è una priorità assoluta e lavoriamo continuamente per garantire la sicurezza dei nostri utenti in caso di potenziali nuovi rischi. Aggiorneremo questo blog man mano che avremo nuove notizie".

La risposta di AMD parla di comportamento insolito. Verissimo. Come abbiamo scritto nella precedente news, c'è un fatto inequivocabile: CTS-Labs ha annunciato al pubblico di aver scoperto queste vulnerabilità esattamente il giorno dopo aver contattato AMD e averle inviato il materiale tecnico. Un fatto che secondo noi è grave, e sarebbe gravissimo se il materiale pubblico non fosse approssimativo a tal punto da non rappresentare un serio pericolo per i clienti AMD.

Le buone norme di comunicazione delle vulnerabilità vogliono che si contattati l'azienda o l'ente responsabile e siano dati almeno 90 giorni per rispondere e preparare contromisure. La tempistica può essere anche maggiore se tra le parti c'è accordo, e l'abbiamo visto con il caso Spectre e Meltdown, dove i principali attori dell'industria hi-tech e i ricercatori che hanno individuato le falle hanno mantenuto il riserbo per 6 mesi - e sarebbero stati di più se la notizia non fosse trapelata anzitempo su The Register.

Questo è l'elemento che ha fatto sollevare il sopracciglio - alla Carletto Ancelotti - di più di qualche appassionato. Prima però di addentrarci sulle varie cose che si dicono in rete, è bene porsi una domanda: ma queste vulnerabilità sono vere o no? Come detto, AMD ci darà la risposta definitiva, ma è interessante registrare quanto affermato da Dan Guido, fondatore dell'azienda di sicurezza Trail of Bits, su Motherboard.

Guido e la sua azienda sono stati contattati da CTS Labs la scorsa settimana per confermare gli exploit e il codice. Secondo quanto ha potuto vedere, tutte e 13 le falle sono sfruttabili. "Ognuna funziona come descritto", ha spiegato. Trail of Bits non ha avuto precedenti collaborazioni con CTS-Labs e ha dichiarato che il contatto è avvenuto "tramite un amico comune".

Secondo Guido l'azienda israeliana ha sottoposto le proprie scoperte al vaglio della sua azienda perché "preoccupata della validità delle proprie scoperte". Anche Gadi Evron, ricercatore di sicurezza, CEO e fondatore di Cymmetria, afferma su Twitter che le falle sono reali.

Sempre su Twitter, Dan Guido ha spiegato che mentre "Meltdown e Spectre hanno richiesto nuovi avanzamenti nella ricerca, al contrario queste falle sono ben note dagli anni '90. Non sono nuovi problemi fondamentali, sono difetti di programmazione ben noti".

Sempre su Motherboard il CEO di CTS-Labs, Ido Li On, ha affermato che i problemi sono "molto, molto brutti, probabilmente i più gravi nel mondo della sicurezza". A queste parole si sono aggiunte quelle del CTO, Yaron Luk-Zilberman, che ha difeso la decisione di uscire allo scoperto anzitempo definendo la divulgazione "di interesse pubblico". Luk-Zilberman ha anche spiegato che pur mettendo il pubblico a conoscenza dei problemi, CTS-Labs non ha diffuso dettagli tecnici e non "ha intenzione di pubblicarli, mai".

Ora qualcuno dirà: ok, CTS-Labs si è comportata male, è abbastanza ovvio, ma perché si grida al complotto? Alcuni lettori puntano il dito sul fatto che sia israeliana, un paese dove Intel ha impianti di produzione e centri di ricerca, e quindi molta influenza.

È una tesi al limite del ridicolo, che chiaramente non appoggiamo in alcun modo, ma qualche lettore si è spinto persino a dire che sarebbe stata Intel ad commissionare la ricerca che accusa AMD. La congettura portata avanti dai lettori vuole che il tutto esca fuori in un momento in cui la casa di Sunnyvale sta riscuotendo successo sul mercato, mentre tra un mese porterà sul mercato i Ryzen di seconda generazione.

Al momento, come si può ben intuire, è un'affermazione senza prove concrete, probabilmente legalmente perseguibile e che, lo ripetiamo, non appoggiamo in alcuni modo. Intel, interpellata da GamerNexus, ha dichiarato che "non ha coinvolgimenti nel bollettino di sicurezza di CTS-Labs".

Un altro snodo oscuro riguarda l'azienda stessa, CTS-Labs, che spunta un po' fuori dal nulla. È stata fondata nel 2017 e questo sarebbe il suo primo report pubblico. A far storcere il naso anche il fatto che la comunicazione pubblica delle falle è stata fatta registrando il sito amdflaws.com il 22 febbraio, diverse settimane fa. L'aspetto grafico del sito lascia inoltre intendere che il tutto era in pianificazione da tempo e questo è quantomeno sgradevole se pensiamo che AMD ha saputo dei presunti problemi di sicurezza l'altro ieri.

CTS-Labs ha inoltre assunto un'azienda di pubbliche relazioni per la gestione delle richieste di informazioni da parte della stampa. Un'altra anomalia rispetto al modus operandi delle altre aziende di sicurezza.

Fanno discutere anche i video - che potete vedere nella notizia precedente - che hanno accompagnato l'annuncio. Filmati fatti piuttosto male, con dei green screen dozzinali (ossia sfondi presi da siti dedicati e piazzati lì in post-produzione), che sembrano realizzati in fretta e furia. Ma questa è più una considerazione tecnica sui filmati stessi che qualcosa di relativo al tema sollevato da CTS-Labs.

Piuttosto può far discutere maggiormente l'assenza di numeri CVE ad accompagnare le falle. CVE, in breve, è un metodo standard per il tracking di tutti o quasi i problemi di sicurezza di una certa entità. CTS-Labs ha invece usato nomi altisonanti, ma questo in realtà è già avvenuto con Spectre e Meltdown: il settore della sicurezza, di recente, sembra aver imparato come fare marketing di sé stesso, e questo da una parte è un bene, ma allo stesso è male, perché talvolta - e qui è colpa anche nostra, intesi come media - si amplificano oltremodo problemi marginali, creando preoccupazione in chi è meno preparato.

zeppelin

Altro elemento che fa parecchio discutere è il contenuto del whitepaper nella sezione "Important Legal Disclaimer", dove ci sono passaggi abbastanza comici come "il report e tutte le affermazioni contenute in esso sono opinioni di CTS e non sono affermazioni di fatto. Al meglio delle nostre capacità e convinzioni, tutte le informazioni qui contenute sono accurate e affidabili, e sono state ottenute da fonti pubbliche che riteniamo accurate e affidabili", giusto per citare un passaggio. Sembra un "legalese" scritto male, il che fa apparire CTS come una banda di impreparati, altro che cacciatori di bug. Però, anche in questo caso, è un pensiero che non intacca il fatto, ossia l'esistenza dei problemi.

Altro passaggio, più oscuro, è il seguente. "Anche se crediamo in buona fede nella nostra analisi e riteniamo che sia obiettiva e imparziale, vi avvisiamo che potremmo avere, direttamente o indirettamente, un interesse economico nella performance dei titoli delle società i cui prodotti sono oggetto dei nostri rapporti".

Qui sì che si alza di tutto, non solo il sopracciglio di Ancelotti. Ma per ora non ci sono prove concrete che questa CTS-Labs abbia interessi economici di qualche tipo con aziende o realtà che potrebbero voler colpire AMD. C'è però qualcosa su cui tenere gli occhi e da approfondire, se possibile. Yaron Luk-Zilberman, CFO dell'azienda, sembra essere legato con una posizione dirigenziale nel fondo di investimento e gestione NineWells Capital Management.

Sempre il whitepaper ci consegna dichiarazioni abbastanza aggressive. Si parla ad esempio del chipset realizzato a ASMedia, affermando che è distribuito con "backdoor all'interno", piazzate dallo stesso produttore. Un'affermazione forte, fortissima.

"Prendiamo atto con preoccupazione che il partner di AMD, ASMedia, è una controllata di ASUSTeK Computer, una società che è stata recentemente penalizzata dalla Federal Trade Commission per aver trascurato le vulnerabilità di sicurezza ed è stata sottoposta a controlli obbligatori di sicurezza esterni per i prossimi 20 anni", dice un altro passaggio.

"A nostro avviso, la natura basilare di alcune di queste vulnerabilità equivale al completo disprezzo dei principi di sicurezza fondamentali. Ciò solleva questioni relative alle pratiche di sicurezza, revisione e controllo di qualità di AMD", si legge nel whitepaper.

E ancora "Le GPU Vega di ultima generazione di AMD, che hanno anche un Secure Processor al loro interno sono integrate come acceleratori di deep learning sulle auto a guida autonoma", il che lascia intendere una cosa: le auto con Vega potrebbero essere insicure, qualcuno potrebbe prenderne il controllo e ammazzare persone.

Insomma, linguaggio spregiudicato, non tipico del settore, condannabile su tutta la linea, ma anche in questo caso è solo una valutazione al come è stato divulgato il tutto, non al merito dei problemi.

Infine fa parecchio discutere, ma oltre a questo per ora nient'altro, un report di un'azienda di ricerca chiamata Viceroy Research, che in un documento di 25 pagine intitolato "AMD: The Obituary" analizza e supporta le affermazioni di CTS-Labs.

Il fatto che l'abbia pubblicato 2 ore e 50 minuti dopo il primo report di CTS-Labs fa sorridere, per non dire piangere, e fa pensare che dietro a CTS-Labs possa esserci proprio Viceroy Research, un'azienda che secondo la ricostruzione del sito GamerNexus (che ha trovato le dichiarazioni della stessa azienda su BusinessDay), si presenta "come un gruppo di ricerca indipendente con base negli Stati Uniti. Il nostro focus è ricercare entità che troviamo abbiano segni di irregolarità contabili e potenziali frodi".

Lo scopo della sua azione sarebbe quello di prendere "una posizione finanziaria nella nostra ricerca (cioè nella società attenzionata) e i nostri lettori dovrebbero dare per scontato che abbiamo una posizione sul titolo". Alcuni definiscono Viceroy un'azienda che fa vendite di titoli allo scoperto.

Non è chiaro chi ci sia dietro a Viceroy, ma se quanto detto nell'intervista è vero e così le definizioni date a questa realtà, allora si può ipotizzare che ci sia un qualche interesse a smuovere le azioni di AMD. Come vedete però sono sempre ipotesi.

Detto questo, il report di Viceroy è a dir poco allarmista. "AMD deve immediatamente bloccare la vendita delle CPU Ryzen ed EPYC nell'interesse della pubblica sicurezza", si legge, "crediamo che AMD valga 0 dollari e non avrà scelta che dichiarare bancarotta al fine di far fronte alle ripercussioni di queste scoperte" sono solo tra le dichiarazioni più forti presenti nel documento.

Tiriamo le somme: ci sono lati oscuri nella vicenda? Sì, tantissimi. Sembra che tutto sia stato fatto ad arte per avere più eco mediatica possibile, senza riguardo per AMD. Che il caso Spectre / Meltdown abbia avuto un'influenza negativa sulle pratiche di comunicazione delle aziende di sicurezza, specie quelle in cerca di notorietà? È una possibilità.

Si possono fare accuse ben precise a chicchessia sulla base delle prove al momento disponibili? No. Quello che molti lettori con cui ho discusso nella serata di ieri non hanno voluto prendere in considerazione è che un sito come Tom's Hardware e una redazione non possono muovere accuse basate su prove non concrete, su presupposti e unendo pensieri e congetture. Finiremmo in galera (nel caso portateci le arance, almeno quelle).

Al momento è bene che si rimanga ai fatti, ossia l'uscita del report, il suo contenuto e le affermazioni di AMD. Senza allarmismi e senza tirare in ballo complotti e altre aziende, si rischia di prendere una strada senza uscita e di guardare al dito piuttosto che alla luna.

Con questo non stiamo dicendo che i punti oscuri della vicenda non porteranno a nulla - non possiamo saperlo, non siamo Nostradamus. Monitoreremo l'andamento della vicenda e cercheremo di essere tempestivi nel darvene conto, come ieri sera, di questo potete stare sicuri. Fino ad allora è giusto mantenere una posizione di equilibrio e rimanere tranquilli: il vostro PC AMD Ryzen non sembra essere in immediato pericolo di "hacking".

Aggiornamento

CTS Labs ha dichiarato a TechPowerUp di aver inviato ad AMD, insieme ad altre grandi realtà tecnologiche, un "pacchetto completo di ricerca", che include "l'esposizione completa dei dettagli tecnici sulle falle", "codice exploit proof-of-concept funzionante" e "istruzioni su come riprodurre ogni vulnerabilità". Ha inoltre aggiunto che oltre ad AMD, il pacchetto è stato inviato a Microsoft, HP, Dell, Symantec, FireEye e Cisco Systems, per aiutarli a sviluppare patch e mitigazioni".

Pubblicità

AREE TEMATICHE