Stai leggendo
Falle nei sistemi di sicurezza dei processori AMD Ryzen. Bufala?

Da ieri sera siamo sommersi di notizie sulle presunte vulnerabilità, ben 13, scoperte nei nuovi processori Ryzen di AMD. Oggi qualcuno ha fatto un mezzo passo indietro, altri continuano a propagandare la notizia. Ma è vera o solo l’ennesima bufala?

I fatti

CTS Labs, sedicente società di consulenza in materia di cyber-security, ha annunciato di aver trovato «13 vulnerabilità critiche … sui prodotti delle linee AMD Ryzen e EPYC». Parlando addirittura di backdoor piazzate da un produttore. La notizia è stata rilanciata da: Vice.com, The Hacker News, Tom’s Hardware, CNET e Gizmodo. Da queste fonti la hanno ripresa i media di tutto il mondo.

L’unica documentazione fornita e pubblicamente accessibile è un file PDF di 20 pagine, di quelli che “il mio falegname con trentamila lire…”. Questo PDF non ha nulla di tecnico e nulla di dettagliato. È semplice FUD. In più CTS Labs è del tutto sconosciuta, apparsa dal nulla con questo report privo di dettagli e pieno di rancore.

ryzen pro secure

Questa immagine rende l’idea del colpo al marketing di AMD

Metodo ed etica

Qualche youtuber e alcuni media, di quelli che ieri hanno pubblicato la notizia senza verificarla, oggi si pongono domande sull’etica professionale di CTS Labs.

I metodi

Ogni società ha i suoi metodi. Ci sono società che danno qualche mese di tempo per tappare la falla. Ci sono società che chiedono soldi in cambio di un prolungamento, perché anche impiegarci troppo – come accaduto in casi celebri – è eticamente discutibile. Ricercatori che vendono le loro scoperte sul mercato nero o in quello che oggi è considerato grigio. Compagnie che provano a influenzare l’andamento dei mercati, favorendo la concorrenza (o direttamente le proprie tasche). Ricercatori che vogliono semplicemente diventare famosi, subito, non tra 60 o 90 giorni. È importante per noi? No, non lo è. Fatti loro!

L'etica

Quello che non ci va giù è che parlino di etica proprio i clickbaiter. Coloro che rilanciano la notizia senza verificare, al massimo citando altri come fonte. Perché citare la fonte libera dal peccato, eh? Se spaccassimo una vetrina sostenendo che la pietra non è nostra, siamo sicuri che saremmo esenti dal doverla risarcire.

Tu, lettore, sei vulnerabile?

NO! Non lo sei! Epyc server, Ryzen workstation e Ryzen PRO sono i processori potenzialmente affetti da queste presunte vulnerabilità dai nomi accattivanti. Ci sono anche i Ryzen Mobile, è vero. Ma li avete visti i portatili con quel processore? I problemi lì son ben altri! Quindi: sì, la notizia disseminata ad arte non riguarda il 99,99% dei lettori. Non è una notizia di pubblico interesse! È un’enorme secchiata di… cioccolata contro AMD.

Queste vulnerabilità sono reali?

Vulnerabilità basate su un documento pubblicitario non possono essere giudicate. Servono i dettagli tecnici. Serve un qualcosa che sia replicabile. E non c’è nulla di tutto ciò.

In teoria, e questo PDF riporta esclusivamente teorie, ogni singolo processore sul mercato, ogni BIOS esistente, ogni chip, tutto è vulnerabile. Spetta ai ricercatori dimostrare dove siano queste vulnerabilità, in modo da metterci la pezza. In teoria ogni mouse ha vulnerabilità che non sono ancora state rese pubbliche e, attraverso queste, potremmo garantirci l’accesso a ogni PC. E quindi? Dovremmo fare un PDF anche noi? Inventare dei nomi e colpire il produttore di mouse che più ci sta sulle scatole?

Conclusioni

Dopo le chiacchiere sul GeForce Partner Program di Nvidia, sono arrivate quelle su AMD. Viviamo settimane movimentate da una mancanza di senso del ridicolo. Le potenziali vulnerabilità, come quelle riportate da CTS Lab, sono frequenti. Sì, ne vengono scoperte diverse ogni anno. Perché non sono riportate su tutti i media? Perché riguardano la nicchia della nicchia della nicchia e sono difficili da mettere in pratica. Tutte le notizie del genere, prive di una documentazione tecnica approfondita, sono cioccolata andata a male. Davvero: basta leggere siti pieni di clickbait!

 

Aggiornamento 21/03/18

AMD ha rilasciato una prima valutazione tecnica. Tutte le falle segnalate «require administrative access to the system» e, ovviamente, chi ha quell’accesso non ha bisogno di sfruttare vulnerabilità. Nessuna vulnerabilità richiederà anni per essere corretta, come affermato dai sedicenti security consultant, ma sarà tutto fixato con un aggiornamento del BIOS. Compresa la vulnerabilità più temuta, «Chimera», che colpisce il chipset Promontory.

Riflessione

Nel nostro approfondimento sui benchmark scrivemmo:

«I chip, le batterie, i condensatori, i circuiti stampati, ogni singolo componente dei dispositivi in nostro possesso possono essere stati costruiti in sub-sub-sub-appalto. E più aumentano i “sub”, più si riducono i costi, peggiore sarà il risultato in termini di efficienza, stabilità e durata. Sarebbe il momento di avere una legge che obblighi i marchi a dichiarare tutto ciò.»

Quello che ci ha intristito di più è scoprire che Promontory (che sarà montato sulle schede madri serie 400) non solo non l’ha prodotto AMD ma non l’ha neppure progettato! «AMD is working with the third-party provider that designed and manufactured the “Promontory” chipset».

Reazioni
Felice
40%
Sorpreso
30%
Incerto
10%
Triste
0%
Arrabbiato
20%